Introduction : Microsoft 365 est un système informatique pas une application
La suite collaborative cloud Microsoft 365 n’est pas livrée prête à un emploi sécurisé. Microsoft 365 n’est pas une simple application bureautique externalisée dans le cloud et disponible en mode SaaS. Il s’agit d’un système informatique complet, complexe, distribué, élastique hébergé dans le cloud Azure du fournisseur de services et éditeur Microsoft. Celui-ci garantit la sécurité des infrastructures physiques et des services, à savoir la disponibilité, l’intégrité, la confidentialité, la valeur probante des traces de ceux-ci. Cette partie, sous la responsabilité de Microsoft, se nomme IN the cloud. Par contre la sécurité des données, celle des documents produits par les utilisateurs, celle des espaces collaboratifs SharePoint, OneDrive créés, relèvent de la responsabilité de l’entreprise cliente locataire. Cette partie se nomme OF the cloud. Les actions de sécurisation OF the cloud sont directes. Celles de sécurisation IN the cloud sont contractuelles. Pensez à l’incendie d’un datacenter OVH (IN the cloud) qui a compromis la sécurité d’une myriade d’entreprise. Dans ce contexte, un tiers chargé du maintien en condition de sécurité de la partie OF the cloud doit judicieusement prendre en compte ce modèle de coresponsabilité dans ces engagements.
La sécurité de la suite collaborative Microsoft 365 est centrée sur les personnes, leur identité et leurs autorisations d’accès et non plus fondée sur la sécurité du réseau comme ce fut le cas pour Microsoft Office On-Premise. Nous vous proposons dans cet article une synthèse des étapes clés de la sécurisation de cette solution complexe pour une entreprise ordinaire structurée qui dispose d’une direction de la sécurité de l’information. L’étape préliminaire, souvent masquée, consiste à disposer des compétences requises pour l’administration sécurisée de Microsoft 365.
Le Fil d’ariane de la sécurisation est pragmatique. Il est porté par l’action et pertinent pour la problématique du cloud. Le lecteur curieux vérifiera que, malgré son apparente simplicité, notre approche adresse les risques de sécurité identifiés par le CLUSIF, par l’ANSSI dans son guide d’hygiène ou par la Cloud Security Alliance
I) Les activités prérequises pour la sécurisation du système informatique Microsoft 365
“Quel que soit son talent, le meilleur administrateur ne pourra utiliser que ce à quoi il a accès.” (Proverbe)
1) Gérer la sécurité
La brique de gestion de la sécurité se nomme Microsoft 365 Defender. Elle traite d’une manière cohérente et unifiée l’ensemble des activités de prévention, de détection, d’investigation et de réaction pour les messageries (Exchange, Outlook), les espaces de collaboration (SharePoint, OneDrive et Teams), les terminaux et les identités de Microsoft 365. Ici le composant Office ATP (Advanced Threat Protection) pour la protection avancée des espaces collaboratifs semble incontournable a contrario des solutions de protection de messagerie dont l’anti phishing qui peuvent provenir d’éditeurs tiers. La fonctionnalité Coffre-Document, pour la protection des documents sensibles dans les espaces collaboratifs Share point, OneDrive et Teams, nécessite un plan de licence sécurisée (E5).
2) Gérer la menace
Le courtier de sécurité d’accès aux applications cloud Microsoft 365, le CASB de Microsoft, nommé Microsoft Defender for cloud apps, lutte contre le shadow IT, détecte des comportements anormaux, analyse la conformité des applications SaaS, protège des données. Seul l’abonnement EMS E5 contient nativement le CASB Microsoft.
3) Sécuriser les identités et des accès
La brique de sécurisation des identités et des accès est AAD ou Azure Active Directory. Il s’agit d’un service cloud IAM complet.
Les utilisateurs ordinaires
Le plan 1, nommé AAD P1, décrit ci-dessous, constitue un incontournable standard de fait pour les utilisateurs ordinaires.
Les administrateurs
Le plan 2, nommé AAD P2, est nécessaire pour les utilisateurs à privilège, les administrateurs du système informatique Microsoft 365.
Les répartitions des accès par rôle
Il s’agit ensuite de répartir les responsabilités selon la dichotomie “In the cloud (entreprise), Of the cloud (Microsoft)”
Les fonctionnalités des plans d’abonnement Azure Active Directory
Azure Active Directory Premium Plan 1 (ou AAD P1) : Azure MFA, Accès Conditionnel, Application proxy (exposition d’applications on-premise sur Internet), Cycle de vie des groupes (expiration, groupes dynamiques, classification), Protection avancée des mots de passe (Cloud et on-premise), Intégration avec une solution de MFA ou de gouvernance des identités tierces ;
Azure Active Directory Premium Plan 2 (ou AAD P2) : Azure AD Identity Protection (évaluation des connexions et des comptes à risques), Accès conditionnel basé sur le risque, Azure PIM (Gestion des comptes à privilèges avec Accès Just-in-Time), Revue des accès, Entitlement Management (attribution de droits prédéfinis sur des espaces de collaboration à des utilisateurs internes ou externes).
