sécurité microsoft 365 (ex office 365)

CLUSIR Rhône Alpes

Pascal BERNARD

1

Sécurité Microsoft 365 (ex Office 365)Sécurité Microsoft 365 (ex Office 365)

Titre de l'atelierTitre de l'atelier

Clusir Rhône-Alpes Club SSI, le 21 octobre 2020

CLUSIR Rhône Alpes

SOMMAIRE

• Présentation Microsoft 365• Licences• Protection de l’information : AIP

• Cas d’usage et risques• Sharepoint• OneDrive• Messagerie• Powerapps

• Recommandations2

Sécurité Microsoft 365 (ex Office 365)Sécurité Microsoft 365 (ex Office 365)


Clusir Rhône-Alpes Club, le 21 octobre 2020

CLUSIR Rhône Alpes

• Microsoft 365 est un ensemble de services et de logiciels bureautiques permettant à une entreprise de mettre en œuvre l’ensemble des outils permettant de proposer aux collaborateurs un environnement de travail moderne, c’est-à-dire : • La suite logiciel Office (Outlook, PowerPoint, Word, Excel, etc.)• Un service de messagerie (Exchange Online)• Des outils collaboratifs (Skype, Teams, OneDrive, SharePoint, Yammer, etc.)• Des solutions applicatives (Power Platforms: Power Apps, Power BI, etc…)• Des solutions de supervision et de sécurité.

• Une plus-value attendue sur :• Offre SaaS (délégation d’administration)• Mobilité (les services sont opérables partout, depuis différents devices, BYOD)• Agilité (en quelques clicks on peut ajouter un nouvel environnement, un nouvel

utilisateur)• Evolutivité continue• Pay as you Go (paiement à l’usage, facilité d’ajout de licences). Attention, licensing

particulièrement complexe.

3

Présentation Microsoft 365Présentation Microsoft 365



CLUSIR Rhône Alpes

Attention : le niveau de sécurité vendu par Microsoft dépend des licences choisies !!

4

Modèle de gestion de licences complexe…Modèle de gestion de licences complexe…



…et en perpétuelle évolution !!!…et en perpétuelle évolution !!!

CLUSIR Rhône Alpes

5

Modèle de gestion de licences complexe…Modèle de gestion de licences complexe…



CLUSIR Rhône Alpes

6

Azure Information ProtectionAzure Information Protection



Classification Protection Contrôles

- Définir criticité des documents et des emails

- Appliquer des étiquettes

- Automatique ou manuel

- Chiffrer les documents (BYOK ou clé Microsoft)

- Appliquer les droits d’accès

- Dans le Cloud ou local

- Gestion du cycle de vie du documents (révocations,…)

- Surveillance

CLUSIR Rhône Alpes

• Chaque utilisateur ayant un compte dans l’AD de l’entreprise peut créer un sharepoint• Le créateur est propriétaire du site et, comme tous les propriétaires qu’il désigne, gère

directement les droits d’accès• Les droits peuvent être donnés via des groupes propres au sharepoint• Les droits sur un fichier peuvent aussi être donnés par envoi d’un lien par mail• L’accès peut être donné à une personne extérieure à l’entreprise• Le site a une durée de vie illimité• Les droits d’accès peuvent être revus pour chaque fichier partagé (en théorie…)

Si un utilisateur chiffre un fichier de son PC, synchronisé sur OneDrive, avec une solution tierce, OneDrive va synchroniser le fichier déchiffré (pour faciliter sa relecture sur un PC personnel ?)

Le vol d’un mot de passe d’un utilisateur de l’entreprise permet de faire du Phishing avec un émetteur connu

7

Cas d’usage : Sharepoint, OneDrive et Exchange Cas d’usage : Sharepoint, OneDrive et Exchange



CLUSIR Rhône Alpes

• Power Apps : Développement (sans développeur) en quelques clicks d’applications simples

• PowerBI : Un ensemble de services logiciels, d’applications et de connecteurs qui œuvrent ensemble pour transformer des sources de données disparates en informations visuelles interactives

Ces services sont ouverts aux utilisateurs Lambda!! Une nouvelle forme de Shadow IT !! (Cf les bases Access et les macros Excel qui gèrent le SI !!)

