D’un côté, la transformation numérique fait naître des modèles de business disruptifs et une compétition agressive pour l’acquisition de parts de marché, imposant une création de valeur rapide et agile. D’un autre côté, le Cloud, avec ses points d’accès publics et son évolution en continu, met en défaut les vieux paradigmes de sécurité pendant que le RSSI voit les investissements pour bâtir une défense en profondeur pour protéger le réseau d’entreprise et les applications devenir moins pertinents devant la sophistication, la fréquence et l’échelle des cyberattaques.
Après la migration d’une majorité des applicatifs métiers dans Microsoft Azure, l’adoption des méthodes Agiles et la transformation DevOps, Microsoft IT opère une transformation de ses équipes en SecDevOps comme un des éléments de réponses à ces contraintes.
Cette session s’intéressera à la façon dont Microsoft IT a outillé ses équipes afin de suivre le processus SDL (Secure Development Lifecycle) pour des applications désormais hébergées dans Microsoft Azure.
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...jumeletArnaud
Sans sécurité, pas d’innovation ! Pour faire fonctionner vos applications dans le cloud, vous devez avoir un haut degré de confiance envers votre fournisseur cloud. Lors de cette session, nous vous présenterons les dernières innovations sécurité de notre plateforme cloud Azure. Nos experts partageront également avec vous un best of de leurs conseils en matière de sécurité.
Watchguard la solution de sécurité informatique Partenaire expert de référencePROJECT SI
DSI RSI Directions informatiques découvrez la solution de référence en terme de sécurité pour vos environnements AZURE de Microsoft Un partenaire expert de qualité et une référence nationale PROJECT SI Découvrez nos offres et sécurisez votre entreprise https://www.project-si.fr/
"Les organisations de toute taille s’appuient sur un nombre croissant de services dans le Cloud pour assoir les nouveaux usages et modèles d’affaire dans le cadre de leur transformation numérique. Au-delà des contrôles en place et autres dispositions prises par défaut en matière de sécurité par ces services, d’aucun voit dans le chiffrement de leurs données et l’utilisation de leurs propres clés de chiffrement les clés de la confiance.
Dans ce contexte, cette session vous propose une vue d'ensemble illustrée des différentes solutions de chiffrement proposées dans Azure et Office 365. Elle vise à présenter ces solutions et à donner des indications claires sur la façon de choisir la ou les solutions appropriées en fonction de cas d’usage donnés ou/et d’exigences particulières. Les risques ainsi couverts seront explicités au cas par cas."
F-Secure a mis en place une solution de protection dédiée aux entreprises qui protège tous les appareils en offrant la possibilité de vérifier et gérer l'ensemble des terminaux à travers un seul et même portail, très intuitif. La sécurité informatique de votre entreprise n'aura jamais été aussi maximale et facile à contrôler. Pour plus d'informations, rendez-vous sur : http://www.nrc.fr/nos-solutions-infra/securite-informatique/
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...jumeletArnaud
Sans sécurité, pas d’innovation ! Pour faire fonctionner vos applications dans le cloud, vous devez avoir un haut degré de confiance envers votre fournisseur cloud. Lors de cette session, nous vous présenterons les dernières innovations sécurité de notre plateforme cloud Azure. Nos experts partageront également avec vous un best of de leurs conseils en matière de sécurité.
Watchguard la solution de sécurité informatique Partenaire expert de référencePROJECT SI
DSI RSI Directions informatiques découvrez la solution de référence en terme de sécurité pour vos environnements AZURE de Microsoft Un partenaire expert de qualité et une référence nationale PROJECT SI Découvrez nos offres et sécurisez votre entreprise https://www.project-si.fr/
"Les organisations de toute taille s’appuient sur un nombre croissant de services dans le Cloud pour assoir les nouveaux usages et modèles d’affaire dans le cadre de leur transformation numérique. Au-delà des contrôles en place et autres dispositions prises par défaut en matière de sécurité par ces services, d’aucun voit dans le chiffrement de leurs données et l’utilisation de leurs propres clés de chiffrement les clés de la confiance.
Dans ce contexte, cette session vous propose une vue d'ensemble illustrée des différentes solutions de chiffrement proposées dans Azure et Office 365. Elle vise à présenter ces solutions et à donner des indications claires sur la façon de choisir la ou les solutions appropriées en fonction de cas d’usage donnés ou/et d’exigences particulières. Les risques ainsi couverts seront explicités au cas par cas."
F-Secure a mis en place une solution de protection dédiée aux entreprises qui protège tous les appareils en offrant la possibilité de vérifier et gérer l'ensemble des terminaux à travers un seul et même portail, très intuitif. La sécurité informatique de votre entreprise n'aura jamais été aussi maximale et facile à contrôler. Pour plus d'informations, rendez-vous sur : http://www.nrc.fr/nos-solutions-infra/securite-informatique/
"La sécurité de votre Système d’Information est à l’honneur dans ce talk.
- Comment sécuriser mes données et mes échanges avec Office 365 ?
- Où sont mes données une fois migrées ?
- Comment sécuriser mes périphériques en mobilité ?
- Protéger mes informations dans l’approche « Cloud First »,
- …
Nos experts répondent à TOUTES vos questions !"
L'adoption du Cloud impose une prise de conscience des RSSI sur les évolutions dans la gestion de la sécurité pour l'entreprise. Le choix d'un fournisseur de Cloud, le choix des applications à migrer, la détermination des implications sur la politique de sécurité de l'entreprise, le niveau de maturité de l'entreprise au niveau technique ou organisationnel impliquent une réflexion qui doit reposer sur une démarche guidée et pragmatique. Après un bref rappel des risques majeurs liés à l'adoption du Cloud, et ce quel que soit le modèle de déploiement envisagé (IaaS, PaaS et SaaS), cette session proposera une démarche d'analyse de risque simplifiée basée sur les principaux critères et réflexions de la Cloud Security Alliance (CSA), une organisation à but non lucratif dont l’objectif est promouvoir l'utilisation de bonnes pratiques pour le Cloud Computing.
