La stratégie de sécurité de Microsoft se concentre sur la protection des données et la gestion des identités dans un environnement cloud en pleine évolution, face à des menaces croissantes de cybercriminalité. Microsoft propose une approche intégrée qui utilise l'analyse des risques, la classification des données et des politiques d'accès basées sur le contexte pour sécuriser les informations sensibles. L'entreprise s'engage également à garantir la confidentialité des données des clients et à offrir un accès flexible et sécurisé aux ressources en ligne.

2. La stratégie sécurité de
Microsoft
Bernard Ourghanlian
CTO & CSO
Microsoft France
bourghan@microsoft.com, @Ourghanlian
Sécurité

3. Sommaire

4. Social
Mobil
e D’ici 2016
La génération Y
représentera
, les
smartphones et les
tablettes seront entre les
mains de 1 milliard de
consommateurs dans le
monde
1,3 milliard
75% de
la main d’œuvre aux
US en 2025
65%
La population des
collaborateurs
mobiles représentera
soit plus de
37% du total de la main d’œuvre
en 2015
Clou
d
des entreprises
déploient au moins
un outil de réseau
social
70%
80%
Plus de
des nouvelles
Apps ont été
distribuées ou
déployées
sur/depuis des
Clouds en 2012
des organisations
utilisent déjà ou
investiguent des
solutions de Cloud
Computing
Big Data
Le contenu numérique représente
2,7 ZO* en 2012, en
progression de 48% depuis 2011,
et représentera
8 ZO en 2015
80%
de croissance des données
non structurées dans les 5
prochaines années

6. • Du côté des attaquants
• Du côté des défenseurs

8. Sans discrimination
Cible consommateur
Vecteur unique
Manuelle
Poste de travail
Visible
Acteur solitaire
Spam
Vol d’information
Ciblée
Cible entreprise
Vecteurs multiples
Automatisée
Terminal et Cloud
Dissimulée
Ecosystème organisé
Vol d’information
Destruction d’information
Le modèle traditionnel de sécurité des SI n’est plus adapté !

9. Sommaire

11. Sécurité
Vie privée
Sécuriser contre les
attaques
Protéger contre une
divulgation non désirée
Protéger la
confidentialité, l’intégrité
et la disponibilité des
données et des
systèmes
Choix et contrôle de
l’utilisateur
Aider à gérer les risques
Fiabilité
Sûr et disponible
Pratiques commerciales
Maintenable
Les produits et les
services en ligne
adhèrent à des principes
d’information équitables
Service prévisible,
cohérent, réactif
Engagement sur une
interopérabilité centrée
sur les préoccupations
de nos clients
Ouvert, transparent
Résilient, facile à
restaurer
Prouvé, prêt

12. Innovation Métier
Stratégie
Sécurité

13. Intelligence et analyse pour
l’atténuation des menaces
Tirer parti du Big Data pour
améliorer la sécurité
Accès flexible et dynamique pour des
services Cloud publics, privés,
hybrides
Changer la façon dont les gens
communiquent et collaborent
Etendre votre business au Cloud
tout en protégeant vos données
Prolifération des terminaux
personnels et d’entreprise
Les employés utilisent en toute
sécurité les postes de leur choix
Connecter les gens et accélérer
la collaboration sécurisée

14. Permettre aux
utilisateurs d’utiliser
en sécurité les
terminaux qu’ils
choisissent

16. CRM Online

18. Sommaire

19. Utilisateurs
Appareils
Les utilisateurs veulent
pouvoir travailler depuis
n’importe où et avoir
accès à toutes les
ressources.
L’explosion et la diversité
des appareils mobiles remet
en cause l'approche basée sur
les standards IT de l'entreprise.
Applications
Le déploiement et la gestion
des applications sur
l’ensemble des plateformes
est complexe.
Données
Les utilisateurs doivent être
productifs tout en
respectant la contraintes
de conformité et en
limitant les risques.

