SC-900 : Guide d’étude pour l’Examen

Le modèle de responsabilité partagée définit qui est responsable de la sécurité dans le cloud :
– Fournisseur cloud : sécurité de l’infrastructure (réseau, matériel, datacenter).
– Client : sécurité des données, configurations et accès.

Selon le type de service :
– IaaS : le client gère presque tout (VM, OS, réseau).
– PaaS : le client gère ses applications et données.
– SaaS : le client gère les accès et les données utilisateurs, le fournisseur gère l’application.

La défense en profondeur (Defense in Depth) est une stratégie de sécurité qui utilise plusieurs couches de protection pour réduire les risques. Chaque couche agit comme une barrière supplémentaire pour protéger les données et les systèmes.

Principales couches :
– Contrôle physique : Protection des centres de données (accès physique, surveillance).
– Périmètre : Pare-feu, protection des réseaux.
– Réseau : Segmentation, détection d’intrusion.
– Hôte : Sécurisation des serveurs et postes de travail (antivirus, mises à jour).
– Application : Sécurisation du code et gestion des vulnérabilités.
– Données : Protection des données sensibles (chiffrement, sauvegardes)

Le modèle Zero Trust repose sur le principe « Ne jamais faire confiance, toujours vérifier ». Il renforce la sécurité en considérant que chaque accès peut être une menace, même à l’intérieur du réseau.

Principes clés :
– Vérification systématique : Authentification et validation de chaque accès, à chaque fois.
– Moindre privilège : Accorder uniquement les droits nécessaires, limiter les accès.
– Protection des données : Chiffrement, surveillance constante et analyse des menaces.

Le modèle Zero Trust repose sur six piliers fondamentaux pour une sécurité de bout en bout :

Réseaux : Segmentation (micro-segmentation), chiffrement de bout en bout et protection en temps réel contre les menaces.

Identités : Vérification systématique avec authentification forte et principe du moindre privilège.

Appareils : Surveillance de l’intégarité et de la conformité pour limiter les risques liés aux flux de données.

Applications : Gestion des autorisations et détection des applications non gérées (« informatique fantôme »).

Données : Classification, étiquetage et chiffrement pour assurer la protection des informations sensibles.

Infrastructure : Évaluation continue des versions, configurations, accès JIT (Just-In-Time) et détection des anomalies.

Chiffrement : Rends les données illisibles sans clé.

• Types :
  • Symétrique : Une seule clé pour chiffrer/déchiffrer (ex : AES).
  • Asymétrique : Deux clés (publique/privée) pour chiffrer et déchiffrer (ex : RSA).
• Utilisation : Protection des fichiers, communication sécurisée (HTTPS).

Le chiffrement des données se divise en trois types :

• Données au repos : Stockées sur un appareil, elles sont chiffrées pour être illisibles sans clé, même si un disque est volé.
• Données en transit : En déplacement sur un réseau (ex : HTTPS), elles sont chiffrées pour se protéger des observateurs externes.
• Données en cours d’utilisation : Chiffrées dans des mémoires temporaires (RAM, cache), elles restent sécurisées pendant leur traitement par le CPU.

Hachage : Transforme des données en une empreinte unique et non réversible (ex : SHA-256).

• Utilisation : Vérification de l’intégrité, stockage sécurisé des mots de passe.

Différence :

Hachage : Non réversible, utilisé pour vérifier les données sans les déchiffrer.

Chiffrement : Réversible avec la clé.

Gouvernance

La gouvernance désigne les règles et processus utilisés pour contrôler les activités d’une organisation, définissant qui peut accéder aux ressources et comment les privilèges sont attribués.

Risque

La gestion des risques consiste à identifier, évaluer et répondre aux menaces pouvant impacter les objectifs de l’entreprise. Les risques peuvent être externes (politiques, économiques, violations) ou internes (fuites de données, vol, fraude).

Conformité

La conformité fait référence aux lois et régulations qu’une organisation doit suivre, telles que la protection des données et les sanctions en cas de non-respect. Contrairement à la sécurité, la conformité garantit seulement le respect des normes minimales, tandis que la sécurité protège activement les données sensibles.

Principaux aspects de la conformité :
– Régulations et lois : Exemples : RGPD, HIPAA, CCPA. Ces lois imposent des exigences sur la gestion et la protection des données personnelles.
– Normes de sécurité : Directives et bonnes pratiques comme ISO 27001, SOC 2, qui aident à établir des contrôles et des processus sécuritaires.
– Audits et contrôles : Évaluations régulières pour vérifier la conformité avec les régulations et les normes.

Le périmètre de sécurité d’une organisation s’étend au-delà du réseau local traditionnel, incluant des applications SaaS, des appareils personnels des employés (BYOD), des appareils non gérés par des partenaires/clients et des objets IoT. L’identité devient le principal périmètre de sécurité. Cela inclut des informations d’identification, comme le nom d’utilisateur et le mot de passe, et les niveaux d’accès associés.

Pour gérer l’identité, il existe quatre piliers fondamentaux :

Audit : suivre les actions des utilisateurs pour garantir la sécurité.

Administration : gestion des identités (création, mise à jour, suppression).

Authentification : vérifier les informations pour prouver l’identité.

Autorisation : définir le niveau d’accès des utilisateurs/authentifiés.

L’authentification vérifie l’identité d’une personne, par exemple avec un nom d’utilisateur et un mot de passe pour accéder à un système. C’est souvent abrégé en « AuthN« .