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Patrick Leclerc
Vous songez à réduire vos coûts liés à la gestion de vos infrastructures technologiques et de vos applications? Vous avez entendu dire que le Cloud Computing (pour certains l'infonuagique ou informatique en nuage) permettait d’augmenter la disponibilité, la performance et l'extensibilité de vos applications tout en protégeant vos actifs informationnels? En consommateur avisé, vous êtes méfiants et aimeriez en savoir davantage avant de vous lancer dans une aventure ou seuls les plus aguerris s’en sortent sans y laisser de plumes. Si tel est votre cas, ou si vous êtes tout simplement curieux de voir l'envers de la médaille, cette conférence est pour vous! Nous vous apporterons des pistes de solutions ainsi qu’un retour sur nos expériences de travail vécues sur la sécurité dans le Cloud.
Sécuriser votre chaîne d'information dans AzureNis
Gemalto est au cœur de l’évolution du monde numérique. Chaque jour, des entreprises et des gouvernements du monde entier placent en nous leur confiance pour les aider à offrir à leurs utilisateurs des services où facilité d’usage rime avec sécurité.
Dans le contexte précis de la sécurisation de l’identité et des accès, nous avons le plaisir de vous inviter à un événement que nous organisons avec Microsoft, VNext et NIS sur le sujet de sécurisation des accès aux services de Cloud Computing.
Lors de différents ateliers nous vous ferons découvrir nos solutions pour sécuriser les accès aux services cloud de votre entreprise pour vos employés en mobilité.
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Microsoft Décideurs IT
La migration vers le Cloud, quel que soit le modèle de déploiement envisagé (IaaS pour l’infrastructure, PaaS pour la migration des applications, ou SaaS pour l'utilisation de services du Cloud) fait apparaitre de nouveaux défis pour les responsables sécurité. En s'appuyant en particulier sur les travaux et réflexions de la Cloud Security Alliance (CSA), cette session aborde les différents aspects à considérer qu’il s’agisse de considérations techniques, organisationnelles, légales, ou encore de maturité de l'entreprise. Après la mise en évidence des risques les plus forts, nous aborderons dans une seconde partie les questions importantes à se poser dans le choix d'un fournisseur de Cloud et l'intérêt des normes telles que ISO 27001 et des certifications. La dernière partie de la session sera axée sur l'offre Microsoft Office 365 de type SaaS, et les réponses apportées d'un point de vue sécurité en s'attachant aux critères définis dans la matrice CCM (Cloud Controls Matrix) de la CSA.
OWASP Quebec: "Security Stories" par Guillaume CroteauPatrick Leclerc
Le développement continu et la livraison continue sont des pratiques de plus en plus répandus. Intégrer la sécurité dans ces cycles de développement rapide peut être un défi de taille. Lors de cette présentation, vous découvrirez une approche exprimée dans la publication de SAFECode : «Practical Security Stories and Security Tasks for Agile Development Environments». Cette approche peut être adaptée à votre contexte et permet d’intégrer des tâches ou des fonctionnalités liées à la sécurité dans votre Sprint. Cette approche offre une réponse à la question : Comment faire en sorte que les requis de sécurité ne soient pas seulement appliqués juste avant la sortie officielle du produit?
Guillaume Croteau
Ingénieur Logiciel Junior
Bentley Systems
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2Microsoft Décideurs IT
En retour d'expérience des interventions du support réactif, mais aussi proactif chez nos clients, nous vous proposons une session sur la sécurité dans ConfigMgr 2012 R2. D’un côté, nous abordons comment ConfigMgr contribue à la mise en œuvre d’une meilleure protection. De l’autre, nous vous proposons de faire le tour des bonnes pratiques dans l’architecture de ConfigMgr 2012 R2 et la mise en œuvre de la délégation, notamment, afin d’éviter des crises potentielles.
Analyse de risques en cybersécurité industriellePatrice Bock
Principes du contrôle commande, méthodes d'analyse standard et limites, justification d'approches pragmatiques par l'actualité (octobre 2011).
Réalisé avant que DuQu soit rendu public, mais donc d'autant plus pertinent à présent.
L'intervention de Anas Abou El Kalam et Eric Fourn lors de la conférence du 19/04/2013 organisée par l'Institut Poly Informatique a été riche en information.
Tous les aspects abordés sont référencés dans la présentation partagée.
Web Application Firewall : une nouvelle génération indispensable ?Kyos
Le 29.06.2016, Kyos a organisé une matinée sécurité sur Genève autour du thème "Web Application Firewall : une nouvelle génération indispensable ?"
Introduction :
Selon une étude Deloitte : « 28% des Suisses s’adonnent au travail à domicile » et l’on estime à plus de 75% le nombre de personnes traitant leurs e-mails professionnels chez eux. Pour répondre à cette demande croissante, les entreprises publient de plus en plus d’applications web sur des plateformes publiques extérieures potentiellement non maitrisées.
À l’image de l’initiative « Work Smart », le futur du travail s’oriente vers plus de flexibilité. Accompagner cette dynamique tout en maintenant un haut niveau de sécurisation de l’information est aujourd’hui possible grâce aux outils permettant de recentrer la sécurité autour des données et des applications.
Parmi les solutions les plus utilisées se trouvent Microsoft Sharepoint pour le travail collaboratif et Microsoft ActiveSync pour le partage des emails et calendrier. Nous vous proposons au travers d’un cas réel déployé par notre partenaire Thinko d’illustrer comment protéger ces applications Microsoft avec la solution DenyAll.
Nous démontrerons comment augmenter la niveau de sécurisation des application web grâce notamment au « virtual patching », à l’autorisation géographique et aux autres fonctionnalités qui ont retenu l’attention de nos auditeurs.
Détecter et neutraliser efficacement les cybermenaces !Kyos
Le 10.05.2016, Kyos a organisé une matinée sécurité sur Genève autour du thème "Détectez et neutralisez efficacement
les cybermenaces !"
