sécurité microsoft cloud pour enterprise architects …´le de microsoft grâce à des pratiques...

Vous êtes propriétaire de vos

données et identités, et responsable

de leur protection, de la sécurité de

vos ressources locales et de celles

des composants cloud que vous

contrôlez (dans une mesure variable

selon le type de service).

© 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écri re à l adresse [email protected].© 2016 Microsoft Corporation. Tous droits réservés. Pour envoyer vos commentaires sur cette documentation, merci de nous écri re à l adresse [email protected].

Présentation de la sécurité dans le monde du cloud

La sécurité de vos services de cloud computing Microsoft est un

partenariat entre vous et Microsoft.

Clés du succès

Les entreprises tirent parti d une approche méthodique de la sécurité dans le

cloud. Cela implique d investir dans des capacités de base au sein de

l organisation, qui conduisent à des environnements sécurisés.

La sécurité dans le cloud est un partenariat Principes éprouvés de Microsoft concernant le cloud

Les services de cloud computing

Microsoft reposent sur une base

confiance et de sécurité. Microsoft

met à votre disposition des

contrôles et fonctionnalités de

sécurité pour vous aider à protéger

vos données et applications.

Les responsabilités et les contrôles relatifs à la sécurité des applications et réseaux varient selon le type de service.

Microsoft conseille de développer des

stratégies précisant comment évaluer,

adopter et utiliser des services cloud afin

de minimiser les incohérences et

vulnérabilités que des pirates pourraient

exploiter.

Assurez-vous que les stratégies de

gouvernance et de sécurité sont à jour

pour les services cloud, et implémentées

dans l ensemble de l organisation :

Stratégies d identité

Stratégies de données

Stratégies de conformité et

documentation

Stratégie de gouvernance et

de sécurité

Les services d identité constituent la base

des systèmes de sécurité. La plupart des

organisations utilisent des identités

existantes pour les services cloud, et ces

systèmes d identité doivent être sécurisés

au moins au niveau des services cloud

Systèmes d identité et de

gestion d identité

Sensibilisation aux menaces

Vos administrateurs IT contrôlent sur les

services cloud et les services de gestion

d identité. Des stratégies de contrôle

d accès cohérentes sont déterminantes

pour la sécurité dans le cloud. Les

comptes privilégiés, les informations

d identification et les stations de travail

sur lesquelles les comptes sont utilisés

doivent être protégés et surveillés.

Gestion des privilèges

administratifs

Votre responsabilité en matière de sécurité est basée sur le type de service

cloud. Le diagramme suivant récapitule l équilibre des responsabilités

respectives de Microsoft et du client.

Transparence

Nous expliquons ce que nous faisons de vos données,

et comment nous les gérons et sécurisons, dans un

langage simple et clair.

ConformitéPortefeuille de normes de conformité et certifications le

plus important du secteur.

Confidentialité

et contrôle

Confidentialité prise en compte dès la conception, avec l engagement d utiliser les informations des clients uniquement pour la fourniture des services et non à des fins publicitaires.

SécuritéLa protection de vos données avec une technologie, des

processus et un chiffrement de pointe est notre priorité.

Microsoft Vous

Pour des informations et ressources supplémentaires, voir les pages 2 à 5.

Gouvernance des données

etgestion des droits

Responsabilité SaaS PaaS IaaS Local

Points de terminaison

clients

Gestion des comptes et des

accès

Infrastructure d identités et

d annuaires

Application

Contrôles réseau

Système d exploitation

Réseau physique

Centre de données

physique

ClientClientMicrosoftMicrosoft

SaaSSoftware as a Service

Microsoft fait fonctionner et sécurise l infrastructure, le système d exploitation hôte et les couches d application. Les données sont sécurisées au niveau des centres de données et en transit entre Microsoft et le client.

Vous contrôlez l accès à vos données et identités, et sécurisez celles-ci, notamment en configurant l ensemble des contrôles d applications disponibles dans le service cloud.


Microsoft fait fonctionner et sécurise l infrastructure, le système d exploitation hôte et les couches d application. Les données sont sécurisées au niveau des centres de données et en transit entre Microsoft et le client.

Vous contrôlez l accès à vos données et identités, et sécurisez celles-ci, notamment en configurant l ensemble des contrôles d applications disponibles dans le service cloud.

PaaSPlatform as a Service

Microsoft fait fonctionner et sécurise l infrastructure et les couches du système d exploitation hôte.

Vous contrôlez l accès à vos données, identités et applications, et sécurisez celles-ci, notamment en appliquant des contrôles d infrastructure disponibles à partir du service cloud.

Vous contrôlez entièrement le code et la configuration de l application, y compris les exemples de code fournis par Microsoft ou d autres sources.


Microsoft fait fonctionner et sécurise l infrastructure et les couches du système d exploitation hôte.

Vous contrôlez l accès à vos données, identités et applications, et sécurisez celles-ci, notamment en appliquant des contrôles d infrastructure disponibles à partir du service cloud.

Vous contrôlez entièrement le code et la configuration de l application, y compris les exemples de code fournis par Microsoft ou d autres sources.

IaaSInfrastructure as a Service

Microsoft fait fonctionner et

sécurise l infrastructure de base

et les couches du système

d exploitation hôte.

Vous contrôlez l accès aux

données, identités, applications,

systèmes d exploitation

virtualisés et contrôles

d infrastructure disponibles, et

sécurisez ceux-ci à partir du

service cloud.


Microsoft fait fonctionner et

sécurise l infrastructure de base

et les couches du système

d exploitation hôte.

Vous contrôlez l accès aux

données, identités, applications,

systèmes d exploitation

virtualisés et contrôles

d infrastructure disponibles, et

sécurisez ceux-ci à partir du

service cloud.

Cloud privé

Les clouds privés sont des

solutions locales qui vous

appartiennent, que vous

exploitez et que vous sécurisez.

Les cloud privés diffèrent des

infrastructures locales

traditionnelles en ce qu ils

suivent les principes du cloud

pour offrir la disponibilité et la

flexibilité du cloud.

Cloud privé

Les clouds privés sont des

solutions locales qui vous

appartiennent, que vous

exploitez et que vous sécurisez.

Les cloud privés diffèrent des

infrastructures locales

traditionnelles en ce qu ils

suivent les principes du cloud

pour offrir la disponibilité et la

flexibilité du cloud.

Hôtes physiques

Vous êtes propriétaire de vos données et

contrôlez la manière dont elles doivent être

utilisées, partagées, mises à jour et

publiées. Vous devez classer vos données

sensibles, et vous assurer qu elles sont

protégées et surveillées à l aide de

stratégies de contrôle d accès appropriées

chaque fois qu elles sont stockées et

pendant leur transit.

Protection des données

Les organisations sont confrontées à une

série de menaces à la sécurité aux

motivations variables. Évaluez les menaces

qui planent sur votre organisation et

mettez-les en contexte en tirant parti de

ressources telles que l intelligence des

menaces et les centres d analyse et de

partage d informations (ISAC).

Août 2016

Sécurité dans un monde prêt pour le cloud

http://aka.ms/securecustomermva


http://aka.ms/securecustomermvaMicrosoft Virtual AcademyMicrosoft Virtual Academy


http://aka.ms/securecustomermvaMicrosoft Virtual Academy

Tout ce que les architectes informatiques doivent

savoir sur la sécurité et la confiance dans les

plateformes et services Microsoft Cloud.

1 2 3 4 51 2 3 4 5Rubrique 1 sur 5

Sécurité Microsoft Cloud

pour Enterprise

Architects

mailto:[email protected]








FISC Japon

GCIO Nouvelle-Zélande

Certifications de sécurité de niveau supérieurDe nombreuses organisations internationales, sectorielles et régionales

certifient de façon indépendance que les plateformes et services de cloud

computing Microsoft respectent des normes de sécurité rigoureuses et sont

fiables.

En fournissant aux clients des services cloud conformes, vérifiés de façon

indépendante, Microsoft facilite également la mise en conformité de votre

infrastructure et de vos applications.

Cette page résume les principales certifications. Pour la liste complète des

certifications de sécurité et plus d informations, voir le Centre de gestion de la

confidentialité Microsoft.