20. Donner le choix aux
utilisateurs
Permettre aux utilisateurs de
travailler à partir de l’appareil de
leur choix et offrir un accès
cohérent aux ressources de
l’entreprise.
Unifier l’environnement
Utilisateurs
Appareils
Applications
Données
Fournir une gestion unifiée des
applications et des appareils à
demeure et dans le Cloud.
Protéger les données
Accès. Protection. Administration.
Aider à protéger les
informations de l’entreprise et
gérer les risques.

21. √
Gestion des identités et
des accès
Classification & Protection
des données
Gestion de la sécurité
Une identité unique pour l’accès
aux ressources à demeure et
dans le Cloud
Centralisation des informations
d’entreprise pour le respect de la
conformité et la protection des
données
Analyse de risques Cloud
Une connexion automatique aux
ressources internes à la demande
Contrôle d’accès aux applications
et données basées sur des
politiques de sécurité
Chiffrement automatique des
données basé sur la classification
des documents
Protection des données sur tous
les appareils mobiles
Changer de manière durable les pratiques
d’administration
Gestion des appareils et des applications

22. Gestion des
identités
Défis
Solutions
Offrir aux utilisateurs une identité commune pour
l’accès à des ressources hébergées sur site dans un
environnement d'entreprise, et sur des plateformes
Cloud.
Les utilisateurs bénéficient d’une expérience de
signature unique (SSO) pour l’accès aux ressources,
indépendamment de la localisation.
Gérer des identités multiples et maintenir
l’information synchronisée entre les environnements
est une charge pour les ressources IT.
Les utilisateurs et l’IT peuvent tirer parti de l’identité
commune pour l’accès aux ressources externes à
travers la fédération
L’IT peut gérer de manière cohérente les identités
sur site et dans le Cloud.

23. L’IT peut configurer les
applications SaaS les plus
populaires depuis la galerie
des applications
Les Développeurs peuvent
construire des applications
s’appuyant sur le modèle
d’une identité commune
Les utilisateurs bénéficient d’une
signature unique (SSO) pour
toutes leurs ressources (internes,
applications de Windows Azure,
Office 365 et applications tierces)
L’IT peut fournir aux utilisateurs une
identité commune pour les services à
demeure ou dans le Cloud en tirant parti
de Windows Server Active Directory et
de Windows Azure Active Directory

24. Gestion des
accès
Défis
Solutions
Les utilisateurs veulent utiliser l’appareil de leur choix
et avoir accès aux applications, données et ressources
tant personnelles que professionnelles.
Les utilisateurs peuvent enregistrer leurs appareils, ce qui les
rend connus de l’IT, qui peut utiliser l’authentification de
l’appareil pour l’accès aux ressources de l’entreprise.
Les utilisateurs veulent disposer d’un moyen simple
pour accéder à leurs applications professionnelles
depuis n’importe où.
Les utilisateurs peuvent enrôler leurs appareils ce qui leurs
donne l’accès au portail de l’entreprise offrant un accès
cohérent aux applications et données, en plus de la gestion
de leurs appareils.
Les départements IT veulent mettre en place ces
scénarios pour les utilisateurs mais doivent également
contrôler l’accès aux informations sensibles tout en
restant en conformité vis-à-vis des politiques
réglementaires.
L’IT peut publier l’accès aux ressources de l’entreprise avec un
contrôle d’accès basé sur l’identité de l’utilisateur, l’appareil
qu’il utilise et sa localisation.

25. Le contexte d’accès
inclut les
caractéristiques de
l’identité présentée, le
niveau de confiance
du terminal mobile, la
localisation et la force
de l’authentification
Identité
Niveau de
confiance de
l’appareil
Les données et services
sont classifiés selon les
règles de l’entreprise et en
respect des
réglementations
Niveau de
confiance de
la
localisation
Force de
l’authentification
Les politiques d’accès
définissent les règles
d’accès en fonction du
contexte et de la
sensibilité des services et
données accédés

