Cette réflexion doit permettre de couvrir les risques principaux que sont la fuite de données et l’accès aux données par des administrateurs, Microsoft et des personnes ou des applications tierces.

Un nouveau modèle de gouvernance imposé par Microsoft

Office 365 est une solution de communication et de collaboration SaaS. En tant que telle, la plateforme est en constante évolution, contrairement aux solutions historiques dites « on-premise » : de nouvelles fonctionnalités ou paramétrages apparaissent, sont modifiés tandis que d’autres disparaissent ; on peut citer la disparition annoncée de Skype en 2021 ou la fin du support de l’authentification legacy pour Exchange Online en 2020. Le rythme de cette livraison continue, « continuous delivery » en anglais, est imposée par Microsoft sans contrôle possible, ce qui nécessite un tout nouveau modèle de gouvernance.

L’intégration des changements ne peut plus se faire en mode projet, mais doit suivre un processus établi. Dans ce modèle, les équipes workplace et sécurité doivent travailler main dans la main et être représentées dans l’ensemble des comités projets et d’architecture, et ce dès la conception des cas d’usages de la plateforme. Ces équipes également auront pour responsabilité commune de veiller à la bonne santé et à la conformité réglementaire de la plateforme.

L’équipe sécurité ainsi voit son périmètre évoluer : elle n’a plus la main sur les outils de sécurité et peut, voire doit, avoir un rôle de business enabler afin d’accompagner la migration vers le Cloud en proposant de nouveaux usages (ex : ouverture d’un service maîtrisé d’échange de fichiers à l’externe). Une organisation adéquate doit être mise en place ; on pourrait même envisager d’avoir un Security officer dédiée à la plateforme au plus près des métiers, ayant pour rôle de conseiller les projets, de suivre la configuration de la plateforme, d’assurer le suivi des alertes de sécurité, etc.

Un autre sujet à traiter concerne la délégation de l’administration. Il n’est pas envisageable d’avoir près de 20 Administrateurs Généraux pour un tenant O365, même si cela n’est pas une situation si rare. La mise en place d’une solution de délégation d’administration des comptes utilisateurs et des objets doit être envisagée, via la mise en place d’une interface ou d’un connecteur basé sur PowerShell ou Graph API. Ce traitement devra permettre de gérer l’ensemble de objets tout en tenant compte des logiques métiers. Autour de cette nouvelle gouvernance, doivent s’articuler les piliers de la sécurité ci-dessous :

• La gestion des identités ;
• La maîtrise des services et des usages ;
• Le contrôle du bon respect des politiques de l’entreprise.

La gestion des identités au cœur du sujet

Dans une solution conçue pour permettre une collaboration interne ou externe, avec une utilisation ATAWAD (Any Time, Any Where, Any Device), la gestion de l’identité et donc des authentifications est le cœur de la gestion plateforme.  Comme pour tout projet, la phase de définition de qui peut accéder à quoi, quand et où est fondamentale.

Sur Office 365, on retrouve trois types d’utilisateurs ayant chacun des niveaux de privilèges différents : les administrateurs, les utilisateurs internes et les invités (externes invités à collaborer sur un fichier ou au sein d’un Groupe O365 ou d’un site SharePoint).

Pour chacun de ces types de comptes, l’implémentation des mesures de sécurité définies va être pleine de défis. Outre l’incontournable authentification multi-facteur, mise en valeur par la fuite de données ayant touché Deloitte en 2017 se posent notamment les problématiques essentielles de la maîtrise des accès des administrateurs (rôles personnalisés ou prédéfinis, accès permanent ou ponctuel etc.) et du cycle de vie des utilisateurs invités (rien n’étant clairement défini par défaut). La question du coût des licences Azure AD Premium ou d’un outil tiers va être élément majeur de la discussion.

À noter également, Office 365 permet à des applications externes, de communiquer avec ses APIs. L’application externe peut alors agir au nom d’un utilisateur avec ses droits propres ou d’un administrateur avec des privilèges plus élevés. Ces applications peuvent provenir de différents magasins d’applications (comme AppSource ou AAD) ou être développées localement. La gestion des permissions accordées à ces applications doit faire preuve d’un point d’attention pour les entreprises. En effet, à travers les APIs, il est très facile d’imaginer une fuite de données massives en cas de dupe d’un utilisateur (ex : cas d’une application requérant des permissions non nécessaires, comme celui de l’accès aux mails).