Domaine réglementaire et

de conformité

Microsoft Dynamics

CRMMicrosoft Intune

SOC 2 Type 2

CSA STAR 1

FedRAMP

DISA DoD

IRS 1075

HIPAA BA

PCI-DSS niveau 1

FERPA

ISO 27001

ISO 27018

SOC 1 Type 2

CJIS

Microsoft AzureOffice 365

CDSA

Clauses types de l UE

RU G-Cloud v6

ASD Gouv. Australie

MTCS Singapour

http://www.microsoft.com/trustcenter

Centre de gestion de la

confidentialité Microsoft




Août 2016

https://www.microsoft.com/en-us/

TrustCenter/Compliance/default.aspx

Afficher la conformité par service

https://www.microsoft.com/en-us/

TrustCenter/Compliance/default.aspx

Afficher la conformité par service

Niveau 2 Niveau 4

N/A N/A N/AN/A N/A N/AN/A N/A N/A

N/AN/A

N/A N/A N/AN/A N/A N/AN/A N/A N/A

Largement applicable

Gouvernement des

États-Unis

Spécifique du secteur

Spécifique du pays/de

la région

ITAR

FDA 21 CFR Part 11




1 2 3 4 51 2 3 4 5Rubrique 2 sur 5


pour Enterprise

Architects





https://www.microsoft.com/en-us/TrustCenter/Compliance/default.aspx

https://www.microsoft.com/en-us/TrustCenter/Compliance/default.aspx

Rôle de Microsoft

Grâce à des pratiques de sécurité de pointe et à une expérience sans égale dans l exécution de certains des services en ligne les plus important au monde, Microsoft offre des services cloud d entreprise auxquels les clients peuvent se fier.

es décennies d expérience en ingénierie ont permis à Microsoft de développer des meilleures pratiques de pointe en matière de conception et de gestion de services en ligne. Ce modèle résume l approche complète de Microsoft, des données jusqu aux supports physiques et centres de données. Examinez soigneusement les responsabilités du client pour comprendre votre rôle dans le partenariat de sécurité.

Microsoft s engage à assurer la confidentialité et la

sécurité de vos données et applications dans le cloud

Confidentialité des données

Vous avez le contrôle de vos données. Vous contrôlez où

elles sont stockées, ainsi que la manière d y accéder et de les

supprimer en toute sécurité. Selon le service, vous choisissez

l emplacement géographique où vos données sont stockées.

Accès aux donnéesVos données vous appartiennent.

Nous appelons « données client » toutes les données

(fichiers texte, son, logiciel ou image) qu un client

fournit, ou qui sont fournies pour le compte d un client,

à Microsoft via l utilisation des services en ligne.

Propriété des données

Utilisation des données

Dans le cadre du processus de développement, des contrôles de

confidentialité sont effectués pour s assurer que les exigences de

confidentialité son correctement satisfaites. Cela inclut la

vérification de la présence de fonctionnalités liées à la

confidentialité, qui permettent au client de contrôler qui peut

accéder à ses données, et de configurer le service de façon à

satisfaire ses exigences de confidentialité réglementaires.

Contrôles de confidentialité

Si une administration nous approche

pour accéder à des données client, nous

vous transmettons la demande chaque

fois que c est possible. Nous contestons

en justice toute demande de nature

juridique non valide interdisant la

divulgation d une demande

administrative de données client.

Divulgation de demande administrative de données

Vos données vous

appartiennent. Si vous

choisissez de quitter le service,

vous pouvez emporter vos

données avec vous et

demander leur suppression

définitive de nos serveurs.

Portabilité des données

Protection des

données et de la

confidentialité dans

le cloud

En savoir plus...

Protection des

données et de la


le cloud

En savoir plus...

Chiffrement des données et gestion des

droitsUn chiffrement de pointe est utilisé pour sécuriser les données en

transit entre des centres de données et vous, de même qu au sein

des centres de données Microsoft. De plus, les clients peuvent activer

la fonctionnalité PFS (Perfect Forward Secrecy). Celle-ci utilise une clé

de chiffrement différente pour chaque connexion, ce qui complique

le déchiffrement des connexions pour d éventuels attaquants.

Données en transit

Pour des solutions basées sur Azure, vous pouvez choisir

d implémenter un chiffrement supplémentaire en utilisant un

éventail d approches. Vous contrôlez la méthode et les clés de

chiffrement. Le chiffrement TLS intégré permet aux clients de

chiffrer des communications dans et entre des déploiements,

d Azure vers des centres de données locaux, et d Azure vers

des administrateurs et utilisateurs.

Chiffrement de solutions basées sur Azure

Office 365 et d autres

services SaaS utilisent le

chiffrement au repos pour

protéger vos données sur

des serveurs Microsoft.

Données au repos

RMS Azure utilise des stratégies de chiffrement, d identité et

d autorisation pour vous aider à sécuriser vos fichiers et messages

électroniques. La protection reste associée aux fichiers et messages

électroniques, indépendamment de l emplacement, à l intérieur ou à

l extérieur de votre organisation, sur des réseaux ou serveurs de

fichiers, ou dans des applications.

Azure Rights Management (Azure RMS)

Vous pouvez utiliser Azure RMS avec

Office 365, SharePoint Online et Exchange Online.

Vous pouvez configurer Azure RMS

pour votre organisation entière.

Vous pouvez apporter votre propre

clé pour vous conformer aux stratégies de votre organisation.

Azure Rights

Management

En savoir plus...

Azure Rights

Management

En savoir plus...

Identité et accès

Microsoft propose des solutions complètes de gestion

d identité et d accès que les clients peuvent utiliser sur Azure

et d autres services tels qu Office 365, qui les aident à

simplifier la gestion de plusieurs environnements et à

contrôler l accès des utilisateur aux applications.

Vous contrôlez l accès à vos données et applicationsAzure Active Directory permet aux clients de gérer l accès à

Azure, à Office 365 et à une foule d autres applications cloud.

L authentification multifacteur et la surveillance des accès offrent

une sécurité renforcée.

Azure Active Directory et

Authentification multifacteur

Microsoft

Informatique

de confiance

En savoir plus...

Microsoft

Informatique

de confiance

En savoir plus...

Protégez les clés de chiffrement et autres secrets utilisés par

les applications et services cloud. Microsoft ne voit pas et

n extrait pas vos clés.

Azure Key Vault

Azure Active Directory facilite l intégration et l authentification

unique à de nombreuses applications SaaS populaires

d aujourd ui, telles que Salesforce.

Gestion d identité SaaS tierce

Sécurité d infrastructure et de mise en

réseau de centres de donnéesLes clients peuvent utiliser

ExpressRoute pour établir une

connexion privée aux centres

de données Azure, tout en

maintenant leur trafic en

dehors d Internet.

Connexion privée

OSA est un cadre qui se focalise sur les problèmes d infrastructure

pour contribuer à garantir des opérations sécurisées tout au long

du cycle de vie des services basés sur le cloud.

Sécurité opérationnelle des services en ligne (OSA)

Logiciels et services

Microsoft Azure, Office 365,

Dynamics CRM Online et tous

les autres services cloud

d entreprise utilisent les

processus documentés dans

SDL.

Développement

sécurisé dans le

Microsoft Cloud

Les considérations relatives à la confidentialité et à la

sécurité sont incorporées dans SDL, processus de

développement de logiciels qui permet aux développeurs de

créer des logiciels plus sécurisés et de répondre aux

exigences de conformité en matière de sécurité et de

confidentialité. SDL inclut ce qui suit :

Secure Development Lifecycle (SDL)

Évaluation des risques

Analyse et réduction de surface d attaque

Modélisation des menaces

Réponse aux incidents

Révision et certification de version

Security

Development

Lifecycle

En savoir plus...

Security

Development

Lifecycle

En savoir plus...

Test et surveillance proactifs

En plus des pratiques de « prévention de violation » que sont

la modélisation des menaces, les révisions de code et les tests

de sécurité, Microsoft adopte une approche de la protection

des données et des services basée sur le principe de

« présomption de violation » :

Prévention de violation, présomption de

violation

La DCU (Digital Crimes Unit) de Microsoft

vise à offrir une expérience numérique

plus sûre pour chaque personne et

organisation sur la planète, en protégeant

les populations vulnérables, en luttant

contre les programmes malveillants, et en

réduisant le risque numérique.

DCU (Digital Crimes Unit) de Microsoft

Simuler des violations réelles

Tests d intrusion de site en

conditions réelles

Journalisation et surveillance

centralisées de la sécurité

Exercices de réponse aux

incidents de sécurité

En savoir plus...En savoir plus...


Sécurité du centre de données physique

Les centres de données sont physiquement construits, gérés

et surveillés pour protéger les données et services contre

tout accès non autorisé, ainsi que contre les menaces

environnementales.

Sécurité physique surveillée 24/24 h

Lorsque des clients suppriment des données ou quittent un service,

ils peuvent emporter leurs données avec eux et demander leur

suppression définitive des serveurs de Microsoft. Microsoft

applique des normes strictes en matière de réécriture des

ressources de stockage avant leur réutilisation, ainsi que de

destruction physique du matériel désaffecté. Le matériel et les

lecteurs défectueux sont démagnétisés et détruits.