26. 1. L’utilisateur tente de se
connecter ou de faire une
action sujette à MFA
2. Quand l’utilisateur
s’authentifie, l’application ou
le service effectue un appel
au service MFA
3. L’utilisateur doit répondre
à un challenge (SMS, un
appel téléphonique ou
application mobile)
Appareils
Utilisateur
Apps & Data
4. La réponse est retournée à
l’application qui autorise
l’accès à l’utilisateur
5. L’IT peut configurer le type
et la fréquence de la
sollicitation MFA à laquelle
l’utilisateur doit répondre

27. Augmentation de la résistance aux
malwares en intégrant un anti-malware de
base, en sécurisant la séquence de
démarrage et en diminuant la surface
d’attaque des sous-systèmes de sécurité
Renforcement de la confiance
dans l’authentification par la
protection des identités avec la
carte à puce virtuelle et
l’intégration en standard de la
biométrie
Protection des données sensibles dans un
contexte BYOD avec le chiffrement du
périphérique pour toutes les déclinaisons de l’OS
et l’effacement sélectif des données entreprise
Renforcement de la sécurité par le matériel
Utilisation du TPM et UEFI pour sécuriser la
séquence de démarrage, garantir l’intégrité,
chiffrer le disque, protéger les identités
Utilisation de services en ligne SaaS
pour valider l’état de santé de l’appareil
(Provable PC Health) et la réputation des
sites et applications (Smartscreen) pour
un écosystème plus sûr
DirectAccess
VPN
Une connexion VPN automatique
offre un démarrage transparent du
VPN dès lors qu’une connexion
internet est présente ou bien lorsque
l’utilisateur lance une application qui
nécessite un accès aux ressources de
l’entreprise

28. Cycle de vie des applications avec
possibilité de déployer (mode push) les
apps, mise à jour ou suppression en mode
silencieux. Mise à disposition d’applications
du Windows Phone Store depuis le MDM et
liste des apps installables ou bloquées.
Wi-Fi Entreprise avec support de
l’authentification par certificat,
profils de configuration Wi-Fi et
certificats distribués par MDM et
politiques Wi-Fi avancées
VPN auto-déclenché avec client
intégré compatible avec la plupart
de VPN avec un profil par
application
Chiffrement de l’appareil y
compris pour les applications
et données stockées sur microSD. Photos, musiques et vidéos
restent non-chiffrées
Intégration MDM avec client OMA
SynchML intégré et possibilité de
personnaliser l’expérience utilisateur
d’enrôlement
Gestion des certificats : cycle de vie géré
depuis le MDM; utilisation pour
authentification utilisateur, Wi-Fi, VPN,
navigateur, applis métier;
Support S/MIME et des cartes à puce
virtuelles

29. Classification
et protection
des données
√
Défis
Solutions
Les utilisateurs apportent leurs propres appareils au
travail, veulent accéder à des informations sensibles
y compris localement sur l’appareil.
Les utilisateurs peuvent travailler sur l'appareil de
leur choix et être en mesure d'accéder à toutes
leurs ressources, indépendamment du lieu ou de
l’appareil.
Une quantité importante de données d'entreprise
peut être trouvée localement sur les appareils des
utilisateurs.
L’IT doit être en mesure de sécuriser, classifier et
protéger les données en fonction du contenu, et pas
seulement en fonction de leurs localisations, tout en
respectant les contraintes réglementaires.
L’IT peut appliquer de manière centralisée un
ensemble de politiques d'accès et d'audit, et être
capable de protéger les informations sensibles en
fonction du contenu des documents.
L’IT peut auditer et établir des rapports sur l’accès à
l’information.