La sécurité ne fait pas partie des préoccupations premières de l’utilisateur

La frontière entre usage bureautique et SI n’existe plus

8

Cas d’usage : Les Power PlatformsCas d’usage : Les Power Platforms



CLUSIR Rhône Alpes

9

Cas d’usage : Power Apps -> Base de données AzureCas d’usage : Power Apps -> Base de données Azure



- Impossible de transiter par le backbone Azure, les proxies PowerApps sont full publics donc sur Internet

PowerApps => Insert, Select, Update sur une base publiquePowerBI => Select sur une base publique

CLUSIR Rhône Alpes

10Titre de l'atelierTitre de l'atelier



SelectInsert

UpdateDelete

https

Public IP 0365 Public IP

Azure

https

IPs outbound PowerApps EuropeBackbone Azure

Problématique Identité d’accès

identité utilisateur Azure AD

identité locale SQL

connecteur avec identité locale SQL

- Les habilitations à la base SQL sont stockées dans le connecteur !!

- Le connecteur PowerApps peut être copié et donc fournir l’accès à la base

- Je crée mon application Power Apps associée au connecteur copié pour exfiltrer les données !!!

CLUSIR Rhône Alpes

11




SelectInsert

UpdateDelete

https

Public IP 0365 Public IP

Azure

https

IPs outbound PowerApps EuropeBackbone Azure

Solution (depuis nov 2019)

identité utilisateur Azure AD

identité Azure AD avec habilitation utilisateur

Le connecteur utilise l’identité

utilisateur

- Connecteur Azure AD fourni par Microsoft (payant)- La base Azure SQL est attachée à Azure AD et les habilitations

de la base sont gérées dans Azure AD- Mon utilisateur est habilité de bout en bout- Une copie de connecteur ne fournit aucune habilitation

CLUSIR Rhône Alpes

• Microsoft 365 Vérifier la localisation des données de l’entreprise Mettre en place des politiques de Data Loss Prevention Mettre en place des étiquettes de confidentialité des données Mettre en place des stratégies de rétention des données

• Azure AD Utiliser le MFA pour les accès utilisateurs (pas obligatoirement celui de Microsoft) Attribuer les rôles administrateurs sur des comptes dédiés, en limitant leur utilisateur, et en respectant le

principe de moindre privilège Mettre en œuvre des revues de droits très régulières Activer des alertes lorsque des comportements ou des opérations à risques sont détectées au niveau du tenant Mettre en œuvre des mécanismes de chiffrement des e-mails (S/MIME, protection AIP , OME, etc..)

• Sharepoint Définir et mette en place un processus pour gérer les créations d’espaces SharePoint, en incluant notamment

une sensibilisation SSI à destination des propriétaires des espaces Privilégier la création d’espaces privés lorsque cela est possible Empêcher le partage des liens SharePoint vers l’extérieur Empêcher les utilisateurs de créer des sites SharePoint sans passer par l’approbation d’un administrateur Mettre en œuvre des mécanismes de chiffrement au niveau des fichiers (AIP/MIS/solution tierce)

• Power Platforms Mettre en œuvre une politique d’accès aux données Fournir des accès selon le principe du moindre privilège

12

RecommandationsRecommandations



CLUSIR Rhône Alpes

13

Merci de votre attentionMerci de votre attention



CLUSIR Rhône Alpes

Michel REVOL Architecte sécurité mobiles

Amaris Consulting

1

Les règles à respecter pour la sécurisation des mobilesLes règles à respecter pour la sécurisation des mobiles

Les outils "digital" : le nouveau nom du shadow ITLes outils "digital" : le nouveau nom du shadow IT

Clusir Rhône-Alpes Club SSI, le 21 octobre 2020

CLUSIR Rhône Alpes

1. Comment on en est arrivé là ?2. Exemple d’Android3. Les différents types d’attaques4. La réponse MTD

2

SommaireSommaire


Clusir Rhône-Alpes Club SSI, le 21 oct 2020

CLUSIR Rhône Alpes

3

Comment on en est arrivé là ?Comment on en est arrivé là ?