Introduction :
Se doter d’une « capacité proactive d’intelligence en sécurité » est souvent perçu comme une démarche complexe et coûteuse. Cependant les attaques restent trop souvent identifiées uniquement plusieurs mois ou années après les méfaits. Avec LogRhythm, nous vous apportons une solution de nouvelle génération de visibilité centralisée autour des cybermenaces et incidents, qui a été construite pour :
- centraliser la collecte des logs et évènements de votre infrastructure,
- analyser en temps réel et détecter les menaces,
- accélérer votre workflow de gestion des menaces,
- savoir décerner votre niveau de risque,
- mettre en œuvre rapidement la sécurité analytique,
- orchestrer et automatiser la réponse aux incidents.
Nous vous présenterons les fonctionnalités de LogRhythm et son utilisation possible pour la mise en place d’un SOC (Centre de supervision et d’administration de la sécurité).
Pour les personnes voulant aller plus loin, une deuxième partie « hands-on » technique est organisée pour vous permettre d’évaluer les capacités de la solution en direct. Nous vous remercions de bien vouloir transmettre cette invitation à vos collègues intéressés par ce type d’approche pratique et conviviale.
Nous vous présenterons le travail mené ces dernières années sur les crises de sécurité, plus particulièrement sur le cœur de la sécurité et de l’identité : Active Directory Lors de cette session, nous discuterons : - Des constats par rapport au contexte actuel ; - Des scénarios de remédiation Active Directory et de ce qu’ils impliquent pour votre organisation - Des approches proactives à appliquer pour minimiser le risque de compromission - Des solutions que Microsoft peut vous apporter pour vous protéger Cette session aborde les points techniques de la remédiation tout en restant accessible par un public non spécialisé.
Speakers : Didier Pilon (Microsoft France), Florent Reynal de Saint Michel (Microsoft France), Mohammed Bakkali (Microsoft France)
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Microsoft Technet France
Le Cloud est au cœur de la stratégie de Microsoft et représente une opportunité majeure pour les entreprises et administrations. Si le Cloud permet de gagner en agilité et de réduire les coûts, il bouleverse le management de la sécurité de l’information et amène de nouvelles interrogations : - Où sont stockées mes données ? Qui peut y accéder ? - Comment sont gérés les identités et le contrôle des accès ? - Répond-il à mes standards de chiffrement et de gestion des clés ? - Est-ce conforme à mes exigences réglementaires? - Quid de l’interopérabilité avec mes autres applications et de la réversibilité ? - … Au cours de cette session, nous vous présenterons comment Microsoft Consulting peut vous aider à évaluer votre exposition et votre tolérance aux risques en s’appuyant sur la démarche de la Cloud Security Alliance.
Speakers : Mohammed Bakkali (Microsoft France), Yann Duchenne (Microsoft France)
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Technet France
Panorama des fonctionnalités disponibles et des nouveautés dans Azure IaaS comme les groupes de sécurité réseau, la centralisation des événements de sécurité ou le nouveau service de protection Azure Key Vault en partenariat avec Thalès.
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Décideurs IT
Panorama des fonctionnalités disponibles et des nouveautés dans Azure IaaS comme les groupes de sécurité réseau, la centralisation des événements de sécurité ou le nouveau service de protection Azure Key Vault en partenariat avec Thalès.
"La sécurité de votre Système d’Information est à l’honneur dans ce talk.
- Comment sécuriser mes données et mes échanges avec Office 365 ?
- Où sont mes données une fois migrées ?
- Comment sécuriser mes périphériques en mobilité ?
- Protéger mes informations dans l’approche « Cloud First »,
- …
Nos experts répondent à TOUTES vos questions !"
L'adoption du Cloud impose une prise de conscience des RSSI sur les évolutions dans la gestion de la sécurité pour l'entreprise. Le choix d'un fournisseur de Cloud, le choix des applications à migrer, la détermination des implications sur la politique de sécurité de l'entreprise, le niveau de maturité de l'entreprise au niveau technique ou organisationnel impliquent une réflexion qui doit reposer sur une démarche guidée et pragmatique. Après un bref rappel des risques majeurs liés à l'adoption du Cloud, et ce quel que soit le modèle de déploiement envisagé (IaaS, PaaS et SaaS), cette session proposera une démarche d'analyse de risque simplifiée basée sur les principaux critères et réflexions de la Cloud Security Alliance (CSA), une organisation à but non lucratif dont l’objectif est promouvoir l'utilisation de bonnes pratiques pour le Cloud Computing.
Ce que vous devriez savoir sur le cloud computing (OWASP Quebec)Patrick Leclerc
Vous songez à réduire vos coûts liés à la gestion de vos infrastructures technologiques et de vos applications? Vous avez entendu dire que le Cloud Computing (pour certains l'infonuagique ou informatique en nuage) permettait d’augmenter la disponibilité, la performance et l'extensibilité de vos applications tout en protégeant vos actifs informationnels? En consommateur avisé, vous êtes méfiants et aimeriez en savoir davantage avant de vous lancer dans une aventure ou seuls les plus aguerris s’en sortent sans y laisser de plumes. Si tel est votre cas, ou si vous êtes tout simplement curieux de voir l'envers de la médaille, cette conférence est pour vous! Nous vous apporterons des pistes de solutions ainsi qu’un retour sur nos expériences de travail vécues sur la sécurité dans le Cloud.
Sécuriser votre chaîne d'information dans AzureNis
Gemalto est au cœur de l’évolution du monde numérique. Chaque jour, des entreprises et des gouvernements du monde entier placent en nous leur confiance pour les aider à offrir à leurs utilisateurs des services où facilité d’usage rime avec sécurité.
Dans le contexte précis de la sécurisation de l’identité et des accès, nous avons le plaisir de vous inviter à un événement que nous organisons avec Microsoft, VNext et NIS sur le sujet de sécurisation des accès aux services de Cloud Computing.
Lors de différents ateliers nous vous ferons découvrir nos solutions pour sécuriser les accès aux services cloud de votre entreprise pour vos employés en mobilité.