30. Revendications utilisateur et appareil –
Les revendications utilisateur/ appareil
sont définies en plus des groupes pour
être utilisées comme conditions d’accès à
des informations classifiées
Contrôle de l’accès aux fichiers –
Des politiques d’accès centralisées
permettent aux entreprises d’appliquer
des politiques de sécurité. Par exemple, il
est possible de définir qui peut accéder à
des informations concernant des dossiers
de santé dans l’entreprise.
Classification – Définition de
propriétés de classification sur la
base de catégories prédéfinies
(Informations privées, Sécurité de
l’information, données légales,…)
avec extension possible selon le
contexte client
Classification automatique – Les règles de
classification sont appliquées de manière
continue par le moteur de classification de fichiers
en fonction des propriétés de ressource et du
contenu des documents

31. Classification
automatique basée
sur le contenu. La
classification
s’applique à la
création ou
modification des
fichiers.
La classification, les
politiques d’accès et
l’application automatique
des droits d’usage (RMS)
s’exercent sur les données
distribuées sur les clients
à travers les Work Folders.
Administration
centralisée des
politiques de
contrôle d’accès et
d’audit depuis
l’annuaire Active
Directory.
L’intégration avec
Active Directory
Rights Management
Services offre un
chiffrement
automatique des
documents.
Les politiques d’accès et
d’audit centrales peuvent
s’appliquer sur des
ensembles de serveurs de
fichiers, avec une
classification en quasitemps réel à la création ou
modification des documents

32. Serveurs de fichiers
Les fichiers qui contiennent
des données sensibles sont
protégés automatiquement
Appareils
Apps compatibles
RMS
Les utilisateurs peuvent
collaborer avec des partenaires
et sur tous les appareils
importants.
Office 365 bénéficie
de la fonctionnalité
RMS
Serveurs de
collaboration
Ajouter facilement un
service de protection RMS
aux serveurs collaboratifs et
à demeure tels que ceux
exécutant Exchange et
SharePoint.
Azure RMS reçoit et valide les
demandes d'authentification et
autorisation et en échange
distribue des licenses numériques

33. Gestion de la sécurité
Défis
Solutions
Les utilisateurs sont de plus en plus exigeants et
demandent à l’IT des solutions modernes.
Les métiers abordent la sécurité sous l’angle de la gestion des
risques.
L’infrastructure du système d’information est de plus en
plus complexe avec un nombre important de compte
à hauts privilèges.
L’IT change de manière durable les pratiques d’administration.
Le nombre et la diversité des appareils augmentent
dans l’organisation.
L'IT connait et maintient la sécurité des appareils et des
applications qui sont utilisées.
L'IT peut auditer et vérifier l’efficacité des mesures de sécurité.

34. Nous pensons que la confiance passe
par la transparence. Ainsi, un Trust
Center est disponible pour les
services Cloud Microsoft.
Microsoft s’engage à ne PAS utiliser les données
de ses clients à des fins publicitaires et à ne pas
en tirer des informations à de quelconques fins
commerciales.
Les clients restent propriétaires des données qu’ils
stockent dans le Cloud Microsoft. Ils peuvent télécharger à
tout moment et sans assistance de Microsoft une copie de
l’ensemble des données.
Concernant la sécurité physique, Microsoft utilise des
utilise une combinaison de technologies innovantes
ainsi que des mesures physiques traditionnelles.
Avec Office 365, le client connaît les pays où se
trouvent les centres de données Microsoft dans
lesquels ses données sont stockées.
Toutes les applications Microsoft déployées dans les
centres de données Microsoft ont été soumises à un
processus de cycle de vie de développement sécurisé, le
Security Development Lifecycle (SDL), initié par
Microsoft dès 2004.

35. Contrôle de l’authentification
Fédération d’identité
Audits
Politique de sécurité
Exchange ActiveSync
Cycle de vie
de
Surveillance
développe
permanente
ment
sécurisé
Automatisat
Isolation des
ion
données
des
clients
opérations
Données
chiffrées
Classification et
protection des messages/documents
Message Encryption
Azure RMS
S/MIME
DLP
Authentification multi-facteur
Windows Azure MFA
Gestion des identités
Windows Azure Active Directory
Réseau
sécurisé
Antivirus/Antispam
Exchange Online Protection