Destruction des données

Microsoft applique une stratégie d accès non permanent

aux données client. Nous avons conçu nos produits de

façon à ce qu une majorité d opérations de service soient

entièrement automatisées, et à ce que seul un petit

nombre d activités requièrent une intervention humaine.

L accès aux données est accordé au personnel de Microsoft

uniquement s il est nécessaire pour le support technique

ou la conduite d opérations. L accès est soigneusement

géré et journalisé, puis révoqué quand il n est plus

nécessaire. L accès du centre de données aux systèmes qui

stockent des données client est strictement contrôlé via

des processus de zone de verrouillage.

Zéro privilège permanent

Équipe rouge de

Microsoft Enterprise

Cloud

En savoir plus...

Équipe rouge de


Cloud

En savoir plus...

Sécurité,

confidentialité et

conformité dans

Microsoft Azure

En savoir plus...

Sécurité,

confidentialité et

conformité dans

Microsoft Azure

En savoir plus...

Sécurité

opérationnelle des

services en ligne

(OSA)

En savoir plus...

Sécurité

opérationnelle des

services en ligne

(OSA)

En savoir plus...

Suite à la page suivante

En savoir plus . . .

Rapport des

demandes

d application des

lois


Rapport des

demandes

d application des

lois

Août 2016

Nous n utilisons pas les données client à des fins étrangères à

la fourniture du service, telles que la publicité. Nous avons une

stratégie d accès non permanent. L accès aux données client

par le personnel de Microsoft est limité, accordé uniquement

s il est nécessaire pour le support technique ou la conduite des

opérations, puis révoqué lorsqu il n est plus nécessaire.

Le Cyber Defense Operations Center (centre des opérations de

cyberdéfense) de Microsoft est service de cybersécurité et de défense

opérationnel en permanence, qui réunit nos experts en sécurité et des

chercheurs spécialisés en traitement de données dans un emplacement

centralisé. Des outils logiciels avancés et l analytique en temps réel nous

aident à détecter et à traiter les menaces pesant sur l infrastructure cloud,

les produits, les appareils et les ressources internes de Microsoft.

Microsoft Cyber Defense Operations Center

Vidéo : centre(s) de données

Azure du Microsoft Cloud –

Visite guidée de l intérieur




En savoir plus...




En savoir plus...




1 2 3 4 51 2 3 4 5Rubrique 3 sur 5


pour Enterprise

Architects

http://download.microsoft.com/download/2/0/A/20A1529E-65CB-4266-8651-1B57B0E42DAA/Protecting-Data-and-Privacy-in-the-Cloud.pdf


http://technet.microsoft.com/library/jj585016.aspx


http://www.microsoft.com/twc/default.aspx


http://www.microsoft.com/sdl


http://news.microsoft.com/presskits/dcu/#sm.001pdfnu5y74erw10pw1lacjcvt7b




http://download.microsoft.com/download/C/1/9/C1990DBA-502F-4C2A-848D-392B93D9B9C3/Microsoft_Enterprise_Cloud_Red_Teaming.pdf


http://go.microsoft.com/fwlink/?linkid=392408&clcid=0x409


http://www.microsoft.com/download/confirmation.aspx?id=40872


http://www.microsoft.com/about/corporatecitizenship/en-us/reporting/transparency/


https://www.youtube.com/watch?v=_s6RrKIFnS8




Rôle de Microsoft

Grâce à des pratiques de sécurité de pointe et à une expérience sans égale dans l exécution decertains des services en ligne les plus important au monde, Microsoft offre des services cloudd entreprise auxquels les clients peuvent se fier.

es décennies d expérience en ingénierie ont permis à Microsoft de développer des meilleures pratiques de pointe en matière de conception et de gestion de services en ligne. Ce modèle résumel approche complète de Microsoft, des données jusqu aux supports physiques et centres de données. Examinez soigneusement les responsabilités du client pour comprendre votre rôle dans lepartenariat de sécurité.

Microsoft s engage à assurer la confidentialité et la

sécurité de vos données et applications dans le cloud

Confidentialité des données

Vous avez le contrôle de vos données. Vous contrôlez où

elles sont stockées, ainsi que la manière d y accéder et de les

supprimer en toute sécurité. Selon le service, vous choisissez

l emplacement géographique où vos données sont stockées.

Accès aux donnéesVos données vous appartiennent.

Nous appelons « données client » toutes les données

(fichiers texte, son, logiciel ou image) qu un client

fournit, ou qui sont fournies pour le compte d un client,

à Microsoft via l utilisation des services en ligne.

Propriété des données

Utilisation des données

Dans le cadre du processus de développement, des contrôles de

confidentialité sont effectués pour s assurer que les exigences de

confidentialité son correctement satisfaites. Cela inclut la

vérification de la présence de fonctionnalités liées à la

confidentialité, qui permettent au client de contrôler qui peut

accéder à ses données, et de configurer le service de façon à

satisfaire ses exigences de confidentialité réglementaires.

Contrôles de confidentialité

Si une administration nous approche

pour accéder à des données client, nous

vous transmettons la demande chaque

fois que c est possible. Nous contestons

en justice toute demande de nature

juridique non valide interdisant la

divulgation d une demande

administrative de données client.

Divulgation de demande administrative de données

Vos données vous

appartiennent. Si vous

choisissez de quitter le service,

vous pouvez emporter vos

données avec vous et

demander leur suppression

définitive de nos serveurs.

Portabilité des données

Protection des

données et de la


le cloud

En savoir plus...

Protection des

données et de la


le cloud

En savoir plus...

Chiffrement des données et gestion des

droitsUn chiffrement de pointe est utilisé pour sécuriser les données en

transit entre des centres de données et vous, de même qu au sein

des centres de données Microsoft. De plus, les clients peuvent activer

la fonctionnalité PFS (Perfect Forward Secrecy). Celle-ci utilise une clé

de chiffrement différente pour chaque connexion, ce qui complique

le déchiffrement des connexions pour d éventuels attaquants.

Données en transit

Pour des solutions basées sur Azure, vous pouvez choisir

d implémenter un chiffrement supplémentaire en utilisant un

éventail d approches. Vous contrôlez la méthode et les clés de

chiffrement. Le chiffrement TLS intégré permet aux clients de

chiffrer des communications dans et entre des déploiements,

d Azure vers des centres de données locaux, et d Azure vers

des administrateurs et utilisateurs.

Chiffrement de solutions basées sur Azure

Office 365 et d autres

services SaaS utilisent le

chiffrement au repos pour

protéger vos données sur

des serveurs Microsoft.

Données au repos

RMS Azure utilise des stratégies de chiffrement, d identité et

d autorisation pour vous aider à sécuriser vos fichiers et messages

électroniques. La protection reste associée aux fichiers et messages

électroniques, indépendamment de l emplacement, à l intérieur ou à

l extérieur de votre organisation, sur des réseaux ou serveurs de

fichiers, ou dans des applications.

Azure Rights Management (Azure RMS)

Vous pouvez utiliser Azure RMS avec

Office 365, SharePoint Online et Exchange Online.

Vous pouvez configurer Azure RMS

pour votre organisation entière.

Vous pouvez apporter votre propre

clé pour vous conformer aux stratégies de votre organisation.

Azure Rights

Management

En savoir plus...

Azure Rights

Management

En savoir plus...

Identité et accès

Microsoft propose des solutions complètes de gestion

d identité et d accès que les clients peuvent utiliser sur Azure

et d autres services tels qu Office 365, qui les aident à

simplifier la gestion de plusieurs environnements et à

contrôler l accès des utilisateur aux applications.

Vous contrôlez l accès à vos données et applicationsAzure Active Directory permet aux clients de gérer l accès à

Azure, à Office 365 et à une foule d autres applications cloud.

L authentification multifacteur et la surveillance des accès offrent

une sécurité renforcée.

Azure Active Directory et

Authentification multifacteur

Microsoft

Informatique

de confiance

En savoir plus...

Microsoft

Informatique

de confiance

En savoir plus...

Protégez les clés de chiffrement et autres secrets utilisés par

les applications et services cloud. Microsoft ne voit pas et

n extrait pas vos clés.

Azure Key Vault

Azure Active Directory facilite l intégration et l authentification

unique à de nombreuses applications SaaS populaires

Gestion d identité SaaS tierce

Sécurité d infrastructure et de mise en

réseau de centres de donnéesLes clients peuvent utiliser

ExpressRoute pour établir une

connexion privée aux centres

de données Azure, tout en

maintenant leur trafic en

dehors d Internet.