L’autorisation détermine ce qu’un utilisateur authentifié peut voir et faire. Par exemple, une carte-clé d’hôtel vous permet d’accéder uniquement à certaines zones. En cybersécurité, l’autorisation définit le niveau d’accès aux données et ressources, souvent abrégé en « AuthZ« .

L’authentification moderne désigne les méthodes d’authentification et d’autorisation entre un client et un serveur, centrées autour d’un fournisseur d’identité (IDP). Ce fournisseur gère les informations d’identité et offre des services d’authentification, d’autorisation et d’audit. Les informations d’identité sont stockées de manière centralisée, permettant une gestion sécurisée des accès et une réduction des attaques malveillantes.

L’authentification moderne utilise des jetons de sécurité : une fois l’identité vérifiée, le fournisseur d’identité émet un jeton que le client envoie au serveur pour accéder aux ressources. Microsoft Entra ID en est un exemple.

L’authentification unique (SSO) permet à un utilisateur de se connecter une seule fois pour accéder à plusieurs ressources.

Un service d’annuaire est une structure hiérarchique qui stocke et rend accessible des informations sur les objets d’un réseau. Active Directory (AD), développé par Microsoft, est un service d’annuaire utilisé dans les réseaux locaux basés sur des domaines. Le service principal, Active Directory Domain Services (AD DS), gère les utilisateurs, appareils et leurs droits d’accès au réseau via des contrôleurs de domaine.

AD DS est central pour la gestion des infrastructures locales, mais il ne prend pas en charge les appareils mobiles, les applications SaaS ou les méthodes d’authentification moderne. Avec l’essor des services cloud et des applications, Microsoft Entra ID (anciennement Azure Active Directory) fournit une solution d’identité et d’accès pour les environnements cloud et locaux, évoluant vers Identity as a Service (IDaaS).

La fédération permet de connecter plusieurs fournisseurs d’identité.

Microsoft Entra ID (anciennement Azure Active Directory) est un service cloud de gestion des identités et des accès. Il permet aux organisations de gérer l’accès à des ressources internes (applications sur le réseau) et externes (Microsoft 365, Azure, SaaS). Entra ID peut être synchronisé avec Active Directory local ou utilisé de manière autonome, et permet d’autoriser l’usage d’appareils personnels et la collaboration avec des partenaires/clients.

Score d’identité sécurisée : Un indicateur de la posture de sécurité des identités, permettant de mesurer et améliorer la sécurité des accès.

Terminologie :

• Locataire : Instance d’Entra ID pour une organisation, contenant les informations et stratégies de sécurité.
• Annuaire : Conteneur logique au sein d’un locataire, stockant les ressources et objets liés aux identités.
• Multilocataire : Organisation avec plusieurs locataires Entra, souvent pour des filiales ou des besoins géographiques.

Utilisation :

Utilisateurs Azure, Microsoft 365, Dynamics 365 : Accès automatique à Entra ID

Administrateurs : Gestion des accès et sécurité, notamment via l’authentification multifacteur.

Développeurs : Intégration de l’authentification unique (SSO) et personnalisation via des API.

Identités utilisateur : Représentent des personnes (employés, clients, partenaires, etc.). Les identités utilisateur peuvent être :

• Membre interne : Utilisateurs authentifiés dans le locataire Microsoft Entra de l’organisation.
• Invité externe : Utilisateurs authentifiés via un compte externe (ex. fournisseur d’identité tiers).
• Membre externe : Utilisateurs d’un autre locataire avec des autorisations de membre.
• Invité interne : Utilisateurs internes désignés comme invités.

Identités de charge de travail : Attribuées aux applications, services, machines virtuelles, etc., pour qu’elles s’authentifient et accèdent aux ressources.

• Principal de service : Identité d’une application.
• Identités managées : Simplifient la gestion des identités pour les applications, gérées automatiquement sans nécessiter la gestion des informations d’identification.
  • Affectation par le système : Identité liée à une ressource spécifique (ex. machine virtuelle).
  • Affectation par l’utilisateur : Identité créée indépendamment des ressources, pouvant être attribuée à plusieurs services.

Identités d’appareil : Attribuées aux appareils physiques comme les téléphones, ordinateurs ou serveurs.

• Inscription à Microsoft Entra : Permet aux utilisateurs d’utiliser leurs appareils personnels pour accéder aux ressources.
• Jonction à Microsoft Entra : Appareil associé à un compte organisationnel pour une gestion complète.
• Jonction hybride : Appareils joints à Active Directory local et à Microsoft Entra pour une gestion d’authentification mixte.

Groupes : Permettent d’attribuer des autorisations à plusieurs identités en même temps. Il existe deux types :

Groupe Microsoft 365 : Utilisé pour faciliter la collaboration, permettant un accès partagé à des boîtes aux lettres, calendriers, et autres ressources collaboratives.

Groupe de sécurité : Sert à gérer les accès aux ressources, en appliquant des stratégies de sécurité et d’accès conditionnel.

Les identités externes permettent aux organisations de donner un accès sécurisé à leurs ressources pour des utilisateurs externes (partenaires, consommateurs, clients).

Le service ID externe Microsoft Entra offre deux solutions principales :

1. Collaboration B2B : Permet à des partenaires externes d’accéder aux applications de l’organisation via leurs propres identifiants, avec un locataire de main-d’œuvre.
2. Gestion des identités des consommateurs (CIAM) : Gère les identités et l’accès pour les utilisateurs externes d’applications grand public, avec un locataire externe.

L’identité hybride fait référence à l’intégration des identités d’une organisation entre un système d’annuaire local (comme Active Directory) et Microsoft Entra ID dans le cloud. Cette approche permet aux utilisateurs d’accéder aux ressources locales et cloud avec une identité unique.