4) Protéger l’information
Microsoft Purview permet de connaitre, de protéger, d’empêcher la perte des données. Le socle est un moteur de recherche de données sensibles qui se fonde sur les types d’informations sensibles (expressions régulières, des dictionnaires de mots clés) et les classifieurs d’information (algorithmes de Machine Learning, modèles prédéfinis ou construits). Les documents, les mails sont classifiés avec le moteur. Les espaces partagés sont classifiables. Les documents non-Office 365 peuvent aussi être classifiés. Le chiffrement des données et la restriction des droits protègent l’information selon la classification. Il en est de même de la protection des accès des espaces partagés classifiés. En sus de la protection des données stockées, leurs diffusions sont contrôlées avec Office DLP. Des audits qui servent à la découverte des informations détectent les lacunes et y remédient.
5) Déployer la gouvernance
Il s’agit de mettre en œuvre des politiques de rétention de données (conservation de données, enregistrements légaux, suppression de données) qui sont fonctions de l’étiquetage de données ou d’espaces partagés. Ces étiquettes de rétention complètent les étiquettes de confidentialité.
La journalisation avancée retrace les actions des utilisateurs ou des administrateurs. Des investigations de contenus autorisent de retracer le contexte d’une fuite de données. En particulier, Data Subject Request identifie et exportent des données liées à une personne physique.
6) Sécuriser les terminaux
La brique est Intune. Il s’agit de la gestion des terminaux (MDM), d’une part, et de leurs accès (MAM), d’autre part. La problématique d’utilisation des terminaux personnels (BYOD) peut être adressée. Intune gère tous les terminaux, pas uniquement les terminaux mobiles.
Les risques internes (délit d’initié, fuite de données par des utilisateurs qui partent, accès illégitime) sont managés avec Insider Risk Management et Information Barriers.
7) Maitriser les services et la géolocalisation des données
La géolocalisation multiple permet de conserver les données au repos dans une zone géographique définie. Les espaces personnels et partagés sont géo-différentiés.
II) Le parcours incrémental de sécurisation du système informatique Microsoft 365
Une fois les prérequis en place, nous sommes certains de disposer des bons abonnements pour réaliser les activités de sécurisation. Nous pouvons alors réaliser la feuille de route incrémentale proposées par Microsoft qui nous permet d’atteindre une sécurité ordinaire (CIS niveau 1) après 90 jours. Une fois ce socle de mesures déployé, les risques spécifiques feront l’objet d’actions particulières. Il ne s’agit plus que d’un travail à faire.
1) 30 jours pour remporter les victoires faciles
Gérer la sécurité
Passer en revue les tableaux de bord et les rapports de Microsoft 365 Defender. Mettre en œuvre les actions immédiates et évidentes.
Protéger contre les menaces
Appliquer l’authentification multifacteur (MFA) pour les comptes administrateur. Sécuriser le poste de l’administrateur.
Gérer des identités et des accès
Activer Azure Active Directory Identity Protection. Appliquer la sécurité du compte (longueur de mot de passe, durée de validité, complexité).
Protéger des informations
Protéger les informations Office 365 pour le RGPD. Vérifier les emplacements des données stockées en contrôlant les paramètres de l’organisation avec un accès administrateur (Exchange, SharePoint, OneDrive, Teams) au centre de configuration. En cas de non-conformité, contacter le support Microsoft pour corriger. Configurer Teams selon les trois niveaux de protection : Base de référence (C1), Sensible (C2), Hautement sensible (C3). Pour chaque niveau, Microsoft documente la configuration à mettre en œuvre en ce qui concerne les accès des personnes, les canaux privés ou partagés, le niveau d’accès invité, les paramètres de partage de site, les accès d’un appareil déjà enrôlé, les personnes avec lesquelles le partage est autorisé, l’utilisation des étiquettes de confidentialité. Microsoft délivre des Baseline de sécurité qui simplifient la mise en œuvre de la sécurisation et les contrôles.
2) 90 jours pour étayer la sécurité
La sécurité est renforcée pour chacun des thèmes précédents débutés les 30 premiers jours.
Gérer la sécurité
Effectuer des simulations d’attaques par harponnage, pulvérisation des mots de passe et attaques par mot de passe brute force. Microsoft délivre un guide pour le Red Teaming qui se réfère au référentiel MITRE ATT&CK.
Protéger contre les menaces
Configurer un SIEM. Durcir la protection des comptes et des terminaux d’administration.
Gérer des identités et des accès
Généraliser l’authentification multifacteur à tous les utilisateurs. Mettre en place les conditions d’accès.
Protéger des informations
Utiliser Microsoft Purview qui généralise la protection des données aux environnements multiclouds et aux applications non Microsoft.
3) Au-delà, mettre en place les mesures spécifiques
A présent, Microsoft 365 est prêt pour une utilisation sécurisée. Il s’agit d’identifier les risques spécifiques, de les analyser, de les gérer et de contrôler la pertinence des actions mises en œuvre. Une méthode formelle comme EBIOS Risk Manager autorisera l’adaptation au contexte de l’entreprise et la pérennisation des solutions (Natives Microsoft, Tierces solutions).