Une maîtrise des services et des usages indispensable mais délaissée

Une fois les accès à Office 365 sous contrôle, le sujet suivant est de maîtriser l’usage qui en est fait. Il n’est pas rare d’observer que des services, non priorisés lors de la migration vers le Cloud (Power BI, Teams, Flow, accès aux API etc.) sont laissés accessibles avec leur configuration par défaut. Les deux raisons avancées sont généralement de favoriser l’adoption et le manque de temps à consacrer à ces services non prioritaires. En plus du paramétrage du service, il est également indispensable de définir des règles précises autour des usages afin de clarifier qui peut faire quoi et quand (ex : gestion des habilitations SharePoint, création des Groupes). L’idéal étant bien sûr de mettre en place des mesures techniques (paramétrages généraux ou configuration via PowerShell) cohérentes avec la politique définie.

L’absence de sécurisation de ces services laisse toutefois là porte ouverte à de potentielle fuites de données : transfert automatique vers l’extérieur, exposition sur Internet ou encore perte de contrôle la donnée. Comme écrit plus haut, la gouvernance doit prendre en compte la sécurité dès la conception des futurs usages. Les services doivent être analysés et testés sur des populations réduites. En effet, il sera toujours plus facile d’ouvrir une fonctionnalité, que de restreindre un usage déjà bien répandu. Dans le deuxième cas, il sera nécessaire de faire une analyse d’impact, de bricoler une solution de contournement et de sensibiliser largement les utilisateurs. Des actions qui peuvent nécessiter un investissement important et qui pourraient être évitées.

Le suivi des services ne doit pas s’arrêter à la fin de l’adoption des utilisateurs. Les équipes sécurité et workplace auront ainsi la charge de faire un suivi des évolutions d’Office 365 (programme Evergreen, mise en place d’une veille, suivi des blogs Microsoft, …) afin d’évaluer les nouvelles opportunités et menaces.

Le contrôle du bon respect des politiques de l’entreprise

Le dernier pilier, et pas le moindre, consiste en l’implémentation des politiques de sécurité de l’entreprise. Cela passe notamment par la mise en place d’outils de sécurité : protection de l’information, anti-malware, supervision et alerting.

Concernant la sécurité d’Office 365, on peut différencier 3 niveaux de maturité aujourd’hui. Les moyens mis en place vont être conditionnés par les expertises disponibles (les ressources étant limitées sur le marché) et le budget (dépendant notamment de la stratégie de l’entreprise de gestion des licences Microsoft) :

• Niveau 1 – Maîtrise des identités, des services et utilisation du Centre de Sécurité et de Conformité : l’entreprise met en place les solutions de sécurité natives du Security Center et du Compliance Center (incluant notamment Office DLP, Exchange Online Protection, eDiscovery) accessibles avec des licences basiques ;
• Niveau 2 – Développement d’ « outils maisons »: l’entreprise crée un ensemble de scripts simples ou tableaux de bords, en s’appuyant sur Graph API, Security Graph API et PowerShell, pour mettre en place des contrôles et des mesures de sécurité adaptés à son contexte (ex : gestion du cycle de vie des utilisateurs invités) ;
• Niveau 3 –Utilisation d’outils de sécurité avancée : l’entreprise met en place des solutions additionnelles pour renforcer le niveau de sécurité : outils permettant de lutter contre les fuites de données, d’analyser les malwares sur les mails, de revoir les droits, de détecter comportements anormaux ou encore de durcir l’utilisation de la plateforme en fonction du contexte.

La maîtrise des services Office 365, de leurs usages et des fonctionnalités natives de sécurité est indispensable, et doit précéder toute réflexion concernant l’ajout d’un outil de sécurité supplémentaire, qui ne couvrirait pas les failles existantes et ne ferait qu’ajouter de la complexité.

Exemple de contrôles de notre méthodologie d’Audit Office 365

Office 365 est un cas intéressant de l’ouverture des applications métiers sur Internet via le Cloud. Cette évolution requière d’adapter le modèle de sécurité historique de l’entreprise, en tendant vers le modèle de la compagnie aérienne avec l’adoption du Cloud.

La sécurisation d’Office 365 ne doit toutefois pas omettre celle des briques on-premise nécessaires au fonctionnement de la plateforme le cas échéant, comme c’est le cas généralement pour l’authentification qui est portée par l’ADFS.

Cet article Un Office 365 sécurisé, une perle rare ? est apparu en premier sur RiskInsight.

Une multiplicité des moyens de paiement

Le panorama des nouveaux moyens de paiement ne cesse d’évoluer au fil des années. Cette évolution sous-entend aussi une diversité des technologies utilisées par chaque solution.

Le e-commerce : Les transactions en ligne via un ordinateur se résume généralement à recopier les données d’une carte bancaire sur un site marchand. Il est toutefois possible d’utiliser un portefeuille électronique, comme le propose par exemple PayPal.