L’identité hybride est réalisée grâce à deux processus principaux :

1. Provisionnement inter-annuaires : Il s’agit du processus de création d’une identité d’utilisateur dans Microsoft Entra ID à partir d’un utilisateur déjà existant dans Active Directory.
2. Synchronisation : Ce processus garantit que les informations d’identité des utilisateurs et des groupes dans Active Directory sont alignées avec celles de Microsoft Entra ID.

Microsoft Entra Cloud Sync est un outil permettant d’effectuer cette synchronisation et provisionnement de manière fluide. L’agent de provisionnement, déployé localement, sert de passerelle entre Active Directory et Microsoft Entra ID, en utilisant la spécification SCIM (System for Cross-domain Identity Management) pour automatiser la gestion des identités et groupes.

Les méthodes d’authentification de Microsoft Entra ID permettent de sécuriser l’accès aux applications et services. Voici un résumé des principales méthodes :

Authentification par certificat : Utilise des certificats X.509 pour s’authentifier, sans mot de passe, via l’infrastructure à clé publique (PKI).

Mots de passe : Courants mais vulnérables, souvent utilisés en combinaison avec d’autres méthodes.

Authentification par téléphone :

SMS : Envoie un code de vérification pour compléter l’authentification.

Appels vocaux : Utilisé pour des vérifications secondaires, comme lors d’une réinitialisation de mot de passe.

OATH (Open Authentication) : Utilise des codes à usage unique (OTP), générés par des logiciels ou dispositifs matériels (jetons).

Authentification sans mot de passe :

Windows Hello Entreprise : Authentification à deux facteurs, combinant un code PIN et une biométrie ou clé de l’appareil.

FIDO2 : Utilise une clé de sécurité externe pour se connecter sans mot de passe.

Microsoft Authenticator : Appli mobile pour une authentification sans mot de passe ou comme facteur secondaire.

La réinitialisation du mot de passe en libre-service (SSPR) dans Microsoft Entra ID permet aux utilisateurs de réinitialiser leur mot de passe sans avoir besoin de l’intervention d’un administrateur ou du support technique. Cette fonctionnalité présente plusieurs avantages :

• Réduction des coûts de support informatique.
• Gain de productivité pour les utilisateurs.
• Suivi des actions via des journaux d’audit.

Les utilisateurs doivent disposer d’une licence Microsoft Entra ID et être enregistrés avec des méthodes d’authentification telles que :

• Application mobile (notifications et codes)
• Email
• Téléphone mobile ou de bureau
• Questions de sécurité (seulement pour la réinitialisation)

L’authentification multifacteur (MFA) ajoute un niveau de sécurité en demandant à l’utilisateur de fournir deux ou plusieurs formes d’identification avant d’accéder à un service. Cela rend l’accès beaucoup plus difficile pour les attaquants.

Les trois types principaux de facteurs sont :

1. Quelque chose que vous savez : Un mot de passe ou un code PIN.
2. Quelque chose que vous avez : Un appareil fiable (téléphone, clé de sécurité, etc.).
3. Quelque chose que vous êtes : Un facteur biométrique (empreinte digitale, reconnaissance faciale).

Microsoft Entra ID permet d’activer l’authentification multifacteur de manière transparente pour les utilisateurs, en offrant différentes options de vérification comme :

• Microsoft Authenticator
• Windows Hello Entreprise
• FIDO2
• OATH (jetons matériels et logiciels)
• SMS et appels vocaux

Les paramètres de sécurité par défaut dans Microsoft Entra ID permettent d’activer automatiquement l’authentification multifacteur pour tous les utilisateurs, garantissant un niveau de sécurité de base sans coûts supplémentaires.

Protection par mot de passe

• Bloque les mots de passe faibles et leurs variantes à l’aide d’une liste globale de mots de passe interdits.
• La liste est régulièrement mise à jour par Microsoft en fonction des données de sécurité (ex : P@$$w0rd, Passw0rd1, etc.).

Listes personnalisées de mots de passe interdits

Les administrateurs peuvent ajouter des mots spécifiques à leur organisation :

• Noms de marques
• Noms de produits
• Emplacements (ex : siège social)
• Abréviations internes

Ces listes sont combinées avec la liste globale pour renforcer la sécurité.

Protection contre les attaques par pulvérisation de mot de passe

• Bloque les mots de passe les plus faibles utilisés lors de ces attaques.
• Utilise des algorithmes de détection avancés pour reconnaître les variantes de mots de passe.

Sécurité hybride

Cela garantit que les stratégies de protection sont appliquées même lorsque les utilisateurs modifient leur mot de passe sur site.

La protection peut être étendue à Active Directory en local.

L’Accès conditionnel applique des règles de sécurité en fonction du contexte (utilisateur, appareil, emplacement, risque).

🔹 Actions possibles :
✔ Exiger MFA
✔ Bloquer l’accès
✔ Autoriser uniquement les appareils gérés

Azure RBAC permet de gérer les accès aux ressources en attribuant des rôles selon le principe du moindre privilège.

🔹 Éléments clés :
✔ Rôles intégrés (Lecteur, Contributeur, Propriétaire)
✔ Attribution aux utilisateurs, groupes ou services
✔ Contrôle précis sur les ressources Azure

Microsoft Entra RBAC : Gère l’accès aux ressources Entra ID (utilisateurs, groupes, applications).
Azure RBAC : Gère l’accès aux ressources Azure (VMs, stockage) via Azure Resource Manager.

Microsoft Entra ID Governance permet d’assurer la sécurité et la productivité des employés en automatisant la gestion des identités et des accès. Grâce à cette solution, vous pouvez garantir que les bonnes personnes disposent des bons accès aux bonnes ressources.