Conclusion : Microsoft 365 le risque de sécurisation à perte d’un tenant
En conclusion, la mise en place de Microsoft 365 en entreprise n’est pas Plug-and-Play suivi d’un pay-as-You-go. L’entreprise qui s’aventurerait dans cette voie s’exposerait à des dangers qui pourrait nuire à son image, à ses finances, à son positionnement en tant qu’acteur de confiance dans son écosystème.
Microsoft 365 n’est pas juste une externalisation de la suite de production bureautique Microsoft Office en mode SaaS. Microsoft 365 est, en pratique, un système d’informatique cloud, complexe, distribué, élastique, avec une sécurité centrée sur l’utilisateur (People Centric Security). Le corollaire est la nécessité d’acquérir un profil de compétence d’administrateur du niveau Microsoft 365 certified administrator ou équivalent (AWS certified sysops + Azure Administration for AWS SysOps). Il s’agit d’une nouveauté de rupture par rapport à l’administration de la suite Microsoft Office On-Premise, pour laquelle le support utilisateur était prépondérant par rapport à l’administration d’infrastructure. En ce qui concerne la sécurité, la rupture est identique. Il ne s’agit pas de durcir un logiciel bureautique puis de le déployer sur des postes de travail eux-mêmes sécurisés. La sécurisation de Microsoft 365 est celle d’un système informatique complexe dans le cloud. Par conséquent, dans le cas d’une configuration hybride, il ne s’agit pas d’ajouter une application SaaS au patrimoine applicatif sécurisé, mais d’intégrer la sécurité d’un système informatique On-Premise avec celle d’un système informatique On-Cloud. Ainsi, le fait que Microsoft 365 soit un système informatique cloud à part entière est crucial et change complètement le paradigme de la sécurisation par rapport à celui de la suite Office traditionnelle.
Microsoft permet d’atteindre un niveau de sécurité convenable (CIS Level 1) après 90 jours, dans la mesure où les prérequis d’abonnement sont satisfaits afin que les fonctionnalités de sécurité nécessaire soient actives. Pour ce faire, la sécurité doit être prise en compte dès le départ puis gérées et optimisées en permanence. Les aspects techniques et contractuels sont corrélés et la gestion des coresponsabilités est un aspect crucial de la sécurité de Microsoft 365. Enfin, l’entreprise ne doit pas oublier qu’elle est locataire de la solution. Elle doit se prémunir des défauts de payant sans quoi, les interruptions de services engendrés risqueraient de se répercuter sur la disponibilité des données dont elle est l’auteur. Il n’est pas exclu que des augmentations de loyer de 25% surviennent.
Ce qu’il faut retenir :
1) Microsoft 365 est un système informatique à sécuriser
Microsoft 365 est un système informatique complexe, distribué, élastique qui nécessite des compétences d’administrateurs pour être maintenu en conditions opérationnels et de sécurité. Les différents composants dont Azure AD et les espaces collaboratifs forment un mélange de SaaS, PaaS, IaaS. Par conséquent, les responsabilités de sécurisation sont partagées ce qui n’est pas du tout la même configuration qu’une application SaaS ordinaire. Il faut vraiment ne pas se laisser leurrer.
2) Azure AD est le pilier de la sécurité Microsoft 365
Il est compliqué et souvent peu avantageux de quitter Azure pour AWS GCP ou autres, avec Microsoft 365. Une alternative est offerte pour la suite bureautique Office 365 par OVHcloud avec des compléments pour Exchange et Sharepoint. L’avantage de ce fait provient des possibilités élargies d’Azure AD qui est une solution IAM complète qui contribue à la sécurité d’un système informatique hybride avec des Active Directory.
3) La perte de maitrise des tarifs et le risque d’introduire des vulnérabilités
Pour Microsoft 365 le risque d’explosion budgétaire provoquée par une malveillance doit être pris au sérieux. Ce risque est inhérent à l’élasticité des architectures cloud qui délivrent sans borne des ressources à volonté en mode pay-as-you-go alors que le budget lui demeure borné. L’explosion budgétaire est un nouveau risque de sécurité lié au cloud. Nous pensons, un peu d’une manière semblable à la lutte contre le déni de service, DOS/DDOS, que l’architecture de sécurité devrait systématiquement prévoir des protections telles qu’un SD-Circuit Breaker.
4) Azure AD, qui est une solution IAM complète, accélère l’approche Zéro Trust
Azure AD est au cœur des fondamentaux la sécurisation du système informatique que constitut Microsoft 365. De ce fait, les fonctionnalités Azure AD peuvent contribuer à moderniser le système d’information hybride de l’entreprise.
5) Le déploiement de Microsoft 365 encourage à allier sécurité et sûreté
Le déploiement de Microsoft 365 mérite d’être intégré dans une démarche plus globale Zéro Trust qui doit prévoir aussi la résilience aux coupures réseaux. Autrement dit, il s’agit d’adopter une architecture hybride multiclouds sécurisée et résiliente qui élimine les points uniques de défaillance critiques.