Révolutionnez l'usage de vos espaces collaboratifs grâce aux objets connectés...
Comment securiser votre usage ou migration vers Office 365 [2018 12-04]
1. Comment sécuriser votre usage
ou migration vers Office 365
Présentateurs :
Sylvain Cortes
Architecte Expert IAM &
CyberSecurity
Enseignant à l’ESGI, au CNAM
et à l’Université de Grenoble
@sylvaincortes
sylvaincortes@hotmail.com
Thomas Limpens
Ingénieur Avant-vente, Netwrix
2. Posez votre
question ici
Cliquez sur
« Send »
(Envoyer)
Comment poser des questions
▪ Tous les participants sont en mode muet.
▪ N’hésitez pas à poser vos questions
▪ Nous répondrons aux questions au cours
du webinaire, ou à la fin lors de la session
de questions-réponses.
▪ Vous recevrez les diapositives et
l’enregistrement du webinaire dans un e-
mail ultérieur.
▪ Le webinaire dure environ 50-60 minutes.
3. Agenda
▪ Biographie de Sylvain Cortes
▪ Office 365
▪ Office 365 architecture
▪ Sécuriser le « on-premises »
▪ Sécuriser le « on-line »
▪ Démonstration de Netwrix Auditor
▪ Questions & réponses
4. Sylvain Cortes
Architecte Expert IAM & CyberSecurity
Enseignant à l’ESGI, au CNAM
et à l’Université de Grenoble
@sylvaincortes
sylvaincortes@hotmail.com
Depuis 12 ans
▪ GPOs
▪ Active Directory
▪ Microsoft Identity Manager
▪ Enterprise Mobility (IDA)
Mon blog: www.identitycosmos.com
▪ Gestion des identités
▪ Active Directory Hardening
▪ Microsoft Identity Manager
▪ CyberSecurity des OS
▪ Gestion des privilèges
▪ Microsoft EMS
Biographie
7. Pour bien sécuriser Office 365,
il faut bien comprendre comment
tout cela fonctionne !
Office 365 architecture
8. 2
1
Il n’existe pas de tenant Office 365 sans Annuaire Azure AD !!!
Office 365 architecture
9. Azure Active Directory
Utilisateurs
Groupes
Mots de passe
(option)
1
2
3
4
5
Modèle basé sur les
principes de la
fédération d’identité –
Pour l’application (SP)
Office 365, le
fournisseur d’identité
(IdP) est Azure Active
Directory
Office 365 architecture
10. Cas #1: Il n’y a rien en local,
l’entreprise ne possède d’annuaire
local Active Directory – tout est
dans le cloud public
Cas #2: Les éléments présents dans
Azure AD proviennent de l’annuaire
Active Directory local
Cas #3: Les comptes créés dans
Azure AD proviennent de l’annuaire
Active Directory local, mais les mots
de passe restent en local
sync
sync
sync
Office 365 architecture
11. Conclusion sur l’architecture Office 365
✓ Dans la plupart des cas, les éléments présents dans le cloud public de Microsoft proviennent d’une
synchronisation depuis l’annuaire Active Directory local
✓ Sécuriser l’usage d’Office 365 commence donc par le fait d’avoir une architecture locale « propre »
et « sécurisée »
✓ La sécurisation d’Office 365 peut se décliner en trois étapes:
1. S’assurer de la bonne conformité de son environnement local
2. Réaliser les choix d’architecture qui conviennent au contexte de son organisation et réaliser la
migration vers Office 365
3. Assurer un suivi en continu de la bonne conformité locale et de la bonne conformité coté
cloud public (Office 365 & Azure AD)
Office 365 architecture
12. La sécurisation du on-premises passe par trois principes essentiels:
Implémenter un
modèle d’« AD
Hardening » qui
s’appuie sur les
notions de « 3-Tier
model » et de gestion
des privilèges
Auditer le changement
dans Active Directory
Avoir une procédure
ou des outils de
restauration de forêt
et de domaine en cas
de compromission
Sécuriser le « on-promises »
13. Sécuriser le « on-promises »
Le Microsoft 3-Tiers model et le AD Hardening – quelques explications
14. Le Microsoft 3-Tiers model et le AD Hardening – pour aller plus loin
• AD Hardening: Microsoft Security Compliance
Manager & Microsoft Security Compliance Toolkit:
http:/www.identitycosmos.com/cybersecurity/ad-hardening-
Microsoft
• Sécurité Active Directory, les 10 questions à se poser
immédiatement:
http:/www.identitycosmos.com/strategie/activedirectory-10-
security-questions
• SysAdmin Magazin:
https://try.netwrix.com/sysadmin_france
Ne pas hésiter à utiliser des outils
complémentaires pour gagner en
investissement temps et en
fiabilité technique
Sécuriser le « on-promises »
15. Microsoft fournit de nombreuses interfaces de gestion et d’options de
sécurité pour Office 365
Il est parfois un peu complexe de comprendre à quoi servent les différents
outils et surtout comprendre si ils font partis de l’abonnement de base ou si
ils font partie d’options payantes additionnelles
Bien sur, cela change régulièrement, c’est le modèle du cloud…
Sécuriser le “on-line”
16. Options de sécurité directement intégrées dans l’administration O365:
Sécurité et Confidentialité
Sécuriser le “on-line”
Attention certains paramètres
exposés côté O365 sont en fait des
paramètres liés à Azure AD
17. https://protection.office.com/#/homepage
Le centre de sécurité et de conformité
est essentiellement orienté « DATA »
avec une prédominance des paramètres
de sécurité côté Exchange, SharePoint et
OneDrive
Options de sécurité directement intégrées dans l’administration O365:
Sécurité et Conformité
Sécuriser le “on-line”
18. https://protection.office.com/#/homepage
Le centre de sécurité et de conformité propose
des tableaux de bord et des outils bien utiles