💡 Objectifs principaux :
✔ Gouverner le cycle de vie des identités et des accès.
✔ Sécuriser l’accès privilégié pour l’administration.
✔ Garantir la conformité grâce à des audits et contrôles.

🔄 Cycle de vie des identités

💠 Modèle « Joindre, Déplacer, Quitter » :
➡ Lorsqu’un nouvel employé rejoint l’entreprise, une identité numérique est créée.
➡ Lors d’un changement de rôle, les autorisations sont ajustées.
➡ À son départ, les accès sont révoqués et l’identité est conservée à des fins d’audit.

📌 Automatisation avec Microsoft Entra ID :
✔ Approvisionnement des identités via des systèmes RH (Workday, SuccessFactors).
✔ Workflows pour gérer l’accès en fonction des événements de l’employé.
✔ Règles d’attribution automatique pour les groupes, rôles et accès SharePoint.
✔ Provisionnement d’utilisateurs dans des applications tierces.

🔐 Cycle de vie des accès

Les utilisateurs ont besoin d’un accès évolutif en fonction de leur rôle et responsabilités.

✅ Automatisation du cycle de vie des accès :
✔ Groupes dynamiques : Attribution automatique des accès selon les attributs de l’utilisateur.
✔ Gestion des droits d’utilisation : Demandes d’accès contrôlées et vérifications des rôles.
✔ Révisions d’accès : Contrôles récurrents pour assurer la conformité.

⚠ Cycle de vie des accès privilégiés

L’accès administratif doit être strictement contrôlé pour éviter les abus.

🔒 Microsoft Entra Privileged Identity Management (PIM) permet de :
✔ Limiter le nombre d’administrateurs permanents.
✔ Contrôler l’activation des rôles avec des approbations et alertes.
✔ Auditer et surveiller l’utilisation des droits privilégiés.

Les révisions d’accès de Microsoft Entra permettent de gérer efficacement les appartenances aux groupes, l’accès aux applications et l’attribution des rôles. Elles garantissent que seules les bonnes personnes disposent des bons droits.

📌 Pourquoi les utiliser ?
✔️ Limiter les accès inutiles : Éviter les droits excessifs, source de failles de sécurité.
✔️ Réduire les privilèges à risque : Vérifier et recertifier les accès d’administration.
✔️ Améliorer la conformité : Justifier l’accès aux applications critiques.
✔️ Contrôler les exceptions : Prouver aux auditeurs qu’elles sont régulièrement revues.
✔️ Gérer les invités : Confirmer la nécessité de leur accès aux ressources sensibles.

📅 Mise en place des révisions
Les révisions peuvent être ponctuelles ou récurrentes (hebdomadaires, mensuelles, trimestrielles…). Les réviseurs valident ou révoquent les accès via une interface simplifiée, avec des recommandations intelligentes.

🛠 Automatisation et gestion avancée

• Révisions en plusieurs étapes : Jusqu’à trois phases, impliquant différents décideurs.
• Mise en application automatique : Suppression immédiate des accès non justifiés.
• Suivi en temps réel : Les administrateurs surveillent l’avancement et peuvent interrompre le processus à tout moment.

La Gestion des identités à privilèges (Privileged Identity Management – PIM) est un service de Microsoft Entra ID conçu pour gérer, contrôler et surveiller l’accès aux ressources critiques de votre organisation. Elle permet de réduire les risques liés aux autorisations excessives ou inutilisées en fournissant un accès juste-à-temps aux rôles privilégiés.

Fonctionnalités principales de PIM

• Accès temporaire : Les utilisateurs obtiennent des privilèges uniquement lorsqu’ils en ont besoin, limitant ainsi l’exposition aux risques.
• Attributions basées sur l’approbation : Certaines activations de rôles nécessitent une approbation préalable, renforçant le contrôle sur les accès sensibles.
• Notifications et alertes : Les administrateurs reçoivent des notifications lors de l’activation de rôles privilégiés, assurant une surveillance proactive.
• Audit et historique : PIM conserve un journal détaillé des activités liées aux rôles privilégiés, facilitant les audits et les analyses de sécurité.

Pourquoi adopter PIM ?

En limitant le nombre de personnes ayant un accès permanent aux ressources sensibles, PIM réduit la surface d’attaque potentielle. Cette approche minimise les risques d’accès non autorisé ou d’erreurs humaines affectant des ressources critiques.

La Protection des identités Microsoft Entra est un outil essentiel pour renforcer la sécurité des identités au sein de votre organisation. Voici les points clés à retenir :

1. Détection des risques

• Analyse avancée : Microsoft analyse quotidiennement des milliards de signaux provenant de diverses sources, telles que Microsoft Entra, les comptes Microsoft et la plateforme Xbox, pour identifier les menaces potentielles.
• Types de risques détectés :
  • Risque de connexion : Évalue la probabilité qu’une tentative d’authentification soit frauduleuse.
    • Exemples :
      • Adresse IP anonyme : Connexion via des services masquant l’adresse IP réelle, comme Tor ou certains VPN.
      • Voyage atypique : Tentatives de connexion depuis des emplacements géographiquement éloignés en un laps de temps court.
      • Propriétés de connexion inhabituelles : Détection de configurations de connexion inhabituelles par rapport aux habitudes de l’utilisateur.
      • Renseignement sur les menaces Microsoft Entra : Activités de connexion correspondant à des schémas d’attaque connus.
  • Risque utilisateur : Estime la probabilité qu’un compte soit compromis.
    • Exemples :
      • Activité anormale de l’utilisateur : Comportements inhabituels, tels que des modifications suspectes dans l’annuaire.
      • Utilisateur signalant une activité suspecte : Refus d’une demande d’authentification multifacteur considérée comme non sollicitée.
      • Informations d’identification divulguées : Mots de passe ou autres données sensibles trouvées sur des plateformes publiques ou le dark web.