Connexion privée

OSA est un cadre qui se focalise sur les problèmes d infrastructure

pour contribuer à garantir des opérations sécurisées tout au long

du cycle de vie des services basés sur le cloud.

Sécurité opérationnelle des services en ligne (OSA)

Logiciels et services

Microsoft Azure, Office 365,

Dynamics CRM Online et tous

les autres services cloud

d entreprise utilisent les

processus documentés dans

SDL.

Développement

sécurisé dans le

Microsoft Cloud

Les considérations relatives à la confidentialité et à la

sécurité sont incorporées dans SDL, processus de

développement de logiciels qui permet aux développeurs de

créer des logiciels plus sécurisés et de répondre aux

exigences de conformité en matière de sécurité et de

confidentialité. SDL inclut ce qui suit :

Secure Development Lifecycle (SDL)


Analyse et réduction de surface d attaque

Modélisation des menaces

Réponse aux incidents

Révision et certification de version

Security

Development

Lifecycle

En savoir plus...

Security

Development

Lifecycle

En savoir plus...

Test et surveillance proactifs

En plus des pratiques de « prévention de violation » que sont

la modélisation des menaces, les révisions de code et les tests

de sécurité, Microsoft adopte une approche de la protection

des données et des services basée sur le principe de

« présomption de violation » :

Prévention de violation, présomption de

violation

La DCU (Digital Crimes Unit) de Microsoft

vise à offrir une expérience numérique

plus sûre pour chaque personne et

organisation sur la planète, en protégeant

les populations vulnérables, en luttant

contre les programmes malveillants, et en

réduisant le risque numérique.

DCU (Digital Crimes Unit) de Microsoft

Simuler des violations réelles

Tests d intrusion de site en

conditions réelles

Journalisation et surveillance

centralisées de la sécurité

Exercices de réponse aux

incidents de sécurité

En savoir plus...En savoir plus...


Sécurité du centre de données physique

Les centres de données sont physiquement construits, gérés

et surveillés pour protéger les données et services contre

tout accès non autorisé, ainsi que contre les menaces

environnementales.

Sécurité physique surveillée 24/24 h

Lorsque des clients suppriment des données ou quittent un service,

ils peuvent emporter leurs données avec eux et demander leur

suppression définitive des serveurs de Microsoft. Microsoft

applique des normes strictes en matière de réécriture des

ressources de stockage avant leur réutilisation, ainsi que de

destruction physique du matériel désaffecté. Le matériel et les

lecteurs défectueux sont démagnétisés et détruits.

Destruction des données

Microsoft applique une stratégie d accès non permanent

aux données client. Nous avons conçu nos produits de

façon à ce qu une majorité d opérations de service soient

entièrement automatisées, et à ce que seul un petit

nombre d activités requièrent une intervention humaine.

L accès aux données est accordé au personnel de Microsoft

uniquement s il est nécessaire pour le support technique

ou la conduite d opérations. L accès est soigneusement

géré et journalisé, puis révoqué quand il n est plus

nécessaire. L accès du centre de données aux systèmes qui

stockent des données client est strictement contrôlé via

des processus de zone de verrouillage.

Zéro privilège permanent

Équipe rouge de


Cloud

En savoir plus...

Équipe rouge de


Cloud

En savoir plus...

Sécurité,

confidentialité et

conformité dans

Microsoft Azure

En savoir plus...

Sécurité,

confidentialité et

conformité dans

Microsoft Azure

En savoir plus...

Sécurité

opérationnelle des

services en ligne

(OSA)

En savoir plus...

Sécurité

opérationnelle des

services en ligne

(OSA)

En savoir plus...


Rapport des

demandes

d application des

lois


Rapport des

demandes

d application des

lois

Août 2016

Nous n utilisons pas les données client à des fins étrangères à

la fourniture du service, telles que la publicité. Nous avons une

stratégie d accès non permanent. L accès aux données client

par le personnel de Microsoft est limité, accordé uniquement

s il est nécessaire pour le support technique ou la conduite des

opérations, puis révoqué lorsqu il n est plus nécessaire.

Le Cyber Defense Operations Center (centre des opérations de

cyberdéfense) de Microsoft est service de cybersécurité et de défense

opérationnel en permanence, qui réunit nos experts en sécurité et des

chercheurs spécialisés en traitement de données dans un emplacement

centralisé. Des outils logiciels avancés et l analytique en temps réel nous

aident à détecter et à traiter les menaces pesant sur l infrastructure cloud,

les produits, les appareils et les ressources internes de Microsoft.

Microsoft Cyber Defense Operations Center







En savoir plus...




En savoir plus...




1 2 3 4 51 2 3 4 5Rubrique 3 sur 5


pour Enterprise

Architects

























2. Contrôle administratif : défendre contre la perte de contrôle de vos services cloud et systèmes locaux

1. Stratégie de sécurité, gouvernance et opérationnalisation : fournir une vision, des normes et des instructions claires pour votre organisation

Feuille de route et responsabilités du client

A. Développer des stratégies de sécurité

dans le cloud

B. Gérer les menaces continues D. Contenir le risque en présumant la

violation

D. Utiliser des comptes Administrateur et

des stations de travail dédiés

C. Utiliser une authentification forteA. Modèle d administration du moindre

privilège

Surveillez étroitement l utilisation et les activités

des comptes d administration. Configurez des

alertes pour les activités qui ont un impact élevé

ainsi que les activités rares ou inhabituelles.

F. Surveiller les comptes Administrateur

3. Données : identifier et protéger vos informations les plus importantes

C. Rechercher et protégez les ressources sensibles

La première étape de la protection des informations

consiste à identifier celles qu il faut protéger.

Développez des instructions claires, simples et bien

communiquées pour identifier, protéger et surveiller

les ressources de données les plus importantes,

indépendamment de l emplacement où elles se

trouvent.

A. Fixer des priorités en matière de protection des

informations

4. Identité des utilisateurs et sécurité des appareils : renforcer la protection des comptes et des appareils

C. Éduquer, responsabiliser et mobiliser

les utilisateurs

L une des méthodes plus fiables pour détecter

des abus de privilèges, de comptes ou de

données consiste à détecter les activités

anormales des comptes.

Identifiez les activités normales et

physiquement possibles. Alertez concernant

toute activité inhabituelle pour permettre

une investigation et une réponse rapides.

Pour les comptes dans Azure Active

Directory, utilisez l analytique intégrée pour

détecter toute activité inhabituelle.

D. Surveiller les abus de compte et

d informations d identification

A. Utiliser une authentification forte

Cloud privé

8. Environnements cloud privés ou locaux : sécuriser la base

Azure Multi-Factor AuthenticationAzure Multi-Factor Authentication

Rapports Office 365Rapports Office 365

Empreintes numériques sur les documentsEmpreintes numériques sur les documents

Chiffrement dans Office 365Chiffrement dans Office 365

Services AD RMS (Active Directory Rights

Management Services)



Azure Rights ManagementAzure Rights Management

Pour plus d informations sur la manière dont les

centres de données Azure sont sécurisés, voir :

Cloud de confiance : sécurité, confidentialité

et conformité de Microsoft Azure





Boîte à outils de classification des donnéesBoîte à outils de classification des données

Adopter une approche systématique de la sécurité en local et dans le cloud

Si Microsoft s engage à assurer la confidentialité et la sécurité des données et applications dans le cloud, les clients doivent jouer un rôle actif dans le partenariat de sécurité. L évolution constante des menaces à la cybersécurité augmente la nécessité de mettre en place une sécurité rigoureuse et des règles à tous les niveaux pour la protection des ressources tant en local et que dans le cloud. Les organisations sont plus à même de gérer et résoudre les questions de sécurité dans le cloud quand elles adoptent une approche systématique.

La migration des charges de travail dans le cloud a pour effet de transférer à Microsoft de nombreuses responsabilités de sécurité et leurs coûts associés, ainsi que de libérer vos ressources de sécurité de sorte qu elles puissent se concentrer sur les aspects essentiels liés aux données, aux identités, à la stratégie et à la gouvernance.

Les stratégies vous permettent d ajuster vos

contrôles de sécurité aux objectifs, aux risques et à

la culture de votre organisation. Les stratégies

doivent fournir des directives claires, sans

équivoque pour permettre à tous les spécialistes de

prendre de bonnes décisions.

Documentez les stratégies de sécurité de

façon suffisamment détaillée pour guider le

personnel vers des décisions rapides et précises,

tout en adoptant et en gérant les services cloud.

Assurez-vous de disposer de suffisamment de

détails sur les aspects de stratégie bien connus

et revêtant une importance critique pour votre

posture de sécurité.

