Sécurité

Azure, Office 365, Sécurité

Risques liés à Office 365 et Azure

Contexte La méconnaissance Office 365 et Azure de certains DSI me fait très peur.Cela s’adresse également à certains soit disant auditeurs et experts sécurité. Quand nous incluons systématiquement dans nos contrats MSP une gestion Office 365 et Azure, les clients me demandent pourquoi?Et bien, je vais leur répondre en reprenant la liste des risques identifiés par le CLUSIF. https://clusif.fr/content/uploads/2019/09/Cartographie-o365-CLUSIF-2019.pdf Cette liste publique n’est pas exhaustive, mais donne déjà une bonne base justifiant nos offres de service.J’en rajouterai bien d’autres mais on les réserve pour nos clients. Risque SAAS – Vol et Usurpation d’identité– Non maîtrise de la réversibilité– Mauvaise gestion des identités et des accès– Fuite de données incontrôlée– Modification majeure des fonctionnalités– Saturation réseau à la suite d’une évolution des usages– Altération / perte de données– Indisponibilité du service Gestion du tenant – Mauvaise gestion des arrivées/départs– Mauvaise gouvernance des services– Perte de traçabilité des actions des administrateurs– Non ségrégation de l’administration– Absence de surveillance des comptes à privilèges– Non adéquation de l’équipe d’administration– Administration depuis un appareil compromis– Erreur / méconnaissance de l’administrateur– Fédération identités mal maîtrisée (Azure AD)– Mauvaise gestion des clés du tenant par l’organisation– Non maîtrise des montées de version des services– Mauvaise gestion des droits des invités Risques collaboration – Fuite via des partages trop permissifs– Mauvaise gestion des groupes O365– Mauvaise gestion des permissions sur un partage– Fuite via le partage d’un lien anonyme– Diffusion de fichiers malfaisants– Usage non conforme à la charte Risques Communication – Redirection malveillante de messages– Ingénierie sociale (phishing) ciblée O365– Délégation non maîtrisée par l’utilisateur– Usurpation de domaine messagerie– Fuite de données via un service tiers– Utilisation d’anciens protocoles (imap, pop3)– Mauvaise configuration de la rétention Appareils – Usage depuis un appareil compromis– Usage depuis un appareil perdu/volé– Usage depuis un appareil non maîtrisé Risques Développement – Secrets d’authentification non protégés– Mauvaise gestion des droits– Mauvais paramétrage Oauth– Fuite par détournement de fonctionnalité– Interface mal contrôlée avec une application Risques Bureautique (Word, Excel, …) – Exécution de codes malveillants – Incompatibilité à la suite d’une mise à jour Lois – Risque financier / maîtrise des licences– Non-conformité réglementaire– Difficulté à répondre à une réquisition judiciaire

Protection, Sécurité, Veeam

L’externalisation des sauvegardes des machines virtuelles avec Veeam Cloud Connect

Une de nos missions concerne la protection des données numériques de nos clients. Afin de toujours mieux les sécuriser, nous proposons désormais une offre de sauvegarde des données externalisée grâce à la solution Veeam Cloud Connect. Comment ça fonctionne ? Besoin d’externaliser les sauvegardes de vos machines virtuelles ou serveurs physiques chez un hébergeur ? Anvole vous met à disposition un espace de sauvegarde hébergé dans nos Datacenters ISO 27001 basés en France (en métropole lilloise). Notre partenariat « Veeam Cloud Provider » et notre infrastructure sécurisée, nous permettent de fournir des volumes de stockage et de les connecter à votre serveur Veeam Backup & Replication, afin de réaliser des sauvegardes distantes.Dès lors, vos données sont envoyées vers notre plateforme Veeam cloud provider et de manière totalement sécurisée. Pourquoi externaliser la sauvegarde des données ? L’avantage à l’externalisation des sauvegardes, c’est surtout en cas de crash des serveurs ou des machines hébergées en interne (on le sait, ça peut arriver… erreur humaine ou matérielle), et bien il y a une sauvegarde sur un espace de secours. En fait, il s’agit d’une duplication de sauvegarde pour une meilleure protection des données. L’administration des sauvegardes se fait aussi de manière totalement autonome puisque le client ayant souscrit à une offre Veeam Cloud Connect (VCC), accède à son espace de sauvegarde directement via son serveur Veeam B&R OnPremise ou dans un autre Datacenter. La rétention des données est également personnalisable, il peut définir de faire un backup tous les jours, semaines, mois, etc. Et en cas de restauration des données complète ou granulaire, il pourra le faire en toute autonomie. Anvole peut aussi se charger de toutes les étapes du processus, aussi bien la création de l’espace de sauvegarde, des backups, de la rétention et de la supervision. Enfin, et ce n’est pas anodin, cela permet de réduire les coûts d’hébergement (matériel, consommation électrique, entretien, etc.) puisqu’il n’y a pas besoin d’investir dans une seconde infrastructure de stockage/archivage. Par conséquent, cela réduit également l’impact sur l’environnement et n’est pas négligeable non plus pour une transformation numérique responsable.