36. L’analyse de risques Cloud permet de
prendre une décision basée sur des
critères factuels plutôt que sur des
impressions sans se concentrer uniquement
sur des critères techniques
La démarche évalue la tolérance aux
risques de l’entreprise, les risques liés à
la solution Cloud visée et compare
ensuite les résultats domaine par
domaine
Les résultats permettent d’envisager des
stratégies d’atténuation des risques,
d’acceptation des risques résiduels, ou
d’orientation vers des solutions Cloud
privé ou hybride
L’analyse de risques Cloud est basée sur les
travaux de la Cloud Security Alliance, elle évalue un
ensemble exhaustifs de 15 domaines dans les
catégories Gouvernance, Technique, Opérations et
Business
L’outillage sous forme de
questionnaire accompagne la démarche,
fournit visuellement les résultats et
permet d’ajuster en fonction des contremesures présentées
L’analyse permet de faire ressortir les critères
cruciaux dans le choix du fournisseur de Cloud et
d’évaluer la propre maturité de l’entreprise pour
l’adoption de solutions dans le nuage

37. Lutte contre
Cybercriminalité
Défis
Solutions
La cybercriminalité devient l’un des défis majeurs non
seulement pour les états mais pour l’ensemble des
citoyens
Création du Microsoft Cybercrime Center à Redmond avec un
équipe de 100 experts (avocats, techniciens, analystes…) ; Centre
ouvert à des experts en sécurité venant d’autre entreprises ou
organisations
En France, plus de 10 millions de personnes ont été
victimes de la cybercriminalité pendant cette période,
engendrant près de 2,5 milliards d’euros de pertes
20% des entreprises ont déjà été attaquées par des
personnes malveillantes et la moitié des internautes
ont été victimes de cybercriminalité l’année dernière
Des outils pour cartographier les réseaux du crime organisé, de
détection de la cybercriminalité au niveau mondial
(Cyberforensics), d’aide au repérage des botnets actifs
Formation des forces de l’ordre (2CENTRE, Centre Expert de lutte
contre la Cybercriminalité Français)
Signal Spam, Phishing Initiative,…

38. Sommaire

39. √
Gestion des identités et
des accès
Classification & Protection
des données
Gestion de la sécurité
Une identité unique pour l’accès
aux ressources à demeure et
dans le Cloud
Centralisation des informations
d’entreprise pour le respect de la
conformité et la protection des
données
Analyse de risque Cloud
Une connexion automatique aux
ressources internes à la demande
Contrôle d’accès aux applications
et données basées sur des
politiques de sécurité
Chiffrement automatique des
données basé sur la classification
des documents
Protection des données sur tous
les appareils mobiles
Changer de manière durable les pratiques
d’administration
Gestion des appareils et des applications

40. Titre
Heure et niveau
Gérer vos identités et vos accès pour
le Cloud avec Windows Azure Active
Directory (Premium)
12h15-13h00 (niveau : 300)
Windows Phone 8 et la sécurité
12h15-13h00 (niveau : 200)
BYOD : les nouveaux scénarios
d'authentification adaptés au monde
de l'entreprise
15h15-16h00 (niveau : 300)
Windows Azure Multi-Factor
Authentication, presentation et cas
d'usage
16h30-17h15 (niveau : 200)
Vous avez dit protocoles Web
d'authentification et d'autorisation !
De quoi parlez-vous ?
17h45-18h30 (niveau : 300)

41. Titre
Heure et niveau
Classifier vos données pour envisager
sereinement le Cloud et le BYOD !
11h00-11h45 (niveau : 200)
Quoi de neuf pour les identités dans
Office 365 ?
12h15-13h00 (niveau : 300)
Protéger vos données dans un
contexte BYOD/Office 365 avec le
nouveau service Microsoft RMS
15h15-16h00 (niveau : 200)
Protéger vos données à demeure avec
le nouveau service Microsoft RMS et
les boitiers HSM Thalès
16h30-17h15 (niveau : 300)
BYOD demo Extravaganza –
Démonstration du « Bring Your Own
Device » en entreprise
16h30-17h15 (niveau : 200)
Windows XP chronique d'une mort
annoncée
17h45-18h30 (niveau : 200)

42. Titre
Heure et niveau
Stratégie Bring You Own Device
(BYOD) et nouvelles directions de
solutions
12h15-13h00 (niveau : 200)

43. Digital is
business