Équilibrer sécurité et opérabilité. Des contrôles

de sécurité entravant à l excès la possibilité pour

les administrateurs et les utilisateurs d accomplir

leurs tâches seront contournés. Obtenez

l adhésion des utilisateurs par l éducation à la

menace et l inclusion dans le processus de

conception de la sécurité.

Documentez les protocoles et les processus

pour l exécution de tâches de sécurité

extrêmement importantes, telles que l utilisation

d informations d identification d administration,

la réponse à des événements de sécurité

courants, et la récupération suite à des incidents

de sécurité significatifs.

Adopter l « informatique fantôme ». Identifiez

l utilisation non gérée des appareils, des services

cloud et des applications. Identifiez les besoins

métier qui ont mené à leur utilisation, ainsi que

le risque auquel ils exposent l entreprise. Utilisez

des groupes professionnels pour activer les

fonctionnalités requises tout en atténuant les

risques.

E. Mettre en place une stratégie pour les

utilisateurs et leur formation

Les utilisateurs jouent un rôle essentiel dans la

sécurité des informations, et doivent être formés à

vos stratégies et normes concernant les aspects de

la sécurité liés à la création, à la classification, à la

conformité, au partage, à la protection et à la

surveillance des données.


Plus d informations

Sécurisez les réseaux que vous installez et

exploitez dans vos centres de données. Suivez les

instructions et principes énoncés dans la section

Système d exploitation et intergiciels (ci-dessus).

Les comptes utilisés pour gérer la structure ont

le contrôle technique de celle-ci. Ils constituent

donc une dépendance de sécurité pour la

structure et tous les services hébergés sur celle-

ci. Ceux-ci incluent les comptes locaux et de

domaine disposant de privilèges

d administration sur les systèmes suivants:

Domaines Active Directory auxquels des

ressources de la structure sont jointes

Systèmes d exploitation hôtes de virtualisation

Outils de gestion de la structure

Pour ces ressources, suivez les instructions de

sécurité énoncées dans la section Privilèges et

identités d administration (ci-dessus).

Le microprogramme, logiciel incorporé dans le

matériel de la structure, est une dépendance de

sécurité des services cloud et un vecteur

d attaque potentiel. Validez et renforcez ce

logiciel, notamment sur le plan des aspects

suivants:

Contrôleurs de gestion de la carte de base

(BMC) pour l accès à distance ou sans

présence humaine au matériel

Microprogramme de la carte mère du serveur

Microprogramme de la carte d interface

Microprogramme/logiciel de l appliance

dédiée

Les garanties de sécurité des services locaux

dépendent de la sécurité des systèmes de stockage.

Ceux-ci incluent:

Outils de gestion du stockage

Groupes et comptes d administrateur de stockage

Stations de travail utilisées par les administrateurs

de stockage

Systèmes d exploitation et microprogrammes des

équipements de stockage

Sécurisez ces systèmes au moins au niveau requis

pour l ensemble des applications, identités, systèmes

d exploitation et données hébergés dessus.

Les garanties de sécurité de la structure dépendent

de l intégrité de la sécurité des logiciels et des outils

servant à les gérer. Il peut s agir notamment des

aspects suivants:

Gestion de la configuration

Gestion des opérations

Gestion de machine virtuelle

Sauvegarde

Sécurisez ces ressources au moins au niveau requis

pour les services et données hébergés sur la

structure.

D. Stockage G. Gestion de la structureA. Réseau physique

B. Identités de la structure et du centre

de données

C. Micrologiciel de serveur et d appareilF. Sécurité physique

Les machines virtuelles dépendent de la structure devirtualisation pour les garanties de sécurité. La structureinclut les éléments suivants:

Outils d administration de la virtualisation

Administrateurs de virtualisation

Stations de travail utilisées par ces administrateurs

Systèmes d exploitation d hôtes de machinesvirtuelles

Microprogramme sur le matériel hôte de machinesvirtuelles

Sécurisez ces systèmes au moins au niveau requis pour l ensemble des applications, identités, et donnéeshébergées sur la solution de virtualisation.

H. Solution de virtualisationE. Systèmes d exploitation et intergiciels

Les systèmes d exploitation et intergiciels installés sur

le matériel du serveur physique constituent une

dépendance de sécurité pour les services qui

s exécutent sur ceux-ci. Sécurisez ces ressources au

moins au niveau requis pour les services et données

hébergés sur la structure, en suivant les indications

énoncées dans la section Système d exploitation et

intergiciels (ci-dessus).

Les garanties de sécurité physique du matériel

hébergeant un service cloud doivent être au moins au

niveau requis pour l ensemble des applications,

données et identités hébergées. La sécurité physique

protège toutes les dépendances de sécurité,

notamment les éléments suivants:

Atériel de serveur

Équipements de stockage

Périphériques réseau

Stations de travail d administration

Supports d installation

Cartes à puce, jetons de mot de passe à usage

unique et mots de passe notés sur papier

TechEd 2014 : Gestion des accès privilégiés pour Active DirectoryTechEd 2014 : Gestion des accès privilégiés pour Active Directory

Livre blanc : Gestion de la sécurité dans Microsoft AzureLivre blanc : Gestion de la sécurité dans Microsoft Azure

Azure Key VaultAzure Key Vault

Livre blanc : Sécurité et gestion des journaux d audit deMicrosoft AzureLivre blanc : Sécurité et gestion des journaux d audit deMicrosoft Azure

Audit dans Office 365Audit dans Office 365

Informatique de confiance : gouvernance des donnéesInformatique de confiance : gouvernance des données

Livre blanc : Sécurité et gestion des journaux

d audit de Microsoft Azure




Vue d ensemble de la sécurité opérationnelle

des services en ligne





Important : comment utiliser cette page

Cette page contient une liste méthodique d actions que Microsoft recommande

pour protéger vos données, identités et applications contre les menaces de

cybersécurité. Ces actions sont catégorisées et présentées sous la forme d une pile.

Les catégories en haut de la pile s appliquent à SaaS, PaaS, IaaS et au cloud privé.

L étendue des catégories diminue à mesure que vous descendez dans la pile.




Cloud privéSaaSSoftware as a Service



Cloud privé

B. Suivre le Security Development

Lifecycle (SDL) Avant d acquérir des applications, examinez les

processus de développement et les pratiques

opérationnelles des fournisseurs dans une

perspective de sécurité. Intégrez cette tâche dans

votre processus d acquisition.

Suivez les instructions et recommandations du

fournisseur de l application concernant la

configuration de la sécurité.

Appliquez toutes les mises à jour de sécurité du

fournisseur aussi rapidement que vos besoins de

test le permettent. Assurez-vous que les intergiciels

et dépendances sont installés avec les applications.

Interrompez votre utilisation du logiciel avant

d atteindre la fin du support.

A. Sécuriser les applications que

vous acquérez



Cloud privé

5. Sécurité d application : s assurer que code de l application est résilient aux attaques

6. Réseau : garantir la connectivité, l isolement et la visibilité en cas de comportement anormal

Assurez-vous que votre architecture réseau est prête

pour le cloud en mettant à jour votre approche

actuelle ou en profitant de l occasion pour prendre un

nouveau départ avec une stratégie moderne pour les

services et plateformes cloud. Adaptez votre stratégie

de réseau aux aspects suivants:

Stratégie et gouvernance de sécurité globale

Modèle de confinement et stratégie d identité

Fonctionnalités et contraintes des services cloud

Votre conception doit contribuer à la sécurisation des

communications:

Entrantes en provenance d Internet

Entre machines virtuelles dans un abonnement

Entre abonnements

Vers les réseaux locaux et en provenance de ceux-ci

À partir d hôtes d administration à distance

A. Mettre à jour votre stratégie de sécurité

réseau et votre architecture de cloud

computing

Assurez-vous que vos processus et capacités

technologiques permettent de distinguer des

anomalies et écarts dans les configurations et modèles

de flux de trafic du réseau. Le cloud computing utilise

des réseaux publics, ce qui permet une exploitation

rapide des erreurs de configuration qui doivent être

évitées ou rapidement détectées et corrigées.

Surveillez étroitement les exceptions et alertez à leur

sujet.

Implémentez des moyens automatisés pour vous

assurer que votre configuration réseau reste

correcte et que les modèles de trafic inhabituels

soient détectés.

C. Gérer et surveiller la sécurité du réseau

Le cloud computing offre des capacités réseau

extraordinairement flexibles, car les topologies sont

définies dans les logiciels. Évaluez l utilisation de

ces capacités cloud modernes pour améliorer la

vérifiabilité, la détectabilité et la flexibilité

opérationnelle de votre sécurité réseau.