2370$

700$

GridPad PDA

1989 1993

499$

Iphone

Ipad

2007 2010

Au commencement… Le Neandertal du mobileIl a 13 ans

Conçu pour l’entreprise Conçu pour le particulier

La philosophie même de ces terminaux n’est pas faite pour répondre aux exigences de sécurité des entreprises, mais à l’usage

du Grand Public

CLUSIR Rhône Alpes

4

Le Comportement UtilisateurLe Comportement Utilisateur



L’origineL’origine Smartphone/Tablette : Conçus pour le particulier « grand public »(contrairement au PC portable, initialement trop cher)Smartphone/Tablette : Conçus pour le particulier « grand public »(contrairement au PC portable, initialement trop cher)

OrganisationOrganisationL’utilisateur ne comprend pas pourquoi il possède personnellement un équipement plus performant qu’à son travailL’utilisateur ne comprend pas pourquoi il possède personnellement un équipement plus performant qu’à son travail

AppsApps84% des employés déclarent utiliser des outils personnels à des fins professionnelles (livre blanc Orange/BearingPoint « Dilemme pro/perso », 2012 tjrs vrai)

84% des employés déclarent utiliser des outils personnels à des fins professionnelles (livre blanc Orange/BearingPoint « Dilemme pro/perso », 2012 tjrs vrai)

H24/7JH24/7J 68% des cadres sont constamment connectés (cabinet Eléas, 2018)68% des cadres sont constamment connectés (cabinet Eléas, 2018)

CloudCloud1,2 Milliard de fichiers sauvegardés dans DropBox / jour (mars 2016)

3,3 Milliards de partage ont été créé sur DropBox (mars 2016)

500 Millions d’applications téléchargées sous Android (mars 2016)

1,2 Milliard de fichiers sauvegardés dans DropBox / jour (mars 2016)

3,3 Milliards de partage ont été créé sur DropBox (mars 2016)

500 Millions d’applications téléchargées sous Android (mars 2016)

+30 Millions de mobinautes en France+30 Millions de mobinautes en France

CLUSIR Rhône Alpes

5

Un flot d’applications permanentUn flot d’applications permanent



70% DES APPS ÉCHOUENT AUX TESTS DE SÉCURITÉS

(Accès non nécessaire aux contacts/géoloc./Presse-papier et serveurs distants)

PEU DE SOLUTIONS D’ANALYSES COMPORTEMENTALES DES APPS ATTAQUES : x3 PLUS QUE POUR LES PC

Il faut prendre en compte l’environnement hétérogène des terminaux mobiles OS et de leurs versions :• Android GMS / Android AOSP (non-GMS)• iOS / iPadOS• Windows 10 (jusqu’à 2019)• Linux• ChromeOS• HarmonyOS (version beta en dec. 2020)

Hétérogénéité des constructeurs (principaux, émergeants et opportunistes), marques et sous-marquesLes versions (Asie, MO, Occident)

Non GMS

71 % des applications iOS et 68 % des applications Android

CLUSIR Rhône Alpes

6

L’exemple d’AndroidL’exemple d’Android



· New York, le 21 septembre 2008

· Aujourd’hui Android est ultradominant (8/10 des smartphones dans le monde)

· Aucun fabricant de terminaux mobiles (sauf Apple) n'a réussi à s'émanciper de cet OS (peut être Huawei avec HarmonyOS : béta en décembre 2020) Il n'y a pas d'alternative : pour Samsung et tous les autres : « c'est Android ou rien » Il y a bien d’autres OS mobiles sous Linux, mais à la marge…

· En 2014, Google décline son OS pour répondre à la disruption des usages :· L'Internet des Objets (IoT)· Android TV (TV et box FAI)· Android Auto (400 constructeurs à ce jour)· Android Wear (montres connectées, même Tag Heuer)· Android Things (depuis 2016) pour la maison connectée...

