(Promis, on ne parlera pas de Windows Defender)
Vous aurez beau avoir les meilleurs outils au monde pour sécuriser votre système d’information, une erreur d’un collaborateur et tout est fichu. Pour limiter ces risques liés aux utilisateurs, voici comment tirer le meilleur parti des éléments de sécurité nativement inclus dans Microsoft 365.
8 avril 2015, 20H50. Alors que plusieurs téléspectateurs et internautes suivaient avec attention les publications et reportages de TV5 Monde, la chaîne a subitement cessé d’émettre ses contenus. À la place, une propagande de Daesh était affichée. Il s’agissait d’une cyberattaque sans précédent et aux proportions démesurées pour la chaîne TV5 Monde. Les hackers ont non seulement pris le contrôle de leur réseaux sociaux mais également de la diffusion en multiplexe. Une première mondiale en termes d’ampleur mais aussi en termes de conséquences puisque cette attaque a coûté environ 5 millions d’euros à la chaîne en 2015, puis 3 millions d’euros en 2016, avec la mise en place d’un plan d’investissement en cybersécurité de 10 millions d’euros sur les années suivantes.
Les causes de cette violente cyberattaque ? Un faux courrier électronique envoyé aux salariés aux couleurs de TV5 Monde, la transmission d’un faux communiqué de presse et une faille dans Skype que les journalistes utilisaient pour communiquer avec des djihadistes. Rien de très sophistiqué en soi, les hackers ont juste exploité la principale faille informatique en entreprise : les utilisateurs.
Microsoft 365, ou la sécurité “user-centric”
Pendant de (trop) nombreuses années, la sécurité informatique a été appréhendée comme une forteresse : créer des remparts supposés être infranchissables autour du système d’information à grands renforts de Pare-Feu onéreux, d’antivirus le plus en vogue du moment ou la mise en place de “zones démilitarisées” (DMZ). Si cette philosophie n’est pas complètement dans le faux, elle n’en reste pas moins réductrice puisqu’elle occulte les risques internes dont les collaborateurs font partie.
Chez Dynamips, nous avons tendance à penser que la meilleure sécurité, c’est celle qui est adoptée et acceptée par les utilisateurs. Une sécurité dont ils seraient les acteurs au quotidien sans avoir l’impression de la subir. Une sécurité bâtie autour des usages à risques et pas uniquement les menaces externes. C’est justement la philosophie Microsoft 365 et c’est aussi pour cette raison que nous ne vous parlerons pas de Windows Defender ici.
Nous tenons néanmoins à préciser que Microsoft n’est pas un acteur de la sécurité informatique à proprement parler et que vous devez absolument aborder le sujet de manière globale. Limiter les risques liés aux usages des collaborateurs est une chose, mais vous devez également protéger les différents points d’entrée de votre système d’information, qu’il s’agisse de bornes wifi, de l’IoT ou de périphériques qu’on peut avoir tendance à oublier tant ils semblent être une commodité… Comme les imprimantes wifi par exemple.
Voici donc un tour d’horizon des possibilités offertes par Microsoft 365 en termes de sécurisation, pour vous aider à tirer le meilleur parti de votre abonnement (ou considérer l’utilité de prendre un abonnement si ce n’est pas déjà fait).
Protéger les emails
“Encore eux ?” êtes-vous peut-être en train de vous demander. L’email est le moyen de communication numérique le plus ancien mais aussi le plus largement utilisé par les entreprises. Ce qui en fait le candidat idéal pour les cybercriminels, même aujourd’hui. Notamment parce qu’il constitue une porte d’entrée directe vers le système d’information des entreprises et qu’une ingénierie sociale bien réalisée est presque indétectable par les utilisateurs. Résultat, près de 50% des cyberattaques en entreprise proviennent d’un phishing email.
Le risque est réel, même pour nous qui écrivons ces lignes. Nous préférons donc limiter grandement les chances d’y être confrontés. C’est la raison pour laquelle la sécurisation des échanges email de Microsoft 365 s’effectue systématiquement sur trois niveaux.
1/ Advanced Threat Protection (ATP)
Il s’agit d’un antivirus, antispam et antiransomware de messagerie. Un outil assez “classique” dont la grande majorité des services de messagerie est équipée. C’est un peu le “minimum vital” pour les emails.
ATP va analyser et filtrer les pièces-jointes, rechercher et détecter la présence de code frauduleux et identifier la signature de virus connus. Si l’email ne s’avère pas fiable il sera rejeté selon les paramètres décidés par l’entreprise : suppression, mise en quarantaine etc.
2/ Filtrage par IA et Machine Learning
Pardon pour le combo de “buzzword”. Si l’email ne présente aucun danger pour ATP, celui-ci est ensuite analysé par une intelligence artificielle chargée de déterminer si il ressemble à un virus. Contrairement à ATP qui compare des bases de signatures existantes, l’IA détermine une probabilité de malveillance grâce à un algorithme qui se base sur l’analyse de millions voire des milliards d’emails et qui est régulièrement entraîné à reconnaître “l’aspect” d’un courriel dangereux.
C’est la dimension “Machine Learning” du service de messagerie Microsoft 365. Un peu comme quand on entraîne un algorithme à reconnaître des images de petits chiens mignons… Mais avec des cyberattaques.
3/ Deep Learning
Si l’email ne présente toujours rien de suspect après ce deuxième filtrage, Microsoft 365 va créer un environnement virtuel, isolé du SI, pour exécuter tout le contenu de l’email (pièces-jointes, code, liens etc.) et observer ce qui se passe. C’est ce qu’on appelle aussi le “sandboxing” en sécurité informatique. Une observation du comportement du programme qui va permettre à la messagerie d’affiner encore plus sa compréhension des emails frauduleux. D’où le qualificatif de “Deep Learning”.
