2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique

1. @ClubPowerBI @aosComm @GUSS_FRANCEPower Saturday 2020
Power
Saturday
Cybersécurité Microsoft 365 par la pratique
Patrick Guimonet
CEO, Enterprise Solutions Architect
@patricg

2. Nous n’avons
pas besoin de
plus de
cybersécurité.
Nous avons
besoin d’une
meilleure
cybersécurité.
Jason Revill Director of UK and Ireland
Security Consulting, Avanade

3. Une
approche en
3 étapes
• Accepter les faits
• Mieux comprendre l’offre Microsoft
• Bâtir SA propre solution

4. L’état de la Cybersécurité

5. Les utilisateurs sont salariés
Les périphériques sont gérés par
l’organisation
Les applications sont internes
Réseau interne et pare-feu
Traces locales
L’ancien et le nouveau monde
Les salariés, les partenaires, les clients
BYOD (« Bring Your Own Device »)
Explosion des applications Cloud
La fin du périmètre
Explosion des signaux

6. Connaitre au
mieux les
attaquants et
leurs
motivations
Source: EY Global Information Security Survey 2020 | 9

7. “Defenders think in lists.
Attackers think in graphs.
As long as this is true,
attackers win.“
John Lambert
Microsoft Threat Intelligence Center
Source: Technet Blog 2015-04-26

8. Attack services are cheap
Ransomware:
Zero-days:
Breaching services on
a per job basis:
Exploit kits:
Loads (compromised device):
Spearphishing services:
Compromised accounts:
Denial of Service:
Highest average price
Source: Ignite 2019 SECO50

9. Source: Microsoft slide

10. The Cloud est plus sécurisé que
votre centre de données

11. Pourquoi le
Cloud public est
plus sécurisé
votre centre de
données
Source: Explexity blog 3/11/2019
1. Plus d’expertise technique
2. Séparation physique
3. Moins de vulnérabilités
4. Meilleure disponibilité
5. Technologie plus récente

12. La cybersécurité passe trop souvent en second
Source: EY Global Information Security Survey 2020 | 9

13. Source: EY Global Information Security Survey 2020 | 9
Les relations
avec le métier
doivent
s’améliorer.

14. Applications DataDevices
Application
protection
Email and
data
protection
Endpoint
protection
Identity
User
protection
User receives
an email
Open an
attachment
Click on a URL Exploitation Installation
C&C
channel Persistency
Privilege
escalation
Lateral
movement
Access to
shared resourcesReconnaissance
User browses
to a website
User runs
a program
Modern Threat Kill Chain
Password Spray
Malicious Code
Execution from
Cloud
Supply chain
attack
Exchange Recon
Exchange/OneDrive
Exfiltration
Malicious
OAuth App
Attacks can be orchestrated completely in the cloud or impact hybrid environments
Exchange
Forwarding Rules
Internal Phish

16. “ We will continue to invest over $1 billion
annually on cyber security research and
development in the coming years and this
amount does not include acquisitions we may
make in the sector. ”

18. Qu’est-ce que le modèle Zero Trust?
Données
Activités
Matériels
Personnes Intelligence
Source: Ignite 2019 DEP50

19. Bénéfices du modèle
Zero Trust
l’accès conditionnel
Prévenir
mouvements latéraux en utilisant des
identifiants volés ou un périphérique
compromis.
plus
productifs en travaillant d’où ils veulent,
comme ils veulent et quand ils veulent.
Source: Ignite 2019 DEP50

20. Principes du Zero Trust
Vérification
systématique
Des accès à privilèges
réduits
Assumer les brèches

21. Gérez et sécurisez les
identités sur une
plateforme universelle
Bloquez les attaques en
intégrant et automatisant
la sécurité
Protégez vos données
sensibles en tout lieu

22. Offre Microsoft 365 en cybersécurité

23. + Solutions tierces
Gestion des identités
et des accès
Protection de
l’information
Protection contre
les menaces
Gestion de la sécurité
Azure AD for Office 365
• Office 365 MFA
• Self-service Password Reset
• SSO for 10 pre-integrated
SaaS app
Retention Policies E3
Data Loss Prevention
Advanced Message Encryption
E5
Azure AD Premium P2 E5
• Risk based Conditional
access
• Privileged Identity
Management (PIM)
Microsoft Information
Protection E3
• Azure Information
Protection
• Azure RMS
Microsoft Threat Protection
• Microsoft Defender ATP E5
• Azure ATP E5
Microsoft 365 Security and
Compliance centers
• Secure Score
• Security Center
• Audit log 90 days
Microsoft
365
EMS +
Win10
Office 365
Office 365 ATP E5
Gestion des
appareils
Microsoft Intune E3
• Unified Endpoint
management
• Mobile App
Management
Azure AD Premium P1 E3
• Conditional access
• Password Protection
• Cloud App Discovery
Privileged Access E5
Management
Office 365 Cloud App Security E5
Gestion des périphériques
mobiles pour Office 365
Microsoft 365
Sauvegardes / Restauration
Microsoft Cloud App Security E5
Azure AD Device Management
Audit log 1-year E5
Insider Risk Management E5
Microsoft Threat Protection E5
Files and mails transparent
encryption
Exchange Online Protection EOP
• Anti-Virus
• Anti-SPAM
Advanced Threat Analysis E3
Microsoft Information
Protection E5
• Automatic classification
Teams DLP E5
Windows Defender Antivirus