2. Réponse aux risques

• Automatisation : Mise en place de stratégies automatisées pour répondre aux menaces détectées, telles que l’application de l’authentification multifacteur ou la réinitialisation obligatoire des mots de passe.
• Intégration avec l’accès conditionnel : Utilisation des signaux de risque pour adapter les politiques d’accès en temps réel, renforçant ainsi la sécurité sans compromettre l’expérience utilisateur.

3. Investigation et correction

Exportation des données : Possibilité d’intégrer les informations de détection avec des solutions tierces, comme des systèmes de gestion des informations et des événements de sécurité (SIEM), pour une analyse plus approfondie.

Tableaux de bord détaillés : Fournissent une vue d’ensemble des risques actuels, facilitant l’identification rapide des comptes compromis.

Outils d’investigation : Permettent d’analyser en profondeur les incidents de sécurité et de prendre des mesures correctives appropriées.

La Gestion des autorisations Microsoft Entra est une solution CIEM (Cloud Infrastructure Entitlement Management) qui offre une visibilité complète sur les autorisations attribuées à toutes les identités (utilisateurs et charges de travail) au sein des environnements multicloud, notamment Microsoft Azure, Amazon Web Services (AWS) et Google Cloud Platform (GCP).

Fonctionnalités principales

Rapports détaillés : Fournit des informations contextuelles pour faciliter les investigations et les corrections rapides.

Découverte : Évaluez les risques en identifiant les écarts entre les autorisations accordées et celles réellement utilisées.

Index PCI (Permission Creep Index) : Mesure le niveau de risque associé aux autorisations inutilisées ou excessives.

Analytique des autorisations : Fournit une vue détaillée des risques liés aux autorisations pour toutes les identités, actions et ressources.

Correction : Ajustez les autorisations en fonction de leur utilisation réelle.

Suppression automatisée : Révoque les autorisations non utilisées au cours des 90 derniers jours.

Accès à la demande : Accorde des autorisations temporaires selon les besoins spécifiques.

Supervision : Surveillez en continu les activités pour détecter les anomalies.

Détections basées sur le machine learning : Identifie les comportements inhabituels.

Microsoft Entra Verified ID

• Permet aux organisations d’émettre, vérifier et accepter des identités numériques sécurisées.
• Basé sur la technologie blockchain et des standards d’identité décentralisée.
• Utilisé pour authentifier les utilisateurs sans dépendre de bases de données centralisées.
• Réduit les risques de fraude et d’usurpation d’identité.
• Compatible avec Microsoft Entra ID (Azure AD) et d’autres services.

🛠 Cas d’usage possibles en automatisation

1. Authentification sécurisée pour les employés et les partenaires
   • Vérification automatique des identités avant l’accès aux ressources sensibles.
2. Gestion des identités des utilisateurs temporaires
   • Fournir des accès limités dans le temps sans créer de comptes classiques.
3. Simplification de l’onboarding des nouveaux employés
   • Vérification automatisée des diplômes et certificats avant intégration.
4. Authentification des administrateurs sur des actions critiques
   • Demander une preuve d’identité renforcée avant d’effectuer des modifications sensibles.

Azure DDoS Protection en résumé

• Protège les ressources Azure exposées à Internet (VM, Load Balancers, App Services, etc.).
• Deux niveaux de protection :
  1. DDoS Protection Basic : Inclus par défaut sur toutes les ressources Azure, mais avec une protection limitée.
  2. DDoS Protection Standard : Protection avancée avec détection automatique des attaques, rapports détaillés et support Microsoft.
• Détection et atténuation automatique des attaques volumétriques.
• Intégration avec Azure Monitor pour des alertes et rapports détaillés.
• Pas besoin de modification d’application : fonctionne en transparence.

Azure DDoS Protection propose deux niveaux : Protection IP DDoS et Protection réseau DDoS.

• Protection réseau DDoS : Offre une atténuation avancée des attaques DDoS et s’adapte automatiquement aux ressources Azure dans un réseau virtuel. Elle inclut des services à valeur ajoutée comme l’assistance à réponse rapide, la protection des coûts et des remises sur Web Application Firewall (WAF).
• Protection IP DDoS : Fonctionne sur un modèle de paiement par adresse IP protégée et propose les mêmes fonctionnalités de base que la Protection réseau, mais sans les services premium.

Les trois types d’attaque DDoS les plus fréquents sont les suivants :

Attaques de la couche Ressource (Application) : ces attaques ciblent les paquets d’application web pour interrompre la transmission des données entre des hôtes.

Attaques volumétriques : il s’agit d’attaques basées sur les volumes qui inondent la couche réseau avec un trafic apparemment légitime, écrasant ainsi la bande passante disponible. Le trafic légitime ne peut pas passer.

Attaques de protocole: les attaques de protocole rendent une cible inaccessible en épuisant les ressources du serveur avec des requêtes de protocole erronées qui exploitent les faiblesses des protocoles de couche 3 (réseau) et de couche 4 (transport).

Comment mettre en place Azure DDoS Protection Standard ?