· Android figure dans plus de 24 000 types d'appareils de 1 300 marques (130 constructeurs)

CLUSIR Rhône Alpes

7

L’exemple d’AndroidL’exemple d’Android



· Les applications Android sont écrites en langage Java, Kotlin ou C/C++ · Les outils SDK Android compilent le code ainsi que les fichiers de données et de ressources au format

APK. Ils servent aussi à intégrer de la publicité dans les applications (équivalent aux cookies ?)

· Chaque application a un identifiant unique (dans un même apps store !) : Package name (exemple : fr.gouv.android.stopcovid)

Permission Protection Levels· Normal : Le système accorde automatiquement à l'application cette autorisation au moment de

l'installation· Dangerous : Pour être utilisé, votre application doit demander à l'utilisateur d'accorder la permission au

moment de l'exécution. · Signature: Accordée au moment de l'installation, mais uniquement lorsque l'application est signée par le

même certificat que l'application qui définit l'autorisation. · Special: Les paramètres SYSTEM_ALERT_WINDOW et WRITE_SETTINGS sont particulièrement sensibles,

c'est pourquoi la plupart des applications ne doivent pas les utiliser

CLUSIR Rhône Alpes

• Android est un OS sécurisé (SELinux) qui cloisonne les données utilisateurs pour chaque application. C’est l’utilisateur qui donne les droits. Mais a-t-il vraiment le choix ?

• A ce jour, il existe plus de 160 permissions sur Android (liste), selon les mises à jour Android

• Certaines applications peuvent être particulièrement gourmandes : StopCovid : 11 The Weather Channel : 21 Linkedin : 26 Twitter : 32 (une vingtaine en 2014) Facebook : 45 (moins de 40 en 2014) Chrome : 48

8

Les autorisationsLes autorisations



Quand c’est gratuit… …c’est vous le produit

Une application officielle n’est pas forcément à risque

….contrairement aux autres…

https://developer.android.com/reference/android/Manifest.permission

CLUSIR Rhône Alpes

9

Les autorisations lors de l’installationLes autorisations lors de l’installation



Le diable est dans les détails

CLUSIR Rhône Alpes

10

Le choix d’une applicationLe choix d’une application



La question : Est-ce vraiment une application équivalente ?

CLUSIR Rhône Alpes

11

Via les plateformes UEM (Unified Endpoint Management), anciennement EMM, MDM Via les plateformes UEM (Unified Endpoint Management), anciennement EMM, MDM



Choisir le blocage

Mais attention à ne pas oublier les MAJ

CLUSIR Rhône Alpes

12

Les différents types d’attaquesLes différents types d’attaques



· Téléchargement d'applications gratuites (ou non…)

· Message SMS

Niveau matériel

· Point d'accès malveillant (Wi-Fi gratuit)

· Man in the middle (MITM)· Interception de communications

Niveau réseau

· Application contenant des malwares (stores officiels ou non…)

· Autorisations d'accès

Niveau applications

· Ingénierie sociale· Lien malveillant

Phishing90%

CLUSIR Rhône Alpes

13

Exemples…Exemples…



Joker (sept 2020) : Siphonne le compte en banque des internautes (abonne les utilisateurs à des services payants). Présent dans le code de 17 applications du PlayStore (source Zscaler). Près de120 000 terminaux ont installé les applications vérolées avant que Google ne le retire du PlayStore

Alien (oct 2020) : Vole les mots de passe de 226 applications Android sur le PlayStore (source ThreatFabric). Campagne de phishing : Téléchargement de fausses mises à jour ou de fausses applications Corona.