B. Optimiser avec capacités cloud

Les applications logicielles contenant du code source

que vous développez ou contrôlez constituent une

surface d attaque potentielle. Celles-ci incluent les

applications, les applications PaaS créées à partir d un

exemple de code dans Azure (tels les sites WordPress),

et les applications qui s interfacent avec Office 365.

Pour réduire les vulnérabilités et leur impact sur la

sécurité, suivez les meilleures pratiques en matière de

sécurité du code préconisées par le Microsoft Security

Development Lifecycle (SDL).

Voir : www.microsoft.com/sdl












Livre blanc : Sécurité réseau de Microsoft AzureLivre blanc : Sécurité réseau de Microsoft Azure

IaaS

Infrastructure as a Service

Cloud privé

A. Système d exploitation virtuel

7. Système d exploitation et intergiciels : protéger l intégrité des hôtes

B. Outils de gestion de système d exploitation virtuel

Sécurisez le système d exploitation (SE) de l hôte virtuel et les intergiciels

s exécutant sur des machines virtuelles. Assurez-vous que tous les aspects de la

sécurité du système d exploitation et des intergiciels sont au moins au niveau requis

pour l hôte, notamment:

Privilèges administratifs et pratiques

Mises à jour logicielles pour le système d exploitation et les intergiciels

Ligne de base de la configuration de la sécurité

Utilisation d objets de stratégie de groupe (GPO)

Médias et méthodes d installation

Utilisation de tâches planifiées

Protection contre les programmes malveillants et détection/prévention des

intrusions

Configurations d IPsec et de pare-feu d hôte

Configuration et surveillance du journal des événements

Les outils de gestion système ont le contrôle technique complet des systèmes

d exploitation hôtes (dont les applications, les données et les identités), qui en font

une dépendance de sécurité pour le service cloud. Sécurisez ces outils au moins au

niveau des systèmes qu ils gèrent. Ces outils incluent généralement les éléments

suivants:


Gestion et surveillance des opérations

Sauvegarde

Gestion des mises à jour et correctifs de sécurité

L évolution des menaces à la sécurité et les

changements nécessitent des capacités

opérationnelles complètes et des ajustements

constants. Gérez ce risque de façon proactive.

Mettez en place les capacités

opérationnelles nécessaires pour surveiller les

alertes, enquêter sur les incidents, lancer des

actions correctives et intégrer les

enseignements tirés.

Créez un contexte externe des menaces en

utilisant les ressources disponibles, telles que

les flux d intelligence des menaces, les centres

d analyse et de partage d informations (ISAC) et

d autres moyens.

Validez votre posture de sécurité en faisant

appel à une équipe rouge autorisée ou en

organisant une activité de test d intrusion.

Livre blanc : Équipe rouge de Microsoft Enterprise CloudLivre blanc : Équipe rouge de Microsoft Enterprise Cloud

Livre blanc : Adversaires déterminés et attaques ciblées Livre blanc : Adversaires déterminés et attaques ciblées

C. Gérer l innovation continue

Le rythme des publications et mises à jour de

fonctionnalités à partir des services cloud requiert

une gestion proactive des impacts potentiels sur la

sécurité.

Définissez une cadence mensuelle pour

l examen et l intégration des mises à jour des

fonctionnalités cloud, des exigences

réglementaires et de conformité, des menaces en

constante évolution et des objectifs

organisationnels.

Évitez toute dérive de configuration avec des

examens périodiques pour vous assurer que les

technologies, configurations et pratiques

opérationnelles restent conformes aux stratégies

et protocoles.

Lorsque vous planifiez des contrôles de sécurité

et des processus de réponse de sécurité,

présumez qu un attaquant aura compromis

d autres ressources internes telles que des

comptes utilisateur, des stations de travail et des

applications. Présumez qu un pirate utilisera ces

ressources en tant que plateforme d attaque.

Modernisez votre stratégie de confinement en

prenant les dispositions suivantes:

Identification de vos ressources les plus

critiques, telles que les données, applications

et dépendances stratégiques. La sécurité de

celles-ci doit être à un niveau supérieur, sans

compromettre l opérabilité.

Amélioration de l isolement entre les zones

de sécurité en renforçant la rigueur de la

gestion des exceptions. Appliquez les

techniques de modélisation des menaces à

toutes les exceptions autorisées, et analyses

de ces flux de données d application, dont les

identités utilisées, les données transmises, la

fiabilité des applications et des plateformes, et

la capacité à inspecter les interactions.

Concentrez le confinement à l intérieur

d une zone de sécurité sur la préservation de

l intégrité du modèle d administration, plutôt

que sur un isolement du réseau.

Appliquez des approches de « privilège minimum »

à votre modèle d administration, notamment:

Limitez le nombre d administrateurs ou de

membres des groupes privilégiés.

Déléguez moins des privilèges aux comptes.

Fournissez les privilèges à la demande.

Demandez aux administrateurs existants

d effectuer les tâches au lieu d ajouter des

administrateurs.

Fixez des processus pour l accès d urgence et les

scénarios d utilisation rare.

Les dépendances de sécurité incluent tout

élément ayant le contrôle administratif d une

ressource. Veillez à renforcer toutes les

dépendances au moins au niveau de sécurité des

ressources qu elles contrôlent. Les dépendances

de sécurité pour les services cloud incluent

généralement les systèmes d identité, les outils

de gestion locaux, les groupes et les comptes

administratifs, et les stations de travail

auxquelles ces comptes se connectent.

B. Renforcer les dépendances de sécurité

Microsoft Advanced Threat AnalyticsMicrosoft Advanced Threat Analytics

Utilisez des informations d identification

sécurisées par matériel ou Multi-Factor

Authentication (MFA) pour toutes les identités

disposant de privilèges administratifs. Cela

permet d atténuer les risques liés à l utilisation

d informations d identification volées pour

abuser de comptes privilégiés.








Isolez les ressources à impact élevé des risques

très répandus liés à la navigation sur Internet et

au courrier électronique:

Utilisez des comptes dédiés pour les rôles

d administrateur privilégié pour les services

cloud et les dépendances locales.

Utilisez des stations de travail dédiées, à la

sécurisation renforcée pour l administration

des ressources informatiques ayant un impact

élevé sur l activité.

N utilisez pas de comptes aux privilèges élevés

sur des appareils utilisés pour la messagerie

électronique et la navigation sur le web.

E. Appliquer des normes de sécurité

rigoureuses

Les administrateurs contrôlent des quantités importantes de ressources de l organisation. Effectuezdes mesures rigoureuses et appliquez des normes desécurité strictes aux comptes et systèmes d administration. Ceux-ci incluent les services cloud et des dépendances locales telles que Active Directory, les systèmes d identité, les outils de gestion, les outils de sécurité, les stations de travail d administration et les systèmes d exploitation associés.

G. Éduquer et responsabiliser les

administrateursFormez les membres du personnel chargé de

l administration aux menaces probables et à leur

rôle essentiel dans la protection de leurs

informations d identification et des données clés

de l organisation. Les administrateurs sont les

gardiens de l accès à bon nombre de vos

ressources critiques. En leur prodiguant ce savoir,

vous leur permettez de mieux veiller sur vos

ressources et servir votre posture de sécurité.

B. Protéger les ressources de grande valeur

Définissez le niveau de protection le plus élevé pour les

ressources qui ont un impact disproportionné sur la

mission ou la rentabilité de l organisation. Effectuez une

analyse stricte du cycle de vie des ressources de grande

valeur et des dépendances de sécurité, et mettez en

place les conditions et contrôles de sécurité appropriés.

Identifiez et classez les ressources sensibles.

Définissez les technologies et processus

permettant d appliquer automatiquement des

contrôles de sécurité.

D. Définir des normes organisationnelles minimales

Établissez des normes minimales pour les appareils

approuvés et les comptes accédant aux ressources de

données appartenant à l organisation. Il peut s agir de

la conformité de configuration des appareils, de la

réinitialisation à distance de ceux-ci, des

fonctionnalités de protection des données

d entreprise, de la puissance de l authentification des

utilisateurs et de l identité des utilisateurs.

Protection des données dans Windows 10 EntrepriseProtection des données dans Windows 10 Entreprise

Gérer l accès au courrier électronique et à

SharePoint avec Microsoft Intune



Utilisez des informations d identification sécurisées par

matériel ou Multi-Factor Authentication (MFA) pour

toutes les identités, afin d atténuer le risque que des

informations d identification volées puissent être

utilisées pour violer des comptes.

Identités des utilisateurs hébergées dans Azure

Active Directory (AD Azure).

Comptes locaux dont l authentification est fédérée à

partir d un Active Directory local.