Cloud & Sécurité : Quels risques et quelles sont les questions importantes à ...Microsoft Décideurs IT
La migration vers le Cloud, quel que soit le modèle de déploiement envisagé (IaaS pour l’infrastructure, PaaS pour la migration des applications, ou SaaS pour l'utilisation de services du Cloud) fait apparaitre de nouveaux défis pour les responsables sécurité. En s'appuyant en particulier sur les travaux et réflexions de la Cloud Security Alliance (CSA), cette session aborde les différents aspects à considérer qu’il s’agisse de considérations techniques, organisationnelles, légales, ou encore de maturité de l'entreprise. Après la mise en évidence des risques les plus forts, nous aborderons dans une seconde partie les questions importantes à se poser dans le choix d'un fournisseur de Cloud et l'intérêt des normes telles que ISO 27001 et des certifications. La dernière partie de la session sera axée sur l'offre Microsoft Office 365 de type SaaS, et les réponses apportées d'un point de vue sécurité en s'attachant aux critères définis dans la matrice CCM (Cloud Controls Matrix) de la CSA.
OWASP Quebec: "Security Stories" par Guillaume CroteauPatrick Leclerc
Le développement continu et la livraison continue sont des pratiques de plus en plus répandus. Intégrer la sécurité dans ces cycles de développement rapide peut être un défi de taille. Lors de cette présentation, vous découvrirez une approche exprimée dans la publication de SAFECode : «Practical Security Stories and Security Tasks for Agile Development Environments». Cette approche peut être adaptée à votre contexte et permet d’intégrer des tâches ou des fonctionnalités liées à la sécurité dans votre Sprint. Cette approche offre une réponse à la question : Comment faire en sorte que les requis de sécurité ne soient pas seulement appliqués juste avant la sortie officielle du produit?
Guillaume Croteau
Ingénieur Logiciel Junior
Bentley Systems
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2Microsoft Décideurs IT
En retour d'expérience des interventions du support réactif, mais aussi proactif chez nos clients, nous vous proposons une session sur la sécurité dans ConfigMgr 2012 R2. D’un côté, nous abordons comment ConfigMgr contribue à la mise en œuvre d’une meilleure protection. De l’autre, nous vous proposons de faire le tour des bonnes pratiques dans l’architecture de ConfigMgr 2012 R2 et la mise en œuvre de la délégation, notamment, afin d’éviter des crises potentielles.
Analyse de risques en cybersécurité industriellePatrice Bock
Principes du contrôle commande, méthodes d'analyse standard et limites, justification d'approches pragmatiques par l'actualité (octobre 2011).
Réalisé avant que DuQu soit rendu public, mais donc d'autant plus pertinent à présent.
L'intervention de Anas Abou El Kalam et Eric Fourn lors de la conférence du 19/04/2013 organisée par l'Institut Poly Informatique a été riche en information.
Tous les aspects abordés sont référencés dans la présentation partagée.
Web Application Firewall : une nouvelle génération indispensable ?Kyos
Le 29.06.2016, Kyos a organisé une matinée sécurité sur Genève autour du thème "Web Application Firewall : une nouvelle génération indispensable ?"
Introduction :
Selon une étude Deloitte : « 28% des Suisses s’adonnent au travail à domicile » et l’on estime à plus de 75% le nombre de personnes traitant leurs e-mails professionnels chez eux. Pour répondre à cette demande croissante, les entreprises publient de plus en plus d’applications web sur des plateformes publiques extérieures potentiellement non maitrisées.
À l’image de l’initiative « Work Smart », le futur du travail s’oriente vers plus de flexibilité. Accompagner cette dynamique tout en maintenant un haut niveau de sécurisation de l’information est aujourd’hui possible grâce aux outils permettant de recentrer la sécurité autour des données et des applications.
Parmi les solutions les plus utilisées se trouvent Microsoft Sharepoint pour le travail collaboratif et Microsoft ActiveSync pour le partage des emails et calendrier. Nous vous proposons au travers d’un cas réel déployé par notre partenaire Thinko d’illustrer comment protéger ces applications Microsoft avec la solution DenyAll.
Nous démontrerons comment augmenter la niveau de sécurisation des application web grâce notamment au « virtual patching », à l’autorisation géographique et aux autres fonctionnalités qui ont retenu l’attention de nos auditeurs.
Détecter et neutraliser efficacement les cybermenaces !Kyos
Le 10.05.2016, Kyos a organisé une matinée sécurité sur Genève autour du thème "Détectez et neutralisez efficacement
les cybermenaces !"
Introduction :
Se doter d’une « capacité proactive d’intelligence en sécurité » est souvent perçu comme une démarche complexe et coûteuse. Cependant les attaques restent trop souvent identifiées uniquement plusieurs mois ou années après les méfaits. Avec LogRhythm, nous vous apportons une solution de nouvelle génération de visibilité centralisée autour des cybermenaces et incidents, qui a été construite pour :
- centraliser la collecte des logs et évènements de votre infrastructure,
- analyser en temps réel et détecter les menaces,
- accélérer votre workflow de gestion des menaces,
- savoir décerner votre niveau de risque,
- mettre en œuvre rapidement la sécurité analytique,
- orchestrer et automatiser la réponse aux incidents.
Nous vous présenterons les fonctionnalités de LogRhythm et son utilisation possible pour la mise en place d’un SOC (Centre de supervision et d’administration de la sécurité).
Pour les personnes voulant aller plus loin, une deuxième partie « hands-on » technique est organisée pour vous permettre d’évaluer les capacités de la solution en direct. Nous vous remercions de bien vouloir transmettre cette invitation à vos collègues intéressés par ce type d’approche pratique et conviviale.
Nous vous présenterons le travail mené ces dernières années sur les crises de sécurité, plus particulièrement sur le cœur de la sécurité et de l’identité : Active Directory Lors de cette session, nous discuterons : - Des constats par rapport au contexte actuel ; - Des scénarios de remédiation Active Directory et de ce qu’ils impliquent pour votre organisation - Des approches proactives à appliquer pour minimiser le risque de compromission - Des solutions que Microsoft peut vous apporter pour vous protéger Cette session aborde les points techniques de la remédiation tout en restant accessible par un public non spécialisé.