Le m-commerce : On distingue différents modes de paiements sur mobile :

• Le paiement à distance, via internet sur une application dédiée ou sur un navigateur, ou encore par SMS en utilisant la technologie USSD (Unstructured Supplementary Service Data). Ce protocole de communication permet entre autre de consulter son suivi conso et de payer sa facture en tapant #123# depuis son mobile. Ce dernier est aujourd’hui surtout présent dans les régions du monde où la population est peu bancarisée ;
• Le transfert d’argent de mobile à mobile, est un service proposé par de plus en plus de portefeuilles électroniques, à l’instar de Google Wallet ou des portefeuilles Bitcoin;
• Le paiement de proximité, ou paiement sans contact, permettant de payer chez le marchand avec son smartphone. Cette solution est dominée par deux technologies. La première est le Near Field Comunication (NFC), comme le proposent Apple Pay et Google Wallet. La seconde est le Quick Response Code (QR Code), une technologie notamment utilisée par les portefeuilles Bitcoin ou DigiCash.

Il ne s’agit pas ici d’une liste exhaustive des nouveaux moyens de paiement, puisque d’autres solutions permettent de payer autrement, à l’image du NFC Reader proposé par Square. Cependant, il faut garder en tête que ces nouvelles solutions tendent à se généraliser. Reste à identifier les impacts au niveau de la sécurité.

Quels enjeux en matière de sécurité ?

Ces nouveaux moyens de paiement sont tributaires des supports qui les proposent. Autrement dit, de nouveaux risques apparaissent, puisque le smartphone devient en partie responsable de la sécurité du paiement. Certes, ces solutions proposent des systèmes de sécurisation de la transaction via par exemple le chiffrement ou la tokenisation (mécanisme visant à remplacer le numéro de la carte bancaire par un autre numéro unique et inutilisable dans d’autres contextes). Mais un smartphone n’est autre qu’un outil personnel pour l’utilisateur, donc potentiellement personnalisable ou attaquable. Or, une authentification désactivée, ou un smartphone « jailbreaké » (dont les fonctions de sécurité ont été déverrouillées) sont autant de problèmes de sécurité dont l’utilisateur est responsable ou peut être la victime en cas de failles de sécurité utilisées des pirates.

La solution de paiement doit donc proposer des mesures de sécurité pour palier à ces éventualités. Trois exemples concrets permettent de mieux comprendre les enjeux de la sécurité des nouveaux moyens de paiement.

Apple Pay, Google Wallet et les portefeuilles Bitcoin, trois solutions, trois philosophies différentes

Les solutions proposées par les deux géants américains Apple et Google, sont des portefeuilles électroniques. À noter que ce terme est un abus de langage car il signifie initialement l’utilisation d’un compte crédité. Ils permettent de payer via des applications qui les supportent, et ils permettent aussi de payer chez le marchand directement avec son smartphone par communication NFC. Google Wallet existe depuis septembre 2011 aux États-Unis alors qu’Apple Pay est lui disponible depuis octobre 2014 outre-Atlantique et depuis le 14 juillet 2015 en Grande Bretagne. On compte néanmoins plus de 700 000 terminaux de paiement acceptant chacune des deux solutions.

Apple Pay (à gauche) et Google Wallet (à droite)

L’une des distinctions majeures entre ces deux solutions réside dans le stockage des données à caractère personnel. Tandis qu’Apple certifie ne récupérer aucune donnée qui pourrait être reliée à l’utilisateur, Google, lui, se propose de récupérer et stocker toutes ces données dans le Cloud. La raison de ces choix technologiques provient du fait qu’Apple est propriétaire de sa technologie de bout en bout, il fabrique ses propres smartphones. De l’autre côté, Google ne fabrique pas les mobiles qui proposent sa solution de paiement. Ainsi, il se propose de stocker toutes les données sur le cloud afin de les sécuriser. Une confiance que l’on retrouve aussi au travers d’une solution en marge du système bancaire : le Bitcoin.

Les portefeuilles Bitcoin permettent de faire ses achats en monnaie « virtuelle » depuis son mobile. Il est en effet aujourd’hui possible de payer avec ses bitcoins chez certains marchands, et ce, même en France. Le Picotin par exemple, restaurant dans le 12^ème arrondissement de Paris, propose à ses clients de payer son addition par bitcoin.

© Sebastian Seibt | Le Picotin accepte les paiements en monnaie dématérialisée

De plus, certains portefeuilles électroniques comme igot (disponible en Australie) s’occupent de transférer au marchand l’équivalent de la quantité de bitcoin en monnaie locale.

Ce moyen de paiement virtuel présente de nombreux avantages, en particulier du point de vue de l’anonymisation même s’il reste peu répandu et sujet à des variations de valeurs extrêmement fortes.