Événements, News, Non classé, Sécurité

Protégez vos identités avec des authentifications multifactorielles.

Protégez vos identités avec des authentifications multifactorielles, ainsi, un simple login/mot de passe ne suffit plus pour se faire passer pour le vrai expéditeur. Que ce soit Microsoft Authenticator (oubliez les SMS dont les puces GSM sont trop facilement falsifiables), des clés de type Yubicon ou autres cartes à puce, imposez le MFA partout pour ne pas vous faire usurper votre identité. Ce matin, je reçois un email « légitime » d’un fournisseur « légitime ».J’ai bien failli cliquer sur le lien, mais comme le lien n’est pas affiché, je le survole pour voir ce qu’il en est de l’URL véritable. Un lien vers OneDrive 1drv.ms … Ma curiosité est piquéeUne petite requête PowerShell Invoke-WebRequest pour voir ce que l’on essaie de me faire ouvrir – Ca ressemble à OneNote ??? OK, j’y vais franco avec une VM isolée car le décodage des scripts n’est pas aisé La ficelle est vraiment grosse, mais sur un téléphone où l’on ne voit pas les URL, ça pourrait le faire. Bref:– ne laisser pas mémoriser vos mots de passes dans vos navigateurs– exigez une authentification supplémentaire pour ne pas vous faire usurper votre identité– ces règles de base sont d’autant plus vraies pour protéger les VIP et autres administrateurs à droits privilégiés Pour information:

Office 365, Sécurité

Clients Office 365, protégez votre messagerie !!!

L’offre Microsoft Beaucoup d’utilisateurs Office 365 pensent être protégés des SPAM et virus avec l’offre Exchange online incluse dans Office 365, mais c’est faux. Par défaut, Exchange Online ne fait que détecter les spam et virus, puis les classe dans les courriers indésirables quand il peut. Vous restez donc exposé au phishing. Pour renforcer cette sécurité de base, vous pouvez prendre le plan Exchange Advanced Threat Protection, qui va beaucoup loin, en analysant chaque lien dans une SandBox, analyse profondément les pièces jointes. ATP est inclus dans EMS, lui-même inclus dans Microsoft 365. VadeSecure Vous pouvez également utiliser en lieu et place l’offre du français VadeSecure, basé sur l’intelligence artificielle, et intégré à Office 365 sans changer vos enregistrements MX. En savoir plus sur Vade. MailInBlack Mais vous n’êtes toujours pas à l’abri des expéditeurs indésirables.  C’est pourquoi Microsoft va bientôt proposer en plus l’offre du français Mailinblack qui impose d’authentifier les expéditeurs, vous protégeant ainsi plus complètement. Références Exchange Online Protection : https://docs.microsoft.com/en-us/office365/servicedescriptions/exchange-online-protection-service-description/ Exchange ATP : https://products.office.com/en-us/exchange/advance-threat-protection