Speakers : Didier Pilon (Microsoft France), Florent Reynal de Saint Michel (Microsoft France), Mohammed Bakkali (Microsoft France)
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Microsoft Technet France
Le Cloud est au cœur de la stratégie de Microsoft et représente une opportunité majeure pour les entreprises et administrations. Si le Cloud permet de gagner en agilité et de réduire les coûts, il bouleverse le management de la sécurité de l’information et amène de nouvelles interrogations : - Où sont stockées mes données ? Qui peut y accéder ? - Comment sont gérés les identités et le contrôle des accès ? - Répond-il à mes standards de chiffrement et de gestion des clés ? - Est-ce conforme à mes exigences réglementaires? - Quid de l’interopérabilité avec mes autres applications et de la réversibilité ? - … Au cours de cette session, nous vous présenterons comment Microsoft Consulting peut vous aider à évaluer votre exposition et votre tolérance aux risques en s’appuyant sur la démarche de la Cloud Security Alliance.
Speakers : Mohammed Bakkali (Microsoft France), Yann Duchenne (Microsoft France)
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Technet France
Panorama des fonctionnalités disponibles et des nouveautés dans Azure IaaS comme les groupes de sécurité réseau, la centralisation des événements de sécurité ou le nouveau service de protection Azure Key Vault en partenariat avec Thalès.
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Décideurs IT
Panorama des fonctionnalités disponibles et des nouveautés dans Azure IaaS comme les groupes de sécurité réseau, la centralisation des événements de sécurité ou le nouveau service de protection Azure Key Vault en partenariat avec Thalès.
Cette session est destinée à vous présenter des retours d’expériences de solutions cloud pour rendre votre IT plus agile. Cette session animée et interactive vous permettra de découvrir plusieurs solutions que vous pourrez intégrer progressivement.
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideMicrosoft Décideurs IT
Cette session est destinée à vous présenter des retours d’expériences de solutions cloud pour rendre votre IT plus agile. Cette session animée et interactive vous permettra de découvrir plusieurs solutions que vous pourrez intégrer progressivement.
L'attraction qu'exerce le Cloud Computing sur l'industrie des technologies de l'information rend plus impérieuse encore la nécessité pour les développeurs de logiciels et les responsables des opérations de collaborer pour la création et l'exploitation d'applications et de services innovants et massivement scalables. La plateforme Azure ne fait pas exception à cette règle. Certes, elle permet de créer et déployer de nouvelles applications et leur infrastructure sous-jacente en quelques minutes. Mais pour tirer pleinement parti des possibilités qu'offre ce nouveau paradigme, il convient de repenser la définition des modèles de ces nouveaux services, l'automatisation de leur déploiement, la gestion des configurations et des mises à jour, le monitoring des performances, la remontée d'alerte, et enfin et surtout l'intégration des processus de développement. L'ensemble des pratiques et technologies correspondantes s'inscrivent dans une démarche DevOps que nous nous proposons de détailler et de démontrer au cours d'une session articulée sur leur mise en œuvre dans le contexte d'un service Cloud déployé sur la plateforme Windows Azure.
Speakers : Vincent Labatut (SOGETI), Stéphane Goudeau (Microsoft)
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...AZUG FR
Après des chemins sinueux, les différents services Azure s’harmonisent enfin leurs stratégies de monitoring. Focus sur Azure Monitor et ses fonctionnalités, ainsi que les modalités d'intégration entre un service, Azure Monitor, et des briques analytiques en aval: Application Insights, ou Log Analytics
Tour de France Azure PaaS 4/7 Sécuriser la solutionAlex Danvy
La sécurité revêt de multiple aspects. Nous passerons en revue les différents domaines où elle tient un rôle important. Des contrôles d'accès jusqu'à l'exécution de code en passant par l'analyse des sources et le chiffrement, entre autres, nous verrons les outils et méthodes qui peuvent nous aider à améliorer la sécurisation des solutions.
Quels services Azure pour mon application Web ?Microsoft
Dans cette session, nous présenterons les critères de choix importants qui vous permettront de déterminer les services Microsoft Azure les plus adaptés pour constituer les différentes briques de vos applications web. Quelle solution pour mes frontaux ? Quel service pour la recherche ? Quelle solution pour mes données ? Comment optimiser mes performances ? Si vous vous posez ce genre de questions, cette session est pour vous.
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...Marius Zaharia
Après des chemins sinueux, les différents services Azure s’harmonisent enfin leurs stratégies de monitoring. Focus sur Azure Monitor et ses fonctionnalités, ainsi que les modalités d'intégration entre un service, Azure Monitor, et des briques analytiques en aval: Application Insights, ou Log Analytics.
Session Exakis: Avec les modèles Cloud Privé, les DSI se transforment en fournisseurs de service pour adresser les besoins des métiers. Les infrastructures convergées permettent d’adresser rapidement et simplement tous les prérequis pour la réussite de votre projet Cloud Privé. A travers le parcours de plusieurs cas d’écoles, venez découvrir les possibilités offertes par l’alliance Microsoft et Cisco : des phases de stratégie aux phases d’opération, vous découvrirez comment accompagner vos équipes et transformer votre existant sans impact sur votre production.
Session Exakis: Avec les modèles Cloud Privé, les DSI se transforment en fournisseurs de service pour adresser les besoins des métiers. Les infrastructures convergées permettent d’adresser rapidement et simplement tous les prérequis pour la réussite de votre projet Cloud Privé. A travers le parcours de plusieurs cas d’écoles, venez découvrir les possibilités offertes par l’alliance Microsoft et Cisco : des phases de stratégie aux phases d’opération, vous découvrirez comment accompagner vos équipes et transformer votre existant sans impact sur votre production.
Plongez dans les architectures hybrides avec un scénario de bout en bout s'appuyant sur des briques disponibles dans le cloud et à demeure: BizTalk , Service Bus, Active Directory, Virtual Machines, .... Nous n'oublierons pas des patterns de résilience, de réversibilité, ...
Speakers : Benjamin Guinebertière (Microsoft), Arnaud Cleret (Digo-IT)
Exadays cloud – Enjeux et Transformation du SISamir Arezki ☁
Le Cloud révolutionne la manière de concevoir, de gérer et d'utiliser le système d'information. En effet, il offre des bénéfices déterminants pour répondre aux enjeux des entreprises : maîtrise du Time to Market, accélération des cycles d’innovation, gestion du risque disruptif, maîtrise des coûts, ect.