C0ntextomy (juin 2019) : Faille de conception (SDK) : Entraîne une communication en clair sur le réseau, malgré la configuration SSL. Vulnérabilité corrigée : 16 septembre 2020 (partiellement à partir iOS13.6, totalement à partir iOS14)

CLUSIR Rhône Alpes

14

Les attaques en hausse… Les attaques en hausse…



Sources: McAfee Mobile Threat Report Q1/2019 & Q1/2020

Applications frauduleuses

HiddenAds (Trojans)

Selon la dernière édition du RSA Fraud Report (juin 2019) édité par RSA Security, les attaques sur smartphone ont augmenté de 191 % par rapport à la même période en 2018

Rapport ThreatMetrix (09/2018) :• En France, 4,3 millions d’attaques enregistrées dont 1,2

million visant les transactions sur mobile au 2e trimestre 2018

• Au total, le nombre d’attaques perpétrées en région EMEA s’élève à 143 millions dont 52 millions concernent les transactions sur mobile.

Selon la dernière édition du RSA Fraud Report (juin 2019) édité par RSA Security, les attaques sur smartphone ont augmenté de 191 % par rapport à la même période en 2018

Rapport ThreatMetrix (09/2018) :• En France, 4,3 millions d’attaques enregistrées dont 1,2

million visant les transactions sur mobile au 2e trimestre 2018

• Au total, le nombre d’attaques perpétrées en région EMEA s’élève à 143 millions dont 52 millions concernent les transactions sur mobile.

CLUSIR Rhône Alpes

15

L’analyse comportementaleL’analyse comportementale



· Mobie Threat Defense : L’analyse temps réel + bases mondiales + remédiation• Pradéo (Français)• Zimperium (Américain)

CLUSIR Rhône Alpes

16Titre de l'atelierTitre de l'atelier


CLUSIR Rhône Alpes

Daniel DIAZ

Analyste SOC – Cyberprotect

1

CASB : L’outil de sécurité pour le CloudCASB : L’outil de sécurité pour le Cloud


Clusir Rhône-Alpes Club SSI le 21/10/2020

CLUSIR Rhône Alpes

1. Définition du CASB2. Deux modes d’opérations3. Shadow IT

1. Définition2. Services utilisés et risques potentiels3. Une évaluation des risques

4. Surveillance application Cloud (focus O365)1. Les limites de la sécurité des applications Cloud 2. A quoi sert le Casb au quotidien ?3. Série d’illustrations

2

SommaireSommaire


Clusir Rhône-Alpes Club, le 21/10/2020

CLUSIR Rhône Alpes

• CASB, pour Cloud Access Security Broker. Il sert à sécuriser des services Cloud.

• Le CASB est une passerelle, un point de concentration unique situé entre les utilisateurs et les services de cloud computing. Il agit comme un proxy déporté.

Ce mode de fonctionnement permet de travailler sur la problématique de Shadow IT

• Le CASB peut également fonctionner en tant qu’outil de sécurité en le connectant directement à votre/vos tenant(s) via API

Ce mode de fonctionnement permet de sécuriser son application Cloud

3

DéfinitionDéfinition



CLUSIR Rhône Alpes

4

Mode ProxyMode Proxy



CLUSIR Rhône Alpes

5

Mode APIMode API



Surveillance de l’activité de l’application

CLUSIR Rhône Alpes

Utilisation de services / outils informatiques sans « l’autorisation » de la DSI

• Pourquoi ? Facilité offerte par des solutions Cloud Besoin métier spécifique Problème rencontré avec les outils existants Habitude

• Le problème ? Risques juridiques (RGPD) Fuite d’information Lieux de stockage / traitement des données Bref… l’utilisateur n’est pas forcément sensible à certains aspects et ne voit que les

points positifs

6

Shadow IT - DéfinitionShadow IT - Définition



CLUSIR Rhône Alpes

7

Shadow ITShadow IT



C’est ici que l’aspect « proxy » du CASB trouve son utilité

CLUSIR Rhône Alpes

Une fois les données collectées, on va pouvoir

• Les analyser Classement des services cloud utilisés par type de service (partage de documents, vidéo-conférence) Savoir quelle population utilise quoi

