Merci à tousnos partenaires !
29 octobre 2020
@IdentityDays #identitydays2020

La gestion des identités, enjeu majeur
du Modern Workplace avec Windows 10
Hervé Thibault
Jean-Yves Trarbach
29 octobre 2020
Identity Days 2020

Hervé Thibault
CTO @Metsys
@thibherv
• Enjeux du Modern Workplace : décloisonnement de SI,
impacts, risques associés
• L'identité au centre du modèle de confiance
• Les éléments de confiance
• Windows 10, une grande avancée vers la sécurité des
identités
• Protéger ses secrets
• Passwordless ou comment simplifier l’accès aux
ressources d’entreprise sans sacrifier à la sécurité
AGENDA DE LA CONFÉRENCE
29 octobre 2020
Identity Days 2020
Jean-Yves Trarbach
Head Modern Workplace @ Metsys
@JYvesTrarbach
Windows &
Devices for IT

2020, une année « charnière » pour le
Modern Workplace
Identity Days 2020
29 octobre 2020

Enjeux du Modern Workplace
Modern Workplace : Work from anywhere, anytime, with any device
Quelle meilleure réponse au défi du confinement / télétravail ?
L'un des enjeux majeurs du Modern Workplace représente aussi l'un de plus grands
risques pour la grande majorité des directions informatiques : Le décloisonnement du SI
"legacy" soulève bien des questions quant à la sécurité "dans le Cloud"…
Un sujet sensible pas forcément prioritaire d'ailleurs … Jusqu’à cette année
L’objectif ? Ne pas sacrifier la sécurité à l’agilité !
Identity Days 2020
24 octobre 2020

L'identité au centre du modèle de confiance
Identity Days 2020
24 octobre 2020

Les éléments de confiance
Multi-Factor Authentication / Accès conditionnel
Identity Days 2020
24 octobre 2020
Conditional
Access
Multi-Factor
Authentication

Les éléments de confiance
Traçabilité et résistance aux menaces
Identity Days 2020
24 octobre 2020
Security
Reporting
• Sign-Ins
• Application sign-in Success/Failure
• Session conditions: location, IP, Date/Time
• MFA info: Required, Method, Result
• Client conditions: Client App, browser, OS
• Conditional Access: Policy, Controls, Result
• Audit Logs
• Password Reset
• Privileged Identity Management (PIM) Elevations
• Terms of Use Acceptance

Les éléments de confiance
Identity Days 2020
24 octobre 2020
Identity
Protection
• User risk – Probabilité qu’une identité soit compromise
• Sign-in risk - Probabilité qu’une authentification soit
compromise
Name Description Timing
Anonymous IP
address
Tor or anonymizer VPNs Real-time
Atypical travel
Travel distance > Travel
time
Offline
Leaked credentials
Valid credentials
compromised
Offline
Malware linked IP
address
Botnet linked IP address Offline
Unfamiliar sign-in
properties
Periodicity based
unfamiliar properties
Real-time
Unfamiliar sign-in
properties
Multiple failed sign-ins
in a short time period
Real-time
Azure AD threat
intelligence
Investigations intel Offline
Admin confirmed
user compromised
Admin feedback Offline
Malicious IP address
Valid creds, blocked IP;
Attacker thumbprint
Offline
Impossible travel
Inter / intra session
travel
Offline
Suspicious inbox
manipulation rules
Mailbox manipulation
(MCAS)
Offline
Traçabilité et résistance aux menaces

Les éléments de confiance
Gestion des identités à privilèges
Identity Days 2020
24 octobre 2020
Privileged
Identity
Management
Avoir des accès privilégiés
pendant une période définie
• L’utilisateur doit activer ses privilèges
pour effectuer une tâche
• Le MFA est requis pendant le processus
d’activation
• Une alerte informe les administrateurs
d’un changement
• L’utilisateur ne garde ses privilèges que
pendant une période prédéfinie
Just In Time Administration
Just Enough Administration

Les éléments de confiance
Gouvernance des identités
Identity Days 2020
24 octobre 2020
Access Reviews
Provisioning-
Deprovisioning
The right people have the right
access to the right resources to
ensure secure productivity.
Gérer les risques et la conformité pour les employés, les
invités, les partenaires et les sous-traitants
Auditer et valider les accès aux applications, aux
ressources et les rôles
Automatiser pour limiter les risques

Windows 10, une grande avancée
vers la sécurité des identités
Identity Days 2020
29 octobre 2020

