CIEM, tiens une nouvelle catégorie de produits identité?
Identity Days 2020 - L’identité au coeur du modèle Zero Trust
1. 24 octobre 2020
Merci à tous nos partenaires !
29 octobre 2020
@IdentityDays #identitydays2020
2. 24 octobre 2020
L’identité au coeur du
modèle Zero Trust
Jean-Yves Grasset
National Security Officer, Microsoft
29 octobre 2020
Identity Days 2020
3. 24 octobre 2020
Jean-Yves Grasset
National Security Officer,
Microsoft
• Télétravail & Sécurité périmétrique
• Zero Trust et Identité
• Déploiement Zero Trust
• Conclusion
• Ressources
AGENDA DE LA CONFÉRENCE
29 octobre 2020
Identity Days 2020
5. 24 octobre 2020
Identity Days 2020
LE COVID-19 A FAIT APPARAITRE DES DÉFIS IMPRÉVUS
Pics des demandes
d'accès à distance aux
applications
Contraintes de
scalabilité VPN
Menaces exploitant les thèmes
COVID-19 et les vulnérabilités VPN
Défis pour intégrer et gérer des
nouveaux appareils y compris
personnels
Difficulté à déployer de
nouveaux contrôles de
sécurité
Support de la transition
vers le travail à
distance
Comment mettre en place rapidement le travail à domicile tout en protégeant les
ressources de l'entreprise?
6. 24 octobre 2020
Toutes les ressources sont à l’intérieur du périmètre de l’organisation
Tous les postes sont à l’intérieur
• Sauf quelques postes mobiles qui se connectent en VPN
Les smartphones/tablettes ne sont pas pris en charge
Le Cloud n’est pas dans le panorama
La sécurité est basée sur la défense du périmètre et le réseau
Identity Days 2020
LE MONDE D’AVANT
7. 24 octobre 2020
Les ressources sont principalement en-dehors du périmètre
• Cas des applications SaaS
La majorité des postes sont à l’extérieur
• Du fait du télétravail imposé par la crise sanitaire
Les smartphones/tablettes existent
• Et sont utilisés par les employés (même pas autorisé)
Le cloud est adopté par (presque) toutes les entreprises
• Disons qu’il y a quelques avantages
La sécurité périmétrique est mise en défaut
• Prière de revoir sa copie
Identity Days 2020
LA RÉALITÉ
8. 24 octobre 2020
Saturation des infrastructures VPN
Expérience utilisateur dégradée
Impossibilité d’accéder aux outils de collaboration
Impossibilité d’accéder aux ressources internes
Impossibilité de gérer et mettre à jour les postes de travail…
Identity Days 2020
LES CONSÉQUENCES DE LA GÉNÉRALISATION DU TÉLÉTRAVAIL
9. 24 octobre 2020
Adresser dans l’urgence les problèmes liés à la saturation des VPN
• Mise à jour des infrastructures VPN
• Déploiement split-tunneling avec exceptions (*)
Adapter les infrastructures de gestion des postes
Revoir son modèle de sécurité en s’appuyant sur le modèle Zero Trust
Identity Days 2020
LA SOLUTION
(*) Implementing VPN split tunneling for Office 365
11. 24 octobre 2020
Identity Days 2020
24 octobre 2020
“
Zero Trust n'est pas «ne faites confiance à rien», c'est
adopter une façon plus intelligente de faire
confiance.
Mark Simos, Lead Cybersecurity Architect
Microsoft
12. 24 octobre 2020
Identity Days 2020
“ZERO TRUST” N’EST PAS UN CONCEPT NOUVEAU
Approche convergente qui prend de l’ampleur (bien qu’on soit encore «au tout début»)
13. 24 octobre 2020
1. All data sources and computing services are considered resources
2. All communication is secured regardless of network location
3. Access to individual enterprise resources is granted on a per-session basis
4. Access to resources is determined by dynamic policy—including the observable state
of client identity, application/service, and the requesting asset—and may include
other behavioral and environmental attributes.
5. The enterprise monitors and measures the integrity and security posture of all owned
and associated assets.
6. All resource authentication and authorization are dynamic and strictly enforced before
access is allowed.