• Attribuer un niveau de risque (importance de bien choisir son éditeur CASB)

• Déterminer quels services Cloud seront : Autorisés Tolérés Bloqués

• Appliquer les règles sur son outil CASB

• Améliorer et prendre connaissance des besoins des utilisateurs

8

Shadow ITShadow IT



CLUSIR Rhône Alpes

9

Risques RGPDRisques RGPD



CLUSIR Rhône Alpes

10

Politique de confidentialitéPolitique de confidentialité



CLUSIR Rhône Alpes

11

Sécurité des services Cloud (mode API)Sécurité des services Cloud (mode API)



CLUSIR Rhône Alpes

• Limite de responsabilité pas toujours claire pour les administrateurs

• Paramètres de sécurité dépendant du contrat (niveau de licences)

• Paramètres de sécurité éparpillés

• Une application cloud = une gestion séparée

12

Les limites de la sécurité des applications CloudLes limites de la sécurité des applications Cloud



CLUSIR Rhône Alpes

Ici on connecte son CASB à son environnement application Cloud

• Office 365, GoogleDocs, AWS, Dropbox, Box, Salesforce, ServiceNow Un seul point de surveillance pour tous les services Des politiques communes

• CASB va auditer l’existant et surveiller en continu l’activité de votre service

13

Sécurité des services CloudSécurité des services Cloud



CLUSIR Rhône Alpes

• Eviter que les données soient partagées à l’extérieur de l’organisation

• Prévenir l’utilisation du Cloud pour stocker des données confidentielles

• Eviter l’utilisation des applications Cloud sur les appareils personnels

• Détecter les comptes compromis / L’attribution de droits élevés pour certains utilisateurs

• Effectuer de la réponse à incident (analyse post-incident)• Prévenir la propagation de fichiers malveillants

Gestion centralisée pour plusieurs applications Web

14

A quoi ça sert au quotidien ?A quoi ça sert au quotidien ?



CLUSIR Rhône Alpes

15

Cas d’usage du CASB pour Office 365 et Shadow ITCas d’usage du CASB pour Office 365 et Shadow IT



CLUSIR Rhône Alpes

16

Cas d’usage du CASB pour Office 365 et Shadow ITCas d’usage du CASB pour Office 365 et Shadow IT


Clusir Rhône-Alpes Club, le

CLUSIR Rhône Alpes

17

Illustration – Règles utilisées sur plusieurs plateformesIllustration – Règles utilisées sur plusieurs plateformes



CLUSIR Rhône Alpes

18

Illustration – Surveillance de l’activité utilisateurIllustration – Surveillance de l’activité utilisateur



CLUSIR Rhône Alpes

19

Illustration – Connexion anormaleIllustration – Connexion anormale



CLUSIR Rhône Alpes

20

Illustration – Activité suspecteIllustration – Activité suspecte



CLUSIR Rhône Alpes

21

Illustration – Compte VIP cibléIllustration – Compte VIP ciblé



CLUSIR Rhône Alpes

22

Illustration – Compte VIP cibléIllustration – Compte VIP ciblé



CLUSIR Rhône Alpes

23

Pour finir, quel éditeur choisir ? Comment ?Pour finir, quel éditeur choisir ? Comment ?


Source https://www.gartner.com/doc/reprints?id=1-1XO56V9F&ct=191022&st=sb

CLUSIR Rhône Alpes

24

Pour finir, quel éditeur choisir ? Comment ?Pour finir, quel éditeur choisir ? Comment ?



• Vérifier les interopérabilités avec les outils / services utilisés Vos équipements déjà en place (FW, Endpoint) Base de connaissance du CASB en terme de gestion des risques

applicatifs Services Cloud en place (Office365, AWS, SalesForce,

Dropbox,etc.)

• Facilité d ‘administration de la plateforme

• Capacité à gérer les alertes remontées

CLUSIR Rhône Alpes

25

Merci de votre attentionMerci de votre attention



sécurité microsoft 365 (ex office 365)

Documents