Protéger ses secrets
Credential Guard
Identity Days 2020
• Protéger ses secrets, c’est s’assurer que
seuls les logiciels système privilégiés
puissent y accéder.
• Un accès non autorisé à ces secrets peut
entraîner des attaques de type «pass-the-
hash» ou «pass-the-ticket» par exemple.
• Credential Guard empêche ces attaques
en protégeant les hachages de mot de
passe NTLM, les tickets TGT Kerberos et
les informations d’identification stockées
par les applications en tant
qu’informations d’identification de
domaine.
24 octobre 2020

Protéger ses secrets
Identity Days 2020
24 octobre 2020
• Permet de coupler un appareil Bluetooth, (en
général un smartphone) et de déclencher le
verrouillage automatique du PC dès lors que le
device appairé s’éloigne du périphérique
• Utile dans un environnement professionnel
pour protéger les informations sensibles, si
l’on oublie de verrouiller sa session dès lors
qu’on quitte sont poste de travail
• (Et à la maison pour les enfants curieux dès
qu’on s’absente une minute le temps d’aller se
faire un café)
Verrouillage dynamique
Le mail envoyé à toute la boite pour payer la prochaine tournée de croissants, çà vous parle ? 😁

Passwordless ou comment simplifier l’accès aux
ressources d’entreprise sans sacrifier à la sécurité
Presque personne n’aime les mots de passe
Identity Days 2020
24 octobre 2020
Utilisateurs HackersAdmins

Passwordless ou comment simplifier l’accès aux
ressources d’entreprise sans sacrifier à la sécurité
Il y a de meilleures solutions (que le mot de passe) - Authentification
forte, pratique, sécurisée
Identity Days 2020
24 octobre 2020
Windows Hello Microsoft AuthenticatorClés de sécurité FIDO2

Passwordless ou comment simplifier l’accès aux
ressources d’entreprise sans sacrifier à la sécurité
Windows Hello For Business - Du code PIN à la biométrie
Identity Days 2020
24 octobre 2020

Passwordless ou comment simplifier l’accès aux
ressources d’entreprise sans sacrifier à la sécurité
Clé FIDO 2 - Standard ouvert
Identity Days 2020
24 octobre 2020
Clé USB (A-C) / NFC / Biométrique
• Windows 10 1903+
• Intégré Azure AD depuis juillet 2019
• Supporté dans Edge, Chrome, Firefox
• Authentification simple sur des services online
• Desktop et mobile
• Authentification par cryptographie asymétrique
• Crédentiels uniques pour chaque service
• Standards : WebAuthn, CTAP2

Passwordless ou comment simplifier l’accès aux
ressources d’entreprise sans sacrifier à la sécurité
Microsoft Authenticator
Identity Days 2020
24 octobre 2020
16M+ Utilisateurs
50M téléchargements
~50K MAU
authentifications
sans mot de passe

Passwordless ou comment simplifier l’accès aux
ressources d’entreprise sans sacrifier à la sécurité
Déploiement AutoPilot
Identity Days 2020
24 octobre 2020
• L’utilisation du passwordless peut être étendu à des scenarii de déploiement Windows Autopilot, pour
fluidifier l’expérience utilisateur et garantir la sécurité : Pas de mot de passe communiqué, fourniture de la
clé (par exemple) en même temps que la tablette/laptop, …

Passwordless ou comment simplifier l’accès aux
ressources d’entreprise sans sacrifier à la sécurité
Références
Identity Days 2020
24 octobre 2020
• Introduction : http://aka.ms/gopasswordless
• Windows Hello for Business : https://aka.ms/whfb
• Microsoft Authenticator app : https://aka.ms/passwordless
• FIDO2 Documentation : http://aka.ms/fido2docs
• FIDO2, WebAuthn, CTAP2 :
https://techcommunity.microsoft.com/t5/Identity-Standards-Blog/All-
about-FIDO2-CTAP2-and-WebAuthn/ba-p/288910

Identity Days 2020
29 octobre 2020
Conclusion

Windows 10 & Azure Active Directory, le ticket gagnant
dans votre stratégie de Modern Workplace sécurisé
Windows 10
Identity Days 2020
• Des évolution fonctionnelles régulières (2 fois par an)
• La prise en charge du Passwordless (Windows Hello),
y compris dans les scenarii AutoPilot
24 octobre 2020
Azure Active Directory
• Accès conditionnel
• Gestion des menaces
• Gestion des identités à privilèges
• Gouvernance des identités
• Résistance aux menaces

Merci à tousnos partenaires ! @IdentityDays #identitydays2020