Microsoft Passport et Windows HelloMicrosoft Passport et Windows Hello

B. Gérer les appareils approuvés et

conformes

Gérer les stratégies de conformité d appareil pour

Intune Microsoft


Intune Microsoft

Microsoft Security Compliance Manager (SCM)Microsoft Security Compliance Manager (SCM)

Établissez, mesurez et appliquez des normes de

sécurité modernes aux appareils utilisés pour

accéder aux données et ressources d entreprise.

Appliquez des normes de configuration et installez

rapidement les mises à jour de sécurité pour réduire

le risque que des appareils compromis puissent être

utilisés pour consulter ou falsifier des données.

Enhanced Mitigation Experience Toolkit (EMET)Enhanced Mitigation Experience Toolkit (EMET)

Les utilisateurs contrôlent leurs propres comptes

et se trouvent en première ligne de la protection

de bon nombre de vos ressources critiques.

Offrez à vos utilisateurs la possibilité de veiller

correctement sur vos données

organisationnelles et personnelles. En même

temps, comprenez que les activités et erreurs

des utilisateurs comportent des risques pour la

sécurité, qui peuvent être atténués, mais jamais

totalement écartés. Concentrez-vous sur la

mesure et la réduction des risques auxquels

exposent les utilisateurs.

Formez les utilisateurs aux menaces probables

et à leur rôle dans la protection des données

métier.

Augmentez le coût pour l adversaire de la

compromission des comptes utilisateur.

Explorez la ludification et d autres moyens

d augmenter l engagement des utilisateurs.


Août 2016

Services de cloud computing Microsoft et sécurité réseauServices de cloud computing Microsoft et sécurité réseau

Blog sur la sécurité de Microsoft AzureBlog sur la sécurité de Microsoft Azure

Sécurisation des accès privilégiésSécurisation des accès privilégiés

Authentification des identités sans mot de passe via Microsoft PassportAuthentification des identités sans mot de passe via Microsoft Passport


Protection des informations pour Office 365Protection des informations pour Office 365

Vue d ensemble des stratégies de

protection contre la perte de données



Always Encrypted (Moteur de base de données)Always Encrypted (Moteur de base de données)













Cloud privé




1 2 3 4 51 2 3 4 5Rubrique 4 sur 5


pour Enterprise

Architects

Meilleures pratiques et modèles de sécurité AzureMeilleures pratiques et modèles de sécurité Azure


http://download.microsoft.com/download/1/6/0/160216AA-8445-480B-B60F-5C8EC8067FCA/WindowsAzure-SecurityPrivacyCompliance.pdf


https://azure.microsoft.com/documentation/articles/multi-factor-authentication/


https://support.office.com/en-us/article/View-and-download-reports-about-service-usage-in-Office-365-30e5558f-d3c0-4a3b-a0d5-58fc7750c0ad?omkt=en-us&ui=en-US&rs=en-US&ad=US


https://technet.microsoft.com/en-us/library/dn635176(v=exchg.150).aspx


https://technet.microsoft.com/library/dn569286.aspx


https://technet.microsoft.com/en-us/library/cc771627.aspx


https://technet.microsoft.com/library/jj585024.aspx




https://msdn.microsoft.com/library/hh204743.aspx




http://channel9.msdn.com/events/TechEd/Europe/2014/EM-B214




http://azure.microsoft.com/services/key-vault/


http://download.microsoft.com/download/B/6/C/B6C0A98B-D34A-417C-826E-3EA28CDFC9DD/AzureSecurityandAuditLogManagement_11132014.pdf




http://www.microsoft.com/twc/privacy/data-governance.aspx




https://support.office.com/en-us/article/View-and-download-reports-about-service-usage-in-Office-365-30e5558f-d3c0-4a3b-a0d5-58fc7750c0ad?CorrelationId=c487caa5-345c-42b3-9f5f-013ea9ee3b2f&ui=en-US&rs=en-US&ad=US&ocmsassetID=HA102819905






http://download.microsoft.com/download/C/A/3/CA3FC5C0-ECE0-4F87-BF4B-D74064A00846/AzureNetworkSecurity_v3_Feb2015.pdf




http://www.microsoft.com/download/details.aspx?id=34793


http://www.microsoft.com/ata


https://msdn.microsoft.com/en-us/library/azure/dn249471.aspx


https://msdn.microsoft.com/library/dn985838(v=vs.85).aspx






https://technet.microsoft.com/en-us/itpro/windows/keep-secure/manage-identity-verification-using-microsoft-passport


https://technet.microsoft.com/dn705843.aspx


https://technet.microsoft.com/library/cc677002.aspx


https://support.microsoft.com/kb/2458544


https://azure.microsoft.com/documentation/articles/best-practices-network-security/


http://blogs.msdn.com/b/azuresecurity/


https://technet.microsoft.com/en-us/library/mt631194.aspx


https://azure.microsoft.com/en-us/documentation/articles/active-directory-azureadjoin-passport/




https://technet.microsoft.com/library/dn919927.aspx#BKMK_infoprotect


https://technet.microsoft.com/en-us/library/ms.o365.cc.dlplandingpage.aspx


https://msdn.microsoft.com/en-us/library/mt163865.aspx




https://azure.microsoft.com/documentation/articles/security-best-practices-and-patterns/








dans le cloud


violation




privilège














trouvent.


informations



les utilisateurs















Cloud privé





















Si Microsoft s engage à assurer la confidentialité et la sécurité des données et applications dans le cloud, les clients doivent jouer un rôle actif dans lepartenariat de sécurité. L évolution constante des menaces à la cybersécuritéaugmente la nécessité de mettre en place une sécurité rigoureuse et des règles à tous les niveaux pour la protection des ressources tant en local et que dans le cloud. Les organisations sont plus à même de gérer et résoudre les questionsde sécurité dans le cloud quand elles adoptent une approche systématique.

La migration des charges de travail dans le cloud a pour effet de transférer à Microsoft de nombreuses responsabilités de sécurité et leurs coûts associés, ainsi que de libérer vos ressources de sécurité de sorte qu elles puissent se concentrer sur les aspects essentiels liés aux données, aux identités, à lastratégie et à la gouvernance.




































risques.










Plus d informations
























suivants:







dédiée



Ceux-ci incluent:




de stockage









aspects suivants:




Sauvegarde



structure.



de données
























Atériel de serveur










Livre blanc : Sécurité et gestion des journaux d audit de Microsoft AzureLivre blanc : Sécurité et gestion des journaux d audit de Microsoft Azure


























Cloud privé

















vous acquérez

PaPlatform as a Service


Cloud privé













communications:



Entre abonnements





computing









sujet.




soient détectés.
































IaaS


Cloud privé















intrusions







suivants:



Sauvegarde















d autres moyens.





Livre blanc : Adversaires déterminés et attaques cibléesLivre blanc : Adversaires déterminés et attaques ciblées





sécurité.






organisationnels.





et protocoles.




































administrateurs.











































rigoureuses

Les administrateurs contrôlent des quantités importantes de ressources de l organisation. Effectuez des mesures rigoureuses et appliquez des normes de sécurité strictes aux comptes et systèmes d administration. Ceux-ci incluent les services cloud et des dépendances locales telles que Active Directory, les systèmes d identité, les outils de gestion, les outils de sécurité, les stations de travail d administration et les systèmes d exploitation associés.
















































conformes


Intune Microsoft


Intune Microsoft
























métier.






Août 2016
























Cloud privé




1 2 3 4 51 2 3 4 5Rubrique 4 sur 5


pour Enterprise

Architects





























































































dans le cloud


violation




privilège














trouvent.


informations



les utilisateurs















Cloud privé


























































risques.










Plus d informations
























suivants:







dédiée



Ceux-ci incluent:




de stockage









aspects suivants:




Sauvegarde



structure.



de données
























Atériel de serveur




































Cloud privé

















vous acquérez



Cloud privé













communications:



Entre abonnements





computing









sujet.




soient détectés.
































IaaS


Cloud privé















intrusions







suivants:



Sauvegarde















d autres moyens.










sécurité.






organisationnels.





et protocoles.




































administrateurs.











































rigoureuses

















































conformes


Intune Microsoft


Intune Microsoft
























métier.





Août 2016
























Cloud privé




1 2 3 4 51 2 3 4 5Rubrique 4 sur 5


pour Enterprise

Architects





























































































dans le cloud


violation




privilège














trouvent.


informations



les utilisateurs















Cloud privé


























































risques.