Dans cette session, nous présenterons une démarche globale pour bâtir votre stratégie Coud. Ainsi que les différents modèles (cloud public / hybride) et technologies Microsoft Azure pour faciliter et réussir votre transition vers le Cloud.
Nous aborderons différents scénarios et retours d’expériences.
Similaire à Comment Microsoft IT a transféré certaines responsabilités liées à la sécurité aux équipes DevOps (20)
Le Machine Learning pour lutter contre les menaces en termes de Cybersécurité...Philippe Beraud
Avec l'agilité et l'échelle du Cloud, la capacité des machines à analyser rapidement et à répondre des quantités sans précédent de données devient indispensable comme la fréquence, l'échelle et la sophistication des cyberattaques ne cessent d'augmenter. Extraire les signaux d'un attaquant de milliards d'événements de log en quasi réel temps depuis un stockage à l'échelle du Pétaoctet est une tâche ardue.
L'application des algorithmes de Machine Learning aux vastes quantités de données issues des logs et de la télémétrie recueillies par les différents services donne une connaissance et une capacité de détection d'anomalies sans précédent pour identifier les comportements malveillants ou les entités malveillantes ; appelez-les hackers, attaquants, logiciel malveillant, comportement indésirable, etc. Ces techniques contribuent à identifier les menaces plus efficacement que d'autres approches pilotées par logiciel pour défendre les services Cloud de Microsoft, son infrastructure et ses clients.
Cette session s’intéressera à la façon dont le Machine Learning et désormais le Transfer Learning peuvent être appliqués à la Cybersécurité à chaque niveau de défense (prévention, détection et remédiation) et illustrera comment cela se traduit dans les services proposés à nos clients.
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurité aux équipes DevOps
1. #experiences18
Comment Microsoft IT a transféré certaines
responsabilités liées à la sécurité aux équipes
DevOps
Philippe Beraud
Direction Technique et Sécurité
Microsoft France
Marc Thenot
Microsoft IT
Microsoft France
2. #experiences18Microsoft experiences18
95 percent of security issues and failures of cloud
services will be the fault of the customer, rather than
the service provider, in 2020.
- Gartner
GartnerRevealsTopPredictionsforITOrganizationsandUsersfor2016andBeyond
https://www.gartner.com/newsroom/id/3143718
6. #experiences18Microsoft experiences18
L’approche en matière de sécurité doit être repensée…
Et Microsoft CSEOn’y fait pas exceptionpour son portefeuilledesolutions…
Vitesse versus Contrôle
Développement Gouvernance IT
Vitesse Contrôle
7. #experiences18Microsoft experiences18
L’approche en matière de sécurité doit être repensée…
Et Microsoft CSEOn’y fait pas exceptionpour son portefeuilledesolutions…
File d'attente de revues de sécurité
Processus de
revue SDL
Processus de revue
de l’infrastructure
• Auto-approvisionnement sûr, auto-
gouvernance des environnements applicatifs
• Sécurité intégrée dans DevOps
• Modèles Ville, État et Gouvernement federal
pour la sécurité
LE QUOTIDIEN AVEC LE CLOUD
Processus de revue
de la protection de
la vie privée
Télémétrie de
sécurité
LE QUOTIDIEN AVANT LE CLOUD
8. #experiences18Microsoft experiences18
L’approche en matière de sécurité doit être repensée…
Comment embrasser la vitesse de DevOps et la livraison continue dans un
environnement sûr ?
Ou comment s’assurer notamment de la mise en œuvre des contrôles appropriés pour l’environnement des
solutions déployées et les données concernées ?
Des centaines de pages de
documentation sur la sécurité
Azure
Avec des services en croissance constante,
des capacités sans cesse plus nombreuses
et évoluées, etc.
9. #experiences18Microsoft experiences18
Les enseignements des projets pilotes HC(Highly ConfidentialData)
Pour Microsoft CSEO
> L’automatisation de la sécurité est une obligation !
Difficile de maintenir la parité entre “DevTest-> SIT-> UAT-> PROD". Trop d'environnements à passer en revue !
Nécessité de s'efforcer de valider de bout en bout - d'une réclamation lors d’un modèle de menaces à une ressource réelle
dans l'abonnement cible
Nécessité de suivre les artefacts critiques hautement confidentiels ("instantanés" sécurisés). L’étiquetage/l’organisation
peuvent vous aider.
Les processus d'exception tels que les récupérations après sinistre sont source d'angoisse
> Nécessité de pousser l'autonomisation de l'équipe d'ingénierie au niveau
supérieur
Faciliter la pré-configuration de la sécurité – p. ex. modèles ARM miniatures
Intégrer des outils de sécurité tels que CredScan dans le flux de travail de construction du projet CSEO Azure DevOps OneITVSO
Étendre la portée de la vérification automatisée des contrôles de sécurité (plus de services, plus de contrôles pour chaque
service)
10. #experiences18Microsoft experiences18
Les enseignements des projets pilotes HC(Highly ConfidentialData)
Pour Microsoft CSEO
> Le changement continu nécessite un passage à la conformité continue !
Les conceptions « validées » et les évaluations « ponctuelles » amène une tension naturelle avec l’Intégration
Continue/Déploiement continu (pipeline CICD)
Besoin d'une capacité à capturer des instantanés de sécurité et à suivre la « dérive » d'un état sécurisé
> Nécessité de comprendre et d'établir une hygiène de sécurité opérationnelle
dans Azure
Hygiène des abonnements, revues d'accès et gestion du changement
Configurations des ressources, pare-feu, revues de la configuration réseau (appliance)
Rotation des clés, récupération après sinistre/continuité des activités (BC/DR) , audit/surveillance, réponse aux incidents
12. #experiences18Microsoft experiences18
Niveau
organisationnel Portée Azure
Application de la
politique Azure
Automatisation
fournie par l’IT Support DevOps BI + Analytique
Mondiale
(Microsoft.com)
Des milliers
d'abonnements
Politiques globales
légères
AIRS ServiceTree
Fédéral
(Microsoft CSEO)
Des centaines
d'abonnements
Politiques DSRE
Politiques réseau
Modèles ARM
Bibliothèque
d'automatisation Azure
Mise à disposition de
boîtes à outils DevOp
Reporting des données
agrégées
LT CIO
État
(Service en ligne)
Des dizaines
d'abonnements
Politiques propres à
l’organisation
Modèles personnalisés,
automatisation
Boîtes à outils
personnalisées
Plusieurs instances OMS
Données agrégées
Rapports
LT BPU
Ville
(Services/Apps)
Plusieurs abonnements
+ groupes de ressources
Politiques propres au
service
Modèles CI/CD Télémétrie et alertes Espace de travail OMS
Opérationnalisation du Cloud
Gestion des abonnements Azure
13. #experiences18Microsoft experiences18
Vous avez dit Secure DevOps Kit for Azure
(AzSK) ?