Ainsi, quand vous recevez un email dans votre boîte de réception, c’est qu’il a passé ces trois étape. Vous pouvez être sûr qu’il a passé le parcours du combattant avant d’arriver chez vous.
Identification & authentification
Usurper une identité numérique c’est très simple aujourd’hui. Il suffit de trouver une adresse email d’entreprise, de laisser tourner un générateur de mot de passe et au bout de quelques jours, voire de quelques heures, le hacker accède à la messagerie et tout ce qui va avec : Active Directory, informations confidentielles etc… Un vrai jeu d’enfant.
Et ne croyez pas que vous n’êtes pas ciblés. Avec Microsoft 365 vous avez accès à “Mysignings”, un service vous permettant de contrôler les connexion ou les tentatives de connexions. Voici une capture d’écran des tentatives de connexion avec mon adresse email.
Un indice, je n’ai pas bougé de France sur cette période. Comme vous pouvez le constater, ces tentatives de connexion qui ont échoué sont assez fréquentes. Mais tant qu’elles échouent, tout va bien.
Alors comment s’y prendre pour faire échouer ces tentatives de connexion avec Microsoft 365 ?
1/ Accès conditionnel
Depuis la console d’administration Microsoft 365, le superviseur informatique peut créer des règles d’accès à la messagerie ou aux différents services Microsoft qui requièrent une identification. Il peut déterminer qui y accède, depuis quelle région du monde, à quelle heure et quel jour.
Prenons un utilisateur de votre entreprise et appelons-la Iris. Vous pouvez par exemple fixer une règle comme celle-ci : “L’utilisateur Iris ne peut accéder à sa messagerie qui si elle est en France, du lundi au vendredi et de 9H à 18H”. Toutes les tentatives de connexion ne remplissant pas l’intégralité de ces conditions échoueront.
Bien évidemment vous n’êtes pas obligé de fixer des accès conditionnels pour chaque salarié individuellement. vous pouvez créer des groupes d’utilisateurs avec des règles plus ou moins restrictives selon les profils.
2/ Le voyage impossible
Ici il ne s’agit pas d’une fonctionnalité à paramétrer, mais d’une détection automatique d’incohérences. Par exemple, si vous vous connectez à votre messagerie à Tahiti, vous ne pourrez pas vous connecter à votre messagerie depuis Paris la même journée. Tout simplement.
3/ L’authentification multifacteurs (MFA)
La MFA est une pratique devenue courante aujourd’hui. Que ce soit pour accéder à vos réseaux sociaux ou à vos service bancaires, il n’est pas rare de confirmer plusieurs fois que vous êtes l’auteur de l’action en cours de réalisation. En l’occurrence une transaction bancaire ou une connexion à votre réseau social.
Microsoft 365 vous permet de mettre en place une MFA pour tout ou partie de vos utilisateurs. Il s’agit d’une validation par token depuis le smartphone de l’utilisateur. Depuis la console d’administration vous pouvez choisir la mode de validation avec lequel l’utilisateur est le plus à l’aise : depuis l’application, avec un SMS ou via un appel téléphonique.
On estime que 99,8% des agressions sont des attaques par force brute de mot de passe. Autant de tentatives d’intrusion qui peuvent être empêchées rien qu’avec la mise en place et la généralisation du MFA en entreprise.
Azure Information Protection (AIP)
Ce module de sécurité concerne plus directement l’utilisation du cloud Azure dans le cadre de l’offre Microsoft 365 et est principalement orienté sur la protection des données.
Sur le principe, il s’agit de fixer des règles d’accès à des documents ou informations en les tamponnant numériquement avec des labels. L’utilisateur peut ajouter les labels ou ces derniers peuvent s’ajouter automatiquement selon les utilisateurs.
L’entreprise fixe alors ces labels et crée ensuite des règles spécifiques par label. Par exemple, l’entreprise peut décider que tous les documents ou informations portant le label “confidentiel” ne pourront pas être imprimés, ni téléchargés, ni envoyés en externe et ne pourront être lu que par un groupe restreint d’utilisateur. L’entreprise fixe alors ces labels et crée ensuite des règles spécifiques par label.
En conclusion
Vous avez vu ? Pari tenu, nous n’avons pas parlé de Windows Defender (sauf pour dire que nous n’en parlerions pas) !
Pris individuellement, ces modules de sécurité n’ont rien de révolutionnaire. En revanche, c’est leur combinaison simultanée qui les rend d’une efficacité redoutable et protège les entreprise contre une large majorité de cyberattaques visant des collaborateurs pour exploiter des failles humaines.
Nous parlons bien de “grande majorité” car le risque zéro n’existe malheureusement pas. Quand il s’agit de sécurité informatique, il est impossible de ne pas avoir confiance. Vous devrez faire confiance à un prestataire, à des éditeurs ou à vos utilisateurs. La question est de savoir à qui vous allez l’accorder.
Microsoft n’est pas un acteur de la sécurité au sens traditionnel du terme, mais met à disposition des entreprises différents outils pour réduire drastiquement les risques liés utilisateurs. Des outils simples et non contraignants pensés pour être adoptés par les utilisateurs. Parce qu’une politique de sécurité efficace, c’est une politique de sécurité adoptée à l’unanimité. Faire confiance à Microsoft 365, c’est vous octroyer le privilège de faire confiance à vos utilisateurs.