1. Créer un plan DDoS Protection Standard
   • Accéder à Azure Portal > Créer une ressource > DDoS Protection Plan.
   • Définir le groupe de ressources et la région.
   • Déployer le plan.
2. Associer le plan à un réseau virtuel (VNet)
   • Aller dans Réseaux Virtuels (VNet) > Sélectionner un VNet.
   • Dans l’onglet DDoS Protection, activer et associer le plan.
3. Configurer la surveillance avec Azure Monitor
   • Activer les logs et alertes via Azure Monitor pour détecter les attaques en temps réel.
4. Tester avec un simulateur DDoS (en environnement contrôlé)
   • Utiliser BreakingPoint Cloud (Microsoft Partner) pour tester la résistance de l’infrastructure.

Le Pare-feu Azure est un service cloud managé qui protège vos ressources Azure contre les menaces. Il est recommandé de le déployer sur un réseau virtuel centralisé pour un contrôle centralisé du trafic à travers plusieurs abonnements.

Principales fonctionnalités

• Pare-feu avec état : Suit l’état des connexions pour prendre des décisions basées sur le contexte du trafic.
• Haute disponibilité et résilience : Intégré aux zones de disponibilité Azure pour minimiser les interruptions.
• Filtrage avancé : Contrôle du trafic réseau et application (HTTP/S) via des règles personnalisables.
• Traduction d’adresses réseau (NAT) : Permet le remappage d’adresses IP pour sécuriser les connexions entrantes et sortantes.
• Veille des menaces : Détection proactive des IP et domaines malveillants grâce à l’intelligence de Microsoft.
• Journalisation et surveillance : Intégration avec Azure Monitor et Log Analytics pour un suivi approfondi.
• Intégration aux services Azure : Fonctionne avec Azure Policy, Security Center et autres solutions de sécurité.

Versions disponibles

Le Pare-feu Azure est proposé en trois versions : Standard, Premium et Basique, chacune avec des fonctionnalités adaptées aux besoins spécifiques de sécurité.

Intégration à Microsoft Security Copilot

Grâce à Security Copilot, les analystes peuvent interagir en langage naturel pour analyser le trafic suspect et exploiter les journaux du Pare-feu Azure. Cette intégration nécessite des configurations spécifiques et des permissions adéquates.

Le Pare-feu Azure offre une solution robuste et évolutive pour sécuriser vos infrastructures cloud contre les menaces modernes.

🔥 Pare-feu d’Applications Web (WAF) : Protection Essentielle

Les applications web sont des cibles privilégiées des attaques exploitant des vulnérabilités connues. Leur sécurisation demande une maintenance constante et des correctifs réguliers.

🛡️ Rôle du WAF

Un WAF (Web Application Firewall) protège de manière centralisée vos applications web contre les menaces. ✅ Avantages :

• Sécurité simplifiée : Une seule mise à jour pour protéger toutes les applications.
• Réactivité accrue face aux menaces.
• Protection contre les attaques DDoS de la couche Application (ex. : inondations HTTP).

👉 Différence avec Azure DDoS Protection :

• Azure DDoS Protection sécurise contre les attaques réseau et transport.
• Azure WAF bloque les attaques au niveau de l’application.

🤖 Intégration à Microsoft Security Copilot

Azure WAF s’intègre à Security Copilot pour une analyse approfondie des menaces via des requêtes en langage naturel.

⚙️ Plug-in Security Copilot requis pour l’intégration.

📊 Visualisation des journaux pour identifier les vecteurs d’attaque.

La segmentation réseau consiste à diviser un réseau en plusieurs sous-réseaux isolés pour optimiser la sécurité et la gestion. 🛡️
👉 Avantages principaux :

• Regrouper les ressources associées à une charge de travail.
• Isoler les ressources pour limiter les risques.
• Appliquer des stratégies de gouvernance spécifiques.

🛑 Sécurité et Modèle de Confiance Zéro (Zero Trust)

🏰 Défense en profondeur : Sécurisation en couches pour renforcer la protection.

🔥 Empêcher la propagation des attaques en limitant les mouvements latéraux dans le réseau.

🚧 Contrôler les flux de trafic pour sécuriser les communications.

Qu’est-ce qu’un Groupe de Sécurité Réseau (NSG) ?

Un Groupe de Sécurité Réseau (NSG) filtre le trafic réseau vers et à partir des ressources Azure, comme les machines virtuelles (VM) dans un réseau virtuel Azure.
👉 Fonctionnalité clé : Chaque NSG contient des règles de sécurité (entrantes et sortantes) pour gérer le trafic réseau.

⚙️ Règles de Sécurité : Entrantes et Sortantes

Les règles de sécurité sont évaluées par priorité (les valeurs basses sont traitées en premier). Ces règles sont définies par :

• Source/Destination : Adresse IP ou plage d’adresses.
• Protocole : TCP, UDP, ICMP ou Any.
• Direction : Trafic entrant ou sortant.
• Plage de Ports : Ports spécifiques ou plages de ports.
• Action : Autoriser ou refuser le trafic.

📊 Exemples de Règles par Défaut

• AllowVNetInBound : Autorise le trafic du réseau virtuel Azure à l’intérieur de même réseau virtuel.
• AllowAzureLoadBalancerInBound : Permet le trafic des équilibreurs de charge Azure.
• DenyAllInBound : Refuse tout autre trafic entrant non spécifié par les règles précédentes.

📝 Résumé : Les règles par défaut permettent le trafic interne au réseau Azure, mais bloquent tout autre accès par défaut.

🔍 Comparaison avec le Pare-feu Azure

Pare-feu Azure : Filtrage centralisé au niveau des réseaux et applications, protégeant plusieurs abonnements et réseaux virtuels avec une protection plus avancée.