- ou- Comment concevoir, élaborer et mettre en œuvre une stratégie de
gouvernance qui réponde aux besoins de Microsoft CSEO en matière de
gouvernance Cloud pour l’entreprise tout en améliorant les capacités des
services Azure
14. #experiences18Microsoft experiences18
Secure DevOps Kit pour Azure (AzSK)
Un objectif simple! ;-)
Pouvoir manuellement auditeur et corriger toutes les ressources déployéess dans Azure vis-à-vis
de la conformité en matière de sécurité
Dans la pratique
Un ensemble de scripts, d'outils, d'extensions, d'automatisations, etc. pour les équipes DevOps
qui utilisent l'automatisation et intègrent la sécurité dans les flux de travail DevOps natifs
Construit par Microsoft CSEO (Microsoft Core Services Engineering)
Utilisé pour sécuriser plus de 750 abonnements Azure chez Microsoft
15. #experiences18Microsoft experiences18
Secure DevOps Kit
pour Azure (AzSK) Sécurité des
abonnements
(Policy, config.
ASC, alertes, RBAC,
etc.)
Assurer la sécurité dans l'abonnement
Un abonnement cloud sécurisé constitue la base des activités
de développement et de déploiement.
Sécurité
IntelliSense,
Tests de
vérification de
sécurité (SVTs)
Développer de manière sécurisée,
contrôler ponctuellement la
sécurité via des scripts
Les développeurs doivent avoir la possibilité
d'écrire du code sécurisé et de tester la
configuration sécurisée de leurs applications
cloud.
CICD
Extensions
Build/Release
Déployer de manière sécurité à
partir du pipeline Build/Release
d’Azure DevOps
Possibilité d'exécuter des tests de
vérification de sécurité (SVTs) dans le cadre
du pipeline CICD d’Azure DevOps
Runbooks
d'assurance
continue
Balayage périodique en production
pour détecter toute dérive
Traiter la sécurité d'un système comme un état
en constante évolution avec une assurance
continue
Surveillance
Azure pour les
alertes
Tableau de bord de sécurité
unique sur toutes les étapes
DevOps
Fournir des solutions pour les équipes
d'applications individuelles et pour les
équipes d'entreprises centrales
Gouvernance
des risquesApporter des améliorations
de sécurité basées sur les
données
Un Framework de télémétrie qui
génère des événements capturant
l'utilisation, l'adoption, les résultats
d'évaluation, etc.
16. #experiences18Microsoft experiences18
Déploiement de la gouvernance et des politiques de sécurité
Zone de fonctionnalité
• Le déploiement est manuel – Le déploiement de politiques exige
que les utilisateurs exécutent la commande azsk sur chaque
abonnement.
• L'application des politiques est manuelle – Comme le
déploiement est manuel, l'abonnement doit être surveillé pour
l'existence de contrôles
• Les rapports de conformité sont centralisés – La surveillance des
violations des politiques sont centralisées et exige une équipe
pour notifier les propriétaires d'abonnement lorsque des
ressources ne sont plus conformes
• La correction est manuelle – La correction d’un problème de
conformité nécessite que les utilisateurs exécutent des
commandes azsk sur chaque abonnement avec des ressource
défaillantes
Sécurité des
abonnements
Vérification de la sécurité des
abonnements
Provisionnement d'abonnements
Développement sécurisé Tests de vérification de sécurité (SVTs)
Extension éditeur VS de sécurité
IntelliSense
Sécurité dans le pipeline
CICD
Extension AzureDevOps AzSK-SVTs pour
l'injection de tests de sécurité dans un
pipeline CICD
Assurance continue Analyse de sécurité des abonnements
Azure et des applications via des
runbooks Automation
Alertes et surveillance Vue à volet unique de la sécurité à
travers les étapes de DevOps
Gouvernance des risques
liés au Cloud
Prise en charge des tableaux de bord
d'attestation de contrôle et de
gouvernance de la sécurité.
Défis
17. #experiences18Microsoft experiences18
Activation de Secure DevOps
Abonnement
Bilan de santé
Approvisionnement
Administration
« juste assez » (JEA)
Tests de vérification de la
sécurité dans les flux de travail
CI/CD
Sécurité IntelliSense
Tests de vérification de la sécurité
Tests de vérification de la sécurité
Tests de vérification de la
sécurité dans les flux de travail
CI/CD
Solution OMS pour AzSK
Conformité continue
Bilan de santé
Approvisionnement
Administration
« juste assez » (JEA)
19. #experiences18Microsoft experiences18
Déploiement de la gouvernance et des politiques de sécurité Azure
Impacts@Microsoft CSEO
Plus de 750 abonnements scannés
35000 ressources Azure scannées
2,2 millions contrôles scannés à date
Plus de 110 000 heures d'effort manuel d’économisées
Plus de 280 contrôles de sécurité sur plus de 30 services Azure de type IaaS/PaaS
Plus de 200 SDLs sur des apps métier d’entreprise au sein de l’IT
20. #experiences18Microsoft experiences18
Déploiement de la gouvernance et des politiques de
sécurité Azure
Impacts@Microsoft CSEO
Plus de 280 contrôles de sécurité couverts par le Kit AzSK
Automatisés par le kit DevOps ou qui doivent être vérifiés manuellement
aka.ms/azsdkosstcp
21. #experiences18Microsoft experiences18
Ce que nous aurions souhaité avoir ou connaitre...