25. Browse to
a website
Phishing
mail
Open
attachment
Click a URL
Exploitation
& Installation
Command
& Control
User account
is compromised
Brute force account or use
stolen account credentials
Attacker attempts
lateral movement
Privileged account
compromised
Domain
compromised
Attacker accesses
sensitive data
Exfiltrate data
Azure AD Identity
Protection
Identity protection & conditional access
Microsoft Cloud App Security
Extends protection & conditional
access to other cloud appsProtection across the attack kill chain
Office 365 ATP
Malware detection, safe links,
and safe attachments
Microsoft Defender
ATP | Intune
Endpoint Detection and Response
(EDR) & End-point Protection (EPP)
Azure ATP
Identity protection
Attacker collects
reconnaissance &
configuration data

27. Microsoft Defender ATP Office 365 ATP Azure ATP Cloud App Security
Microsoft Threat Protection

28. https://security.microsoft.com

29. https://security.microsoft.com

32. Latest diagrams available here: https://github.com/AaronDinnage/Licensing

33. Latestdiagramsavailablehere:https://github.com/AaronDinnage/Licensing

34. Bâtir SA
propre solution

35. Le voyage proposé
Protection des
comptes
d’administration
Éduquer vos
utilisateurs
Protéger les
identités des
utilisateurs
Protéger vos
données
Protéger
vos appareils
Analyser les
menaces
Security Operation Center
Les utilisateurs

36. 6 domaines pour sécuriser votre environnement Microsoft 365
Défense en profondeur
Identités et accès
Protection contre
les menaces
Protection de
l’information
Gestion de la Sécurité
Sensibilisation des utilisateurs finaux à la sécurité
Gestion et
protection des
appareils

37. Tenir tout le monde au courant

38. secnumacademie.gouv.fr

40. Changer de posture sur la Sécurité
Unified endpoint security using Microsoft Endpoint Manager

41. Les composants
d’une stratégie
Zero Trust
Réseau et
Localisation
Infrastructure
ApplicationsAppareils
Données
Identités
Source: Ignite 2019 DEP50

43. Identités
Identités

44. Protect Admin accounts first
 Blocking Legacy Auth
Source: Ignite 2019 SECI20

45. 0
10
20
30
40
50
60
70
80
90
100
sept-17 sept-18 oct-19
Admins with MFA
Admins with MFA
91.8% of
admins with
NO MFA
Source: Ignite 2019 SECI20

46. How To Enable MFA For Your Admins
 https://aka.ms/deploymentplans Source: Ignite 2019 SECI20

47. Arriver à un monde sans mots de passe
Windows Hello Microsoft Authenticator Clés de Sécurité FIDO2

48. Authentification forte
Comprendre les risques
Channel jacking / Capture du canal
Interception et rejoue
En savoir plus : Blog Post
MFA évite 99,9% des
attaques d’identités
Password
0 Strong
1 Reduce
2

49. ~100%
Des attaques de mots de passe par
saupoudrage de mots de passes connus
se font sur les protocoles anciens
Source: Ignite 2019 SECI20

50. Authentification Moderne (flux web)
• Capable de traiter les requêtes MFA
• Peut inclure des informations supplémentaires
sur l’appareil (pour les appareils joints AAD Hybride)
• S’applique aux appareils mobiles (politiques
MAM)
• L’attaquant a plus d’informations à deviner
➢ L’agent utilisateur, l’application cible
Source: Ignite 2019 SECI20

51. Appareils
Appareils

52. Implementing Zero Trust for Mobile Devices
Enroll devices for
management
Provision settings,
certs, profiles
Report & measure
device compliance
Remove corporate
data from devices
Publish mobile
apps to users
Configure and
update apps
Report app
inventory & usage
Secure & remove
corporate data within
mobile apps
Mobile Application
Management (MAM)
Conditional Access:
Restrict which apps can be
used to access email or files
Mobile Device
Management (MDM)
Conditional Access:
Restrict access to managed
and compliant devices
Source: Ignite 2019 DEP50

61. Applications
Applications

62. Source: Varonis

63. Gestion des applications avec Azure AD

64. Infrastructure
Utiliser la télémétrie pour détecter les
attaques et les anomalies
Implémenter des contrôles pour
bloquer automatiquement et tracer les
comportements anormaux
Infrastructure

65. Réseau / Localisation
Networking

66. Siège
Réseau local
La solution optimale pour le SaaS
des accès locaux directs
Site
Réseau local
Domicile
ISP
ISP
Hotel Café
ISPISP
ISP

67. Données
Données

68. DÉFINIR UN SCHÉMA DE
CLASSIFICATION
DÉFINIR LES POLITIQUES
ASSOCIÉES
CRÉER, TESTER ET DÉPLOYER
LES POLITIQUES DE
CLASSIFICATION
SUIVI DES USAGES ET
GESTION DES PROBLÈMES

69. Adaptable à vos besoins
Persistants
Lisibles par d’autres systèmes
Peut determiner une
politique DLP
Extensible à des solutions
partenaires
Comprendre les étiquettes de sensitivité
Etiquettes manuelles ou
automatiques
S’appliquent aux fichiers ou
aux espaces les contenant
S’appliquent au repos, en
transit ou en utilisation
Active des actions de
protection basées sur les
étiquettes
Experience utilisateur sans
accounts à travers les applications
CONFIDENTIAL

70. View all activities in the activity explorer

96. En espérant que cette
session vous aura permis
de clarifier les choses
existantes et les futures
directions.

97. @ClubPowerBI @aosComm @GUSS_FRANCEPower Saturday 2020
Merci!
Prenez 2 minutes pour
évaluer cette session
(RDV dans l’espace de conversation)

98. Trusted by IT and fully integrated