NSG : Filtrage distribué au niveau du réseau pour limiter le trafic interne à un abonnement Azure.

Azure Bastion est un service PaaS entièrement managé qui vous permet de vous connecter à vos machines virtuelles (VM) dans Azure via le Portail Azure, sans avoir besoin d’ouvrir des ports RDP (Remote Desktop Protocol) ou SSH (Secure Shell) au public. Il fournit une connectivité sécurisée RDP/SSH directement depuis votre navigateur, en utilisant le protocole TLS pour un chiffrement sécurisé.

⚙️ Fonctionnement d’Azure Bastion

• Connexion Sécurisée : Vous vous connectez à vos machines virtuelles via le Portail Azure, sans nécessiter d’adresse IP publique sur vos VM.
• Réseau Virtuel : Le service est déployé dans un réseau virtuel spécifique, et prend en charge l’appairage de réseaux virtuels. Une fois provisionné, il offre un accès sécurisé à toutes les VM du réseau virtuel et des réseaux appairés.
• Pas d’IP Publique : Il n’est plus nécessaire d’exposer vos VM à Internet, réduisant ainsi les risques d’attaque.

✨ Avantages d’Azure Bastion

1. RDP/SSH Directement dans le Portail Azure : Accédez à vos sessions RDP/SSH avec un simple clic dans le Portail Azure.
2. Sécurisation avec TLS : Les connexions sont sécurisées via le protocole TLS, garantissant une traversée sécurisée des pare-feu.
3. Aucune IP Publique Nécessaire : Azure Bastion utilise des adresses IP privées pour connecter vos VM, évitant l’exposition au monde extérieur.
4. Gestion Simplifiée des NSG : Azure Bastion est un service PaaS managé, donc il n’est pas nécessaire de configurer des groupes de sécurité réseau supplémentaires.
5. Protection contre l’Analyse des Ports : Aucun port RDP/SSH n’est exposé à Internet, ce qui protège vos VM contre les attaques ciblant des ports ouverts.
6. Sécurisation Renforcée : Azure Bastion bénéficie d’une protection continue contre les vulnérabilités, y compris les exploits de vulnérabilités zéro-day.

🔑 Utilisation d’Azure Bastion

Azure Bastion est idéal pour fournir un accès sécurisé à vos machines virtuelles dans Azure, tout en réduisant les risques de sécurité associés à l’ouverture des ports de gestion classiques.

Azure Key Vault est un service cloud conçu pour stocker et gérer en toute sécurité des secrets, tels que des clés API, des mots de passe, des certificats et des clés de chiffrement. Il vous permet de contrôler l’accès à ces secrets et de protéger vos données sensibles.

🔑 Fonctionnalités Principales :

1. Gestion des Secrets : Stockage sécurisé des jetons, mots de passe, certificats, clés API et autres secrets. Vous pouvez contrôler de manière stricte qui a accès à ces éléments sensibles.
2. Gestion des Clés : Azure Key Vault facilite la création et la gestion des clés de chiffrement, utilisées pour protéger vos données.
3. Gestion des Certificats : Vous pouvez approvisionner, gérer et déployer des certificats SSL/TLS pour sécuriser vos ressources Azure et internes.
4. Deux Niveaux de Service :
   • Standard : Chiffrement avec une clé logicielle.
   • Premium : Utilisation de clés protégées par un module HSM (Hardware Security Module).

💡 Pourquoi Utiliser Azure Key Vault ?

• Centralisation des Secrets : Stockez tous vos secrets au même endroit, réduisant ainsi les risques de fuites accidentelles et améliorant la gestion des informations sensibles.
• Accès Sécurisé : Les applications accèdent aux secrets via des identificateurs d’objets uniques (URLs), éliminant la nécessité de stocker des secrets directement dans le code.
• Authentification et Autorisation : Utilisez Microsoft Entra pour l’authentification et le contrôle d’accès basé sur les rôles Azure (RBAC) ou des stratégies d’accès à Key Vault pour gérer les autorisations.

🔎 Sécurisation et Supervision

• Supervision de l’Accès : Activez la journalisation pour surveiller l’activité des coffres de clés. Vous pouvez limiter l’accès aux journaux et supprimer ceux qui ne sont plus nécessaires.
• Administration Simplifiée : Azure Key Vault facilite l’administration des secrets en automatisant certaines tâches, comme le renouvellement des certificats et la réplication des données pour assurer la haute disponibilité.

📈 Avantages supplémentaires :

• Réplication des Coffres : Garantit la haute disponibilité avec la possibilité de répliquer les secrets dans une région primaire et secondaire.
• Contrôle Granulaire : Limitez l’accès aux coffres de clés à des applications et équipes spécifiques, en restreignant les actions autorisées.

⚙️ Exemple d’URL d’Identificateur d’Objet :

HSM managé (Premium) : https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}

Standard : https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}

Microsoft Defender pour le Cloud est une plateforme de protection des applications cloud (CNAPP) qui combine un ensemble de mesures de sécurité pour protéger les applications cloud contre les cybermenaces et vulnérabilités. Voici ses principales fonctionnalités :

1. DevSecOps : Sécurité au Cœur du Développement

• DevSecOps intègre des pratiques de sécurité dès le début du développement logiciel.
• Protection des environnements de code et des pipelines : Protégez vos environnements de gestion du code et surveillez la posture de sécurité à partir d’un point central.
• Defender pour DevOps aide à sécuriser les environnements multi-pipelines, facilitant la gestion de la sécurité dans les processus de développement logiciel.