pour la gouvernance des données, notamment
dans le cadre du RGPD
Sécuriser le “on-line”
Options de sécurité directement intégrées dans l’administration O365:
Sécurité et Conformité
19. https://XXXXXXX.portal.cloudappsecurity.com/
La fonction Cloud App Security permet de cartographier les applications
cloud utilisées dans l’entreprise et d’avoir une vue à 360° des
applications permettant la fuite des données – Attention, il s’agit d’une
option supplémentaire (payante) via EMS ou Azure AD (voir diapositive
suivante)
Sécuriser le “on-line”
Options de sécurité directement intégrées dans l’administration O365:
Cloud App Security
20. Free
Basic
Premium P1
Premium P2
https://docs.microsoft.com/en-us/azure/
active-directory/active-directory-
identityprotection
Rapport sur l’utilisation
du cloud & détection du
risque. Accès
conditionnel en
fonction du risque
Gestion des rôles
d’administration,
temporaires et rapport
sur les privilèges
https://docs.microsoft.com/en-us/azure/
active-directory/active-directory-privileged-
identity-management-configure https://www.microsoft.com/en-us/cloud-platform/cloud-app-
security
CASB: Ex-Adallom: visibilité de l’usage
global du cloud + DLP Cloud +
Identifier les comportements à risque
et incidents de sécurité
Agent-Less
Microsoft Cloud App Security
EMS 3 -> A AD Premium P1
EMS 5 -> A AD Premium P2
Ex-Azure RMS +
Classification/Labels
(Ex-Secured Islands) +
Cloud based file tracking
https://blogs.technet.microsoft.com/enterprisemobility/2016/06/22/announcing-azure-information-protection/
https://azure.microsoft.com/fr-fr/pricing/
details/active-directory/
Portail SSO complet
et illimité: Cloud
App / On-prem App /
libre service App
Découverte des applications
Cloud utilisées mais non
gérées (agent installé sur les
postes en local)
https://docs.microsoft.com/fr-fr/azure/
active-directory/active-directory-
cloudappdiscovery-whatis
https://docs.microsoft.com/en-us/azure/
active-directory/connect-health/active-
directory-aadconnect-health
Azure AD Connect
Health portal pour
Sync / ADFS / AD DS
https://docs.microsoft.com/fr-fr/azure/active-directory-domain-
services/active-directory-ds-overview
DIRaaS pour
Azure IaaS
Sécuriser le “on-line”
Options de sécurité liées aux fonction
Azure AD & EMS
22. L’arme secrète: Secure Score
https://securescore.microsoft.com/#!/dashboard
Cet outil permet
d’inverser la logique,
plutôt que de penser
‘outil’, on raisonne par
le risque et des notes
sur le risque, puis
l’interface nous
propose les bons liens
pour réduire le risque
Sécuriser le “on-line”
28. Si l’organisation n’est pas FULL CLOUD à 100%, une grande partie de la sécurité côté
Office 365 provient en fait de paramètres qui sont existants localement ; notamment
côté Active Directory – La bonne conformité Active Directory est essentielle
L’usage d’outils complémentaires peut s ’avérer très utile pour auditer et sécuriser
l’environnement local avant d’effectuer la migration – ils pourront servir par la suite à
contrôler la dérive et le maintien du niveau de sécurité – Coté Office 365, l’acquisition
d’options de sécurité complémentaires via EMS / Azure AD peut s’avérer un bon
investissement en fonction de vos contraintes légales et votre objectif de sécurité
Si vous êtes perdu par l’ensemble des options de sécurité et de conformité intégrées
dans Office 365, le meilleur point de départ est le portail Secure Score qui vous
permettra une approche thématique en appuyant sur les éléments essentiels pour votre
organisation
Conclusion
30. À propos de Netwrix Auditor
Une plateforme de visibilité pour l’analyse du comportement des utilisateurs et l’atténuation
des risques qui permet de contrôler les modifications, les configurations et les accès dans
les environnements informatiques hybrides.
Elle fournit des renseignements de sécurité permettant d’identifier les failles, de détecter les anomalies dans
le comportement des utilisateurs et d’enquêter sur les menaces suffisamment tôt pour éviter
des dommages réels.
Netwrix Auditor
31. A propos de Netwrix Corporation
Fondée en 2006
Siège social à Irvine, Californie
Clients dans le monde : plus de 9000
Une des compagnies avec la plus
forte progression sur le marché
des logiciels aux Etats-Unis
(Inc 5000, Deloitte)
Support dans le monde :
USA, EMEA et Asie
32. Netwrix: Les clients dans le monde
GA
Finances Santé & Pharmacopée
Fédéral, État, Local, Gouvernement Industrie/Technologie/Autres
33. Récompenses et notoriété de la part de l’industrie
Toutes les récompenses:
www.netwrix.com/awards
34. Étapes suivantes
▪ Essai gratuit : Configurez Netwrix Auditor dans votre propre environnement de test
netwrix.fr/auditor9.7
▪ Appareil virtuel : Mettez Netwrix Auditor en service en quelques minutes netwrix.com/go/appliance
▪ Démonstration dans le navigateur : Lancez une démonstration dans votre navigateur sans aucune
installation
netwrix.com/go/browser_demo
▪ Contactez le service des ventes Netwrix France pour obtenir plus d’informations
Pierre Louis Lussan
pierre-louis.lussan@netwrix.com
+33 9 75 18 11 19
▪ Webinaires à venir et à la demande : Participez aux prochains webinaires ou regardez nos webinaires
enregistrés
netwrix.com/webinars