Sécurité

Règles minimales de sécurité pour le nomadisme

Contexte En ces temps de travail nomade liés au COVID, presque toutes les entreprises font appel au travail à distance. 2 grands types d’accès se distinguent : Pour les ressources, nous trouverons : Pour les clients, nous trouverons : Nous ne nous intéresserons pas ici aux PC nomades gérés par l’entreprise, considérant déjà que toutes les mesures de sécurité auront été prises tout au long de l’année par les équipes SI et RSSI, mais seulement aux PC personnels BYOD. L’accès aux clouds privés et SI interne au travers des PC personnels BYOD Si vous avez le temps, nous vous recommandons de lire intégralement le document de l’ANSSI (lien dans le chapitre suivant), et à minima les titres des recommandations. Dans cette période hyper-tendue liée au COVID, il sera très difficile pour les entreprises non prêtes au nomadisme de définir et mettre en œuvre une politique de sécurité, mais à minima de mettre en place des politiques de « bon sens », simples et rapides. Bien évidemment, nous ne pourrions que vous préconiser les recommandations ci-dessous de l’ANSSI, mais elles ne se mettent pas en place en 5 min ni dans l’urgence… Recommandations ANSSI R1 Intégrer le nomadisme dans la PSSI de l’entitéR2 Réaliser l’inventaire des activités des utilisateurs compatibles avec le nomadismeR3 Maîtriser la gestion des utilisateurs nomadesR4 Sensibiliser et former les utilisateurs nomadesR5 Dédier l’équipement d’accès à un utilisateur nomade identifiéR5 Sécuriser la mise en place de postes nomades partagésR6 Maîtriser l’équipement d’accès de l’utilisateur nomadeR7 Mettre en oeuvre des moyens de protection physique de l’équipement d’accès nomadeR8 Maîtriser l’intégrité de la séquence de démarrage de l’équipement d’accès nomadeR9 Mettre en oeuvre une solution de chiffrement de disque sur les équipements d’accès nomadeR10 Maîtriser la connexion de supports amovibles sur l’équipement d’accès nomadeR11 Interdire à l’utilisateur le débrayage ou la modification des moyens de connexion au SI nomadismeR12 Réduire la surface d’attaque sur le système d’exploitation de l’équipement d’accès nomadeR13 Mettre en œuvre un durcissement système de l’équipement d’accès nomadeR14 Activer des mécanismes de mise en quarantaine et de remédiation pour les équipements nomades non conformes aux mises à jour de sécuritéR15 Réduire la durée d’inactivité avant verrouillage automatique de la session utilisateurR16 Mettre en œuvre un tunnel VPN IPsec à l’état de l’art pour le canal d’interconnexion nomadeR16 Mettre en œuvre un tunnel VPN TLS à l’état de l’art pour le canal d’interconnexion nomadeR17 Activer le pare-feu local sur l’équipement d’accès nomadeR18 Bloquer le split-tunneling sur l’équipement d’accès nomade et n’autoriser que les flux nécessaires pour monter le tunnel VPNR19 Bloquer les flux DNS vers Internet et configurer directement les adresses IP publiques des concentrateurs VPN sur le clientR19 Sécuriser et maîtriser les flux DNS pour la résolution du nom du concentrateur VPNR20 Mettre en place un concentrateur VPN interne et forcer l’établissement du tunnel VPN quel que soit l’environnement de l’utilisateurR20 Mettre en place un mécanisme de détection de l’environnement de l’utilisateur nomadeR21 Authentifier l’utilisateur et l’équipement d’accès dans le processus de connexion au SI nomadismeR22 Mettre en place une authentification double facteur de l’utilisateur nomadeR23 Protéger les éléments secrets liés aux certificats nomadesR24 Configurer strictement l’autorité de certification légitime sur les équipements de nomadismeR25 Vérifier la validité des certificats client et concentrateur VPN par le mécanisme d’agrafage OCSPR25 Vérifier la validité des certificats concentrateurs VPN par l’ouverture d’un flux direct sur le poste client ou par une mesure organisationnelleR26 Mettre en place des équipements physiquement dédiés au SI nomadisme dans la DMZ entranteR26 Mettre en place un cloisonnement logique pour le SI nomadisme dans la DMZ entranteR27 Interdire tous les flux de communication directs entre les équipements d’accès nomadesR28 Ne pas exposer d’applications métiers du SI nomadisme directement sur InternetR29 Interdire un accès direct aux ressources présentes dans le Cloud pour les utilisateurs nomadesR30 Réaliser un filtrage au sein du canal d’interconnexion VPN sur les applications autorisées pour un utilisateur nomadeR31 Privilégier l’utilisation de protocoles chiffrés et authentifiés pour l’accès aux applications nomades au travers du tunnel VPNR32 Restreindre au strict nécessaire l’utilisation de synchronisation de documents hors ligne pour les utilisateurs nomadesR33 Mettre en œuvre des matériels et des logiciels disposant d’un visa de sécurité de l’ANSSIR34 Respecter les recommandations du guide d’administration sécurisée de l’ANSSI pour le SI de l’entité incluant le SI nomadismeR35 Intégrer une politique de MCO et MCS pour le SI nomadismeR36 Prévoir une supervision de l’état du parc des équipements d’accès nomadeR37 Mettre en place une journalisation des différents éléments du SI nomadisme en suivant les recommandations du guide de l’ANSSIR38 Mettre en place un système d’analyse et de corrélation d’évènements du SI nomadismeR39 Mettre en œuvre une sonde de détection dans le SI nomadismeR40 SI « Diffusion Restreinte » : Appliquer les bonnes pratiques du guide Nomadisme sur les SI DR

Retour en haut