7. The enterprise collects as much information as possible about the current state of
assets, network infrastructure and communications and uses it to improve its security
posture
Identity Days 2020
NIST : PRINCIPES DU ZERO TRUST
Source : NIST Zero Trust Architecture (August 2020)
16. 24 octobre 2020
Identity Days 2020
24 octobre 2020
“
Digital business transformation inverts network and security
service design patterns, shifting the focal point to the
identity of the user and/or device - not the data center
The Future of Network Security Is in the Cloud,
30 August 2019
17. 24 octobre 2020
Identity Days 2020
ZERO TRUST : UN MODÈLE CENTRÉ SUR L’IDENTITÉ
Application des politiques basées sur les risques avec l’Accès Conditionnel
Blocage accès
Nécessite MFA
Autorisation
d’accès
Limitation
d’accès
Application
Utilisateur et
localisation Appareil
Risque
temps-réel
18. 24 octobre 2020
Identity Days 2020
SOLUTION ZERO TRUST MICROSOFT
Appareil
Managé ou BYOD
Santé & conformité
Risque Appareil
Type OS et version
Statut Chiffrement
Microsoft
Azure AD
Microsoft
Defender for
Endpoint
Microsoft
Intune
Azure Sentinel
Microsoft
Information
Protection
Microsoft
Cloud App
Security
Microsoft
Defender for
Identity
Utilisateur
Groupes/Rôle
Localisation
Privilèges
Risque Session
Risque Utilisateur
Moteur de
politiques de
sécurité &
conformité
20. 24 octobre 2020
Identity Days 2020
MODÈLE DE MATURITÉ ZERO TRUST
Microsoft
Intune
Traditionel Avancé Optimal
L’identité Cloud est fédérée avec le système
on-premises
Les politiques d’accès conditionnel contrôle
l’accès et fournissent des actions correctives
Analyse des signaux améliore la visibilité
Les appareils sont enregistrés auprès du
fournisseur d'identité cloud
Accès uniquement accordé aux appareils
gérés et conformes dans le cloud
Les stratégies DLP sont appliquées pour
les appareils d'entreprise et BYO
Les applications sur site sont accessibles
depuis Internet et les applications cloud
sont configurées avec SSO
Le risque de Cloud Shadow IT est évalué;
les applications critiques sont surveillées
et contrôlées
Les applications sur site sont accessibles
via des réseaux physiques ou VPN
Certaines applications cloud critiques sont
accessibles aux utilisateurs
Les appareils sont joints au domaine et
gérés avec des solutions telles que Group
Policy Object ou Config Manager
Les appareils doivent être connectés au
réseau pour accéder aux données
Le référentiel d’identité est on-premises
Pas de SSO entre le cloud et les
applications on-premises
Visibilité limitée sur les risques liés à
l’identité
Identités
Appareils
Applications
Toutes les applications sont disponibles
avec un accès avec moindre privilège et
une vérification continue
Le contrôle dynamique est en place pour
toutes les applications avec surveillance
et réponse en cours de session
EDP (Endpoint threat detectionest utilisée
pour surveiller les risques liés aux
appareils
Le contrôle d'accès est basé sur le risque
de l'appareil pour les appareils
d'entreprise et BYO
L'authentification sans mot de passe est
activée
L'utilisateur, l'appareil, l'emplacement et
le comportement sont analysés en temps
réel pour déterminer les risques et fournir
une protection continue
21. 24 octobre 2020
Identity Days 2020
ZERO TRUST MATURITY MODEL ASSESSMENT
https://www.microsoft.com/en-us/security/business/zero-trust/maturity-model-assessment-tool
22. 24 octobre 2020
Identity Days 2020
ZERO TRUST DEPLOYMENT CENTER
https://docs.microsoft.com/en-us/security/zero-trust
23. 24 octobre 2020
Identity Days 2020
29 octobre 2020
1- La généralisation du télétravail a mis en évidence les
limites du modèle périmétrique
2- Le modèle Zero Trust est adapté aux défis et aux
menaces d’aujourd’hui
3- L’identité est au cœur du modèle Zero Trust
4- Les briques existent pour la mise en œuvre d’une
architecture Zero Trust
5- La transition se fera par étapes mais en appliquant les
principes du Zero Trust
CONCLUSION
24. 24 octobre 2020
Identity Days 2020
RESSOURCES
Zero Trust ebook
Enable a remote workforce by embracing Zero Trust security
https://aka.ms/Zero-Trust
CISO Workshop Module 3: Identity and Zero Trust User Access
10 tips for enabling zero trust security
Zero Trust Maturity Model
Zero Trust Deployment Center / Securing identity with Zero Trust