Azure, Office 365, Sécurité

Risques liés à Office 365 et Azure

Contexte La méconnaissance Office 365 et Azure de certains DSI me fait très peur.Cela s’adresse également à certains soit disant auditeurs et experts sécurité. Quand nous incluons systématiquement dans nos contrats MSP une gestion Office 365 et Azure, les clients me demandent pourquoi?Et bien, je vais leur répondre en reprenant la liste des risques identifiés par le CLUSIF. https://clusif.fr/content/uploads/2019/09/Cartographie-o365-CLUSIF-2019.pdf Cette liste publique n’est pas exhaustive, mais donne déjà une bonne base justifiant nos offres de service.J’en rajouterai bien d’autres mais on les réserve pour nos clients. Risque SAAS – Vol et Usurpation d’identité– Non maîtrise de la réversibilité– Mauvaise gestion des identités et des accès– Fuite de données incontrôlée– Modification majeure des fonctionnalités– Saturation réseau à la suite d’une évolution des usages– Altération / perte de données– Indisponibilité du service Gestion du tenant – Mauvaise gestion des arrivées/départs– Mauvaise gouvernance des services– Perte de traçabilité des actions des administrateurs– Non ségrégation de l’administration– Absence de surveillance des comptes à privilèges– Non adéquation de l’équipe d’administration– Administration depuis un appareil compromis– Erreur / méconnaissance de l’administrateur– Fédération identités mal maîtrisée (Azure AD)– Mauvaise gestion des clés du tenant par l’organisation– Non maîtrise des montées de version des services– Mauvaise gestion des droits des invités Risques collaboration – Fuite via des partages trop permissifs– Mauvaise gestion des groupes O365– Mauvaise gestion des permissions sur un partage– Fuite via le partage d’un lien anonyme– Diffusion de fichiers malfaisants– Usage non conforme à la charte Risques Communication – Redirection malveillante de messages– Ingénierie sociale (phishing) ciblée O365– Délégation non maîtrisée par l’utilisateur– Usurpation de domaine messagerie– Fuite de données via un service tiers– Utilisation d’anciens protocoles (imap, pop3)– Mauvaise configuration de la rétention Appareils – Usage depuis un appareil compromis– Usage depuis un appareil perdu/volé– Usage depuis un appareil non maîtrisé Risques Développement – Secrets d’authentification non protégés– Mauvaise gestion des droits– Mauvais paramétrage Oauth– Fuite par détournement de fonctionnalité– Interface mal contrôlée avec une application Risques Bureautique (Word, Excel, …) – Exécution de codes malveillants – Incompatibilité à la suite d’une mise à jour Lois – Risque financier / maîtrise des licences– Non-conformité réglementaire– Difficulté à répondre à une réquisition judiciaire