Migration et planification
Standards et architecture
Consultatif
Sécurité pour les
développeurs
Migration et automatisation
Multi-Cloud
Outillage Sec aaS
Services de sécurité pour les
applications
Centralisation des opérations
(surveillance, vérification de la
configuration)
22. #experiences18Microsoft experiences18
Et ensuite ? Comme voie à suivre
Devenir natif Azure afin :
• d’empêcher le déploiement de ressources non conformes
• d’automatiser la remédiation
• d’être "Secure by default"
23. #experiences18Microsoft experiences18
Déploiement des politiques de sécurité Azure
Prochaines étapes
✓ Le déploiement est automatisé – Le déploiement des stratégies
est poussé à tous les abonnements selon l’arborescence des
groups d’administration
✓ L'application des politiques est automatisée – L'inhérence est
appliquée à tous les abonnements selon l’arborescence des
groups d’administration
✓ La déclaration de conformité est multi niveau – Les résultats
d'audit des politiques peuvent être consultés par les propriétaires
d'abonnement via une lame Azure ou des gestionnaires IT
✓ Les rapports de conformité sont à plusieurs niveaux – Les
propriétaires d'abonnement peuvent voir les résultats de l’audit
de politiques via une lame Azure ou des responsables IT
✓ La remédiation est automatisée – La nouvelle fonctionnalité de
remédiation d’Azure Policy permet aux utilisateurs d’avoir des
échecs
Défis résolus
Groupes d'administration déployés pour les abonnements de test
• Politiques de sécurité prêtes pour les pilotes (74)
• Politiques d'infrastructure prêtes pour les pilotes (19)
Adoption des groupes d'administrationde production
• Journalisation de l’activité des groupes d'exploitation
• RBAC améliorés pour les groupes d’administration
24. #experiences18Microsoft experiences18
Vers la mise en œuvre d’une gouvernance moderne native
Vitesse versus Contrôle
Développement Gardien du Cloud
Vitesse Contrôle
Modèles
Politiques
RBAC
Groupes
d’administration
Gestion des
coûts
Graphe de
Ressources
Gouvernance Azure
Blueprints
27. #experiences18Microsoft experiences18
En guise de conclusion
Mettre en place des bonnes pratiques pour protéger votre environnement dans une
posture « Assumer les violations » ! ;-)
Inventorier vos actifs
Investissez dans votre
plate-forme.
L'agilité et l'évolutivité
nécessitent une réflexion
prospective et la création de
plates-formes le permettant
Investissez dans votre
Instrumentation
Assurez-vous de mesurer de manière
exhaustive les éléments de votre
plate-forme
Investissez dans vos personnes
Des analystes qualifiés et des data
scientists sont le fondement de la
défense, tandis que les utilisateurs
constituent le nouveau périmètre de
sécurité
Surveiller votre réseau, vos hôtes et
vos journaux
Tester régulièrement les contrôles
pour l'exactitude et l'efficacité -
RedTeam
Mettre l’emphase sur la
communication entre les équipes de
réponse aux incidents
Pratiquer une bonne hygiène
Supprimer les droits d'administrateur
permaments
Définir les modèles et l’architecture
Automatiser la sécurité – Rendre cela
facile
Tout le monde est responsable !
28. #experiences18Microsoft experiences18
En guise de conclusion
Utiliser le Secure DevOps Kit for Azure (AzSK)
Il est très facile à démarrer avec des analyses de vulnérabilité non intrusives
• Une seule ligne de PowerShell
• Non intrusif : le rôle RBAC Reader est suffisant
• Après le premier scan, il est fort possible que vous soyez occupé pendant un moment ! ;-)
Lorsque les analyses de vulnérabilité AzSK sont déjà une habitude dans votre organisation, vous pouvez étendre l’outillage de bout en
bout, de la machine du développeur au pipeline CI/CD, en passant par l'assurance continue
• Configurer l’assurance continue pour Log Analytics
• Configurer le support CI/CD avec les plugins Azure DevOps
• Sensibiliser vos équipes sur les contrôles de sécurité défaillants les plus courants
• Construire de nouveaux environnements sécurisés dès le départ avec le vérificateur de modèles ARM AzSK
29. #experiences18Microsoft experiences18
Pour aller plus loin
Sur SecDevOps
SANS A DevSecOps Playbook
Awesome DevSecOps sur GitHub :
• Manifeste : devsecops.org/
github.com/devsecops/awesome-devsecops
OWASP Glue sur GitHub : github.com/OWASP/glue
30. #experiences18Microsoft experiences18
Pour aller plus loin
Sur le Secure DevOps Kit for Azure (AzSK)
Getting started with the Secure DevOps Kit for Azure (AzSK)
Building cloud apps using the Secure DevOps Kit for Azure (IT showcase)
Site web: https://azsk.azurewebsites.net/index.html
Repo GitHub :
github.com/azsk/DevOpsKit
github.com/azsk/DevOpsKit-docs
Support : mailto:azsdksupext@microsoft.com
31. #experiences18Microsoft experiences18
Pour aller plus loin
Avec des sessions lors de la conférence Ignite 2018
• BRK3062 - Architecting Security and Governance Across your Azure Subscriptions
• BRK3085 - Deep dive into Implementing governance at scale through Azure Policy
• THR2360 - Cloud governance at Microsoft through Azure Policy, management groups, and the Azure Secure
DevOps Kit
• THR2104 – Assess your Microsoft Azure security Center like a pro
• THR2194 - Azure IT controls for automation and configurations of your Azure and on-prem environment
• THR2358 Building cloud apps using the Secure DevOps for Azure
Et d’autres informations et webcasts
• Govern your Azure environment through Azure Policy - Build 2018
• Implement governance in Microsoft Azure at scale with policy-based management - Ignite 2017
32. #experiences18Microsoft experiences18
Pour aller plus loin
De la formation à la certification
Microsoft Learning: http://learning.microsoft.com
#experienceslive
Pour des réponses à toutes vos questions techniques
Microsoft Docs: https://docs.microsoft.com