Ces solutions sont donc une nouvelle expérience de paiement. Une expérience qui se voit portée par deux arguments : ergonomie et sécurité. Apple Pay, Google Wallet, et les portefeuilles Bitcoins peuvent-ils incarner l’avenir des paiements sécurisés ? C’est dans l’optique de répondre à cette question, qu’il sera nécessaire de décrypter la sécurité de ces trois nouveaux moyens de paiement. Cela fera l’objet de prochains articles de blog à ce sujet.

Cet article Démocratisation des nouveaux moyens de paiements : la sécurité au cœur des enjeux est apparu en premier sur RiskInsight.

Internet : à chaque usage son avatar

Des réseaux sociaux à votre banque en ligne, en passant par votre messagerie électronique, tous ces comptes, ou « avatars », vous représentent dans la sphère numérique. Mais le développement libre et tous azimuts d’internet pose d’évidents problèmes de confiance. Se pose notamment la question du lien entre une personne physique, ses avatars numériques, et le sujet de droit qui la représente dans le cadre juridique. L’ère numérique se caractérise par la constante augmentation de la dématérialisation des usages : achats, déclaration d’impôts, signature de contrats, etc. Autant d’activités qui nécessitent de fournir des informations d’identification fiables.

Cet article L’identité numérique, vecteur de confiance est apparu en premier sur RiskInsight.

Découvrez en vidéo notre vision de ces enjeux auxquels sont confrontés les RSSI.

Retrouvez toutes nos vidéos sur YouTube, sur la chaîne Solucom.

Cet article Quels sont les enjeux des RSSI ? est apparu en premier sur RiskInsight.

Même s’il est aujourd’hui peu probable que l’ensemble des collaborateurs soient prêts à acheter eux-mêmes leur matériel avec une subvention de l’entreprise, certains services ou processus peuvent se prêter à ce type d’innovation, en particulier dans les DSI ou pour des sites ayant des activités classiques de gestion, tels que les sièges.

Aujourd’hui 3 grands chantiers se dégagent pour le DSI : la protection du réseau, l’accès aux applications et l’encadrement des pratiques par une charte spécifique.

Comment protéger les informations de l’entreprise lorsque le collaborateur utilise son équipement personnel ?

Lors de la connexion de postes non maîtrisés (et surtout non maîtrisables), il est essentiel de protéger la disponibilité de son réseau. Ceci passe par la mise en œuvre soit d’un contrôle d’accès au réseau local qui isolera les postes dans un espace dédié, soit par la mise en place d’un réseau Wi-Fi parallèle dédié à cet usage. Il sera alors possible d’isoler les postes les uns des autres et de leur donner accès à des services basiques (accès internet par exemple).

Comment faire pour avoir accès aux applications des entreprises ?

Une fois isolé, le poste personnel doit cependant toujours pouvoir accéder aux applications et aux données de l’entreprise. Ceci sans avoir un système d’exploitation compatible (MacOS, Linux, iOS, Android…) et sans avoir la possibilité de faire fuir facilement des informations. La solution la plus simple est la virtualisation du poste de travail et des applications. En utilisant un client de déport d’écran (de type Terminal Service ou Citrix, parfois même en mode web), l’utilisateur pourra se connecter à un poste virtuel, équivalent à un poste classique. Il aura alors accès à l’ensemble des applications depuis cette bulle isolée et maîtrisée par l’entreprise. Même si cette solution n’embrasse pas complètement le modèle BYOD, qui prône l’utilisation des applications natives du poste, elle permet de garantir une compatibilité avec l’existant, un niveau de sécurité acceptable et elle simplifie les habituels casse-têtes de l’accès aux ressources locales (imprimantes, etc.).

De quels moyens dispose le DSI pour sensibiliser ses collaborateurs à ces nouveaux usages ?

Ces solutions ne sont utiles qu’encadrées par une charte d’usage claire et précise, abordant les points acceptés et ceux interdits. Ce document est également nécessaire pour encadrer les nombreux points non directement liés au SI mais plutôt aux aspects RH et juridiques (assurance des équipements, propriétés des données, accès en cas d’investigations/d’incidents…).

L’avènement du BYOD passe certainement par la mise en place de mécanismes encore plus simples, permettant un accès direct aux données. Mais ceci nécessite une protection au plus près des informations et l’évaluation dynamique de la sécurité des équipements utilisés par les applications. Aujourd’hui, ces technologies ne sont malheureusement pas encore assez mûres pour permettre des déploiements larges.

Heureusement des solutions efficaces et disponibles dès aujourd’hui existent pour permettre l’arrivée du BYOD. Cependant, les investissements d’infrastructure sont importants. L’équation économique devra donc être définie et validée dans chaque entreprise en fonction de son existant (contrôle d’accès réseau/ postes virtuels) et des gains apportés par ces usages innovants !

Cet article BYOD et DSI : quelles marges de manœuvre pour sécuriser les données de l’entreprise ? est apparu en premier sur RiskInsight.