2. CSPM : Gestion de la Posture de Sécurité Cloud

• CSPM (Cloud Security Posture Management) surveille la configuration et le déploiement des ressources cloud.
• Alertes automatiques : Alerte les équipes de sécurité en cas de vulnérabilité détectée.
• Améliorations de la sécurité : Fournit des recommandations sur les actions à entreprendre pour renforcer la sécurité des environnements cloud.

3. CWPP : Protection des Charges de Travail Cloud

• CWPP (Cloud Workload Protection Platform) se concentre sur la protection des charges de travail cloud telles que les serveurs, conteneurs, bases de données, etc.
• Sécurité proactive : Protégez les charges de travail contre les menaces avec des recommandations spécifiques.
• Alertes de sécurité : En cas de menace, des alertes détaillent la nature et la gravité de la menace pour permettre une réponse rapide.

🔍 Microsoft Defender pour le Cloud : Fonctions Avancées

Microsoft Defender XDR : Lorsque vous activez Defender pour le cloud, vous bénéficiez automatiquement de Microsoft Defender XDR, une suite de défense qui intègre la détection, la prévention et la réponse sur les terminaux, les identités, la messagerie et les applications.

Microsoft Security Copilot : Pour les entreprises intégrées à Microsoft Security Copilot, Defender pour le cloud offre des fonctionnalités d’analyse, de résumé et de correction des recommandations en langage naturel.

Microsoft Defender pour le Cloud, dans le cadre de la Gestion de la Posture de Sécurité Cloud (CSPM), offre une vue complète et des recommandations pour renforcer la sécurité des ressources cloud.

Degré de Sécurisation

• Évaluation continue de la sécurité des ressources multi-cloud.
• Score de sécurité : Une note qui permet de visualiser instantanément le niveau de sécurité de votre environnement. Plus le score est élevé, plus le risque est faible.
• Microsoft Cloud Security Benchmark (MCSB) est appliqué par défaut pour fournir des recommandations intégrées de sécurité.

Recommandations de Renforcement

• Durcissement de la sécurité : Defender pour le cloud identifie les erreurs de configuration et les vulnérabilités, puis génère des recommandations pour corriger les faiblesses.
• Contrôles de sécurité : Groupes de recommandations liés aux surfaces d’attaque vulnérables. Suivre toutes les recommandations pour une ressource donnée permet d’améliorer le score de sécurité de cette ressource.

Intégration avec Microsoft Security Copilot

• Fonctionnalités avancées : Pour les entreprises utilisant Microsoft Security Copilot, Defender pour le cloud offre un contexte enrichi sur les recommandations.
• Correction et délégation : Copilot aide à comprendre, corriger ou déléguer des recommandations et à résoudre les mauvaises configurations dans le code.

Plans Defender CSPM

Plan avancé (Facultatif) : Offre des outils avancés de gestion de la posture pour évaluer la conformité avec des points de référence, des standards réglementaires, et des stratégies personnalisées de sécurité.

Plan de base (Gratuit) : Inclut des fonctionnalités essentielles pour la détection des ressources, l’évaluation continue, des recommandations de sécurité, et le degré de sécurisation.

Microsoft Defender pour le Cloud utilise des définitions de stratégie et des initiatives de sécurité pour aider les organisations à gérer la sécurité de leurs ressources cloud et locales.

Définition de Stratégie et Initiative de Sécurité

• Définition de stratégie : Une règle spécifique sur des conditions de sécurité que vous souhaitez contrôler, pouvant être intégrée (prête à l’emploi) ou personnalisée.
• Initiative de sécurité : Une collection de stratégies Azure Policy regroupées pour atteindre un objectif commun. Elle simplifie la gestion des stratégies en les combinant sous un seul élément.

Les initiatives de sécurité sont appliquées à des étendues de ressources comme des abonnements, des groupes de ressources, etc.

Microsoft Cloud Security Benchmark (MCSB)

Le MCSB fournit un ensemble de meilleures pratiques et recommandations de sécurité pour améliorer la sécurité des charges de travail sur Azure et dans des environnements multicloud.

• Basé sur les contrôles CIS et NIST.
• Couverture de domaines comme sécurité réseau, protection des données, gestion des identités, etc.
• MCSB v1 est une feuille de calcul Excel contenant des identifiants pour chaque recommandation, des domaines de contrôle et des conseils spécifiques pour Azure et AWS.

Recommandations de Sécurité

• Définition : Résultat de l’évaluation des ressources par rapport aux stratégies et identification des écarts de sécurité.
• Contenu d’une recommandation :
  • Description du problème.
  • Étapes de correction.
  • Ressources concernées.

Les recommandations sont présentées dans Defender pour le cloud pour aider à résoudre les faiblesses de sécurité et à sécuriser les ressources.

Benchmark de Sécurité Cloud Microsoft dans Defender pour le Cloud

Contrôles dans MCSB incluent : sécurité réseau, identité et contrôle d’accès, protection des données, etc.

Évaluation continue de la conformité avec les bonnes pratiques de sécurité, en utilisant MCSB et d’autres normes.

Tableau de bord de conformité dans Defender pour le cloud affiche l’état de la conformité par rapport à MCSB et aux autres normes appliquées.

Microsoft Defender pour le Cloud fournit des fonctionnalités avancées pour sécuriser les ressources, les charges de travail et les services dans le cloud. Il utilise des plans spécifiques pour chaque type de ressource dans vos abonnements afin de détecter et résoudre les menaces efficacement.

Plans Defender pour la Protection des Charges de Travail

Voici quelques-uns des plans Microsoft Defender qui offrent une protection avancée pour vos charges de travail :

• Microsoft Defender pour les serveurs : Protection contre les menaces pour vos machines