Plus d informations
























suivants:







dédiée



Ceux-ci incluent:




de stockage









aspects suivants:




Sauvegarde



structure.



de données


Les machines virtuelles dépendent de la structure de virtualisation pour les garanties de sécurité. La structure inclut les éléments suivants:




Systèmes d exploitation d hôtes de machines virtuelles


Sécurisez ces systèmes au moins au niveau requis pour l ensemble des applications, identités, et données hébergées sur la solution de virtualisation.
















Atériel de serveur




































Cloud privé

















vous acquérez



Cloud privé













communications:



Entre abonnements





computing









sujet.




soient détectés.
































IaaS


Cloud privé















intrusions







suivants:



Sauvegarde















d autres moyens.










sécurité.






organisationnels.





et protocoles.




































administrateurs.











































rigoureuses

















































conformes


Intune Microsoft


Intune Microsoft
























métier.






Août 2016
























Cloud privé




1 2 3 4 51 2 3 4 5Rubrique 4 sur 5


pour Enterprise

Architects

























































































La création d une feuille de route complète pour

la sécurité dans le cloud nécessite que vous

sachiez où vous vous trouvez. Microsoft peut

vous aider à créer une feuille de route

personnalisée pour ce qui suit:

Stratégie et fonctionnalités de sécurité.

Stratégie d identité et alignement.

Sécurité Office 365.

Sécurité des abonnement et charges de travail

Azure.

Détection et protection des ressources de

grande valeur.

Protection des informations et gestion des

droits.

Voyage dans la sécurité du cloud

Évaluation et planification de

la sécurité du cloud

Administration, identité et

sécurité de l hôte

Migration et sécurisation

renforcée de la charge de

travail dans le cloudMicrosoft peut vous aider à renforcer la sécurisation de vos ressources cloud actuelles, en migrant en toute sécurité les charges de travail vers le cloud, et en créant de nouvelles charges de travail dans le cloud dont la sécurisation est renforcée d emblée. Microsoft dispose du savoir-faire et de l expérience nécessaires pour vous aider à optimiser vos garanties de sécurité en relation avec les ressources d infrastructure cloud et de présence de la marque, notamment par les moyens suivants:

Renforcement de la configuration de sécuritéd Office 365.

Analyse de la charge de travail, migration etsécurisation renforcée dans Azure.

Sécurisation renforcée des stations de travail pourla gestion des réseaux sociaux et de la marque.

Sécurisation renforcée des consoles pourl administration de l infrastructure cloud.

Sécurisation renforcée des applications etprocessus de développement d applications pour les applications PaaS et hybrides en utilisant Microsoft Security Development Lifecycle (SDL) et la norme internationale ISO 27034-1.

Conception, implémentation et sécurisation desclouds privés.

Détection des menaces et réponse

aux incidents

Gestion du support, des opérations et

du service : pérennisation des acquis

Comment les services Microsoft peuvent-ils vous aider ?

Microsoft dispose d équipes de réponse aux

incidents de premier ordre, qui disposent d une

vaste expérience dans la gestion des attaques

ciblées menées par des adversaires déterminés.

Microsoft peut vous aider à détecter ces menaces,

à traquer les adversaires dans votre

environnement, à réagir aux incidents, et à

récupérer l intégrité et la disponibilité du service

informatique suite à une attaque. Ces services sont

les suivants:

Détection des menaces en tant que service de

sécurité géré.

Prise en charge de la réponse aux incidents (par

téléphone et localement).

Recherche proactive d adversaires permanents

dans votre environnement.

Récupération après attaques contre la

cybersécurité.

La sécurisation des privilèges administratifs est

essentielle pour les services cloud et les

fonctionnalités locales d identité et de sécurité

dont ils dépendent. Microsoft a élaboré des

solutions de pointe pour protéger et surveiller les

privilèges administratifs, qui résolvent les

difficultés à l aide de personnes, de processus et

de technologies, notamment :

Sécurisation renforcée de l administration des

services cloud.

Sécurisation renforcée de l administration des

systèmes d identité et d Active Directory.

Sécurisation renforcée des outils et systèmes

de gestion des infrastructures.Privilèges

administratifs juste-à-temps et juste assez.

La sécurité dans le cloud est un chemin. La

préservation de vos garanties de sécurité nécessite

un investissement continu dans un modèle

opérationnel gérable, qui englobe des personnes,

des processus et des technologies. Les services

Microsoft offrent un vaste éventail de services de

support informatique en relation avec le cloud et la

sécurité, dont la formation du personnel

informatique, les évaluations de l intégrité et des

risques, et l aide à l adoption des pratiques

recommandées. Les services Microsoft IT Service

Management (ITSM) vous permettent d implémenter

la gestion du cycle de vie au sein du service

informatique en promouvant la préparation des

personnes et les processus requis pour tirer parti

efficacement des capacités technologiques.

Microsoft dispose d une vaste expérience dans la cybersécurité ainsi que la

détection des menaces et la réponse à celles-ci. Nous fournissons des services

professionnels à nos clients. Le Microsoft Enterprise Cybersecurity Group est

une équipe d architectes, de consultants et d ingénieurs de premier ordre, qui

permettent aux entreprises de migrer vers le cloud en toute sécurité, de

moderniser leurs plateformes informatiques ainsi que d éviter et d atténuer les

violations. Les services sont les suivants:

Protection des ressources de grande valeur


Surveillance réseau et détection des menaces

Réponse aux incidents et récupération après incident

Cette page présente une feuille de route classique relative à la sécurité dans le cloud, basée sur notre expérience dans la rentabilisation du cloud et la défense des ressources cloud contre les menaces de cybersécurité.

Un chemin classique vers le cloud inclut des transformations de sécurité clés qui touchent à la culture informatique, à la gouvernance, à la stratégie, à la technologie des processus et aux contrôles de sécurité de votre organisation. Les modifications et difficultés les plus courantes sont les suivantes:

Établissement et validation de la fiabilité des fournisseurs de services cloud.

Transfert des défenses primaires aux couches d identité, de données etd application.

Suivi de l évolution des capacités et contrôles de sécurité dans le cloud.

Suivi de l évolution des menaces de cybersécurité.

Prise en main Si vous souhaitez une assistance concernant l une des fonctionnalités de cybersécurité ou de sécurité approuvée dans le cloud décrites sur cette page, contactez votre représentant des services Microsoft, ou visitez le site www.microsoft.com/services.

Si vous souhaitez une assistance concernant l une des fonctionnalités de cybersécurité ou de sécurité approuvée dans le cloud décrites sur cette page, contactez votre représentant des services Microsoft, ou visitez le site www.microsoft.com/services.

Engagement des services professionnels Microsoft

Les clients disposant d un contrat de niveau Support Premier peuvent aisément accéder aux ingénieurs de support hautement spécialisés en sécurité, ainsi qu aux équipes de réponse aux incidents sur site. Pour les clients titulaires d un contrat Premier, aucune conclusion de contrat supplémentaire n est nécessaire pour déclencher des activités de réponse aux incidents de Microsoft. Pour plus d informations, contactez votre responsable de compte technique (TAM).

Réponse aux incidents de sécurité


Par où commencer ?

Microsoft recommande de commencer par

une vue d ensemble de votre organisation,

puis d aborder les risques principaux:

Évaluez votre position de sécurité dans le

cloud pour obtenir une vue générale du

chemin à parcourir.

Activez la détection avancée des menaces.

Abordez les risques principaux : protégez

les comptes de réseaux sociaux vitaux et

les comptes dotés de privilèges

administratifs dans le cloud à l aide d une

sécurisation renforcée des stations de

travail et d une sécurité adaptée à ces

rôles.

Août 2016




1 2 3 4 51 2 3 4 5Rubrique 5 sur 5


pour Enterprise

Architects

Autres ressources

informatiques de

Microsoft Cloud aka.ms/cloudarchoptionsaka.ms/cloudarchoptions

Options de services

et plateformes

aka.ms/cloudarchidentityaka.ms/cloudarchidentity

Identité

aka.ms/cloudarchnetworkingaka.ms/cloudarchnetworking

Mise en réseau

aka.ms/cloudarchhybridaka.ms/cloudarchhybrid

Hybride

http://www.microsoft.com/services

http://www.microsoft.com/services



http://aka.ms/cloudarchoptions

http://aka.ms/cloudarchoptions

http://products.office.com/en-us/business/office-365-trust-center-cloud-computing-security#welcome

http://products.office.com/en-us/business/office-365-trust-center-cloud-computing-security#welcome

http://aka.ms/cloudarchidentity

http://aka.ms/cloudarchidentity

http://aka.ms/cloudarchnetworking

http://aka.ms/cloudarchnetworking

http://aka.ms/cloudarchhybrid

http://aka.ms/cloudarchhybrid

sécurité microsoft cloud pour enterprise architects …´le de microsoft grâce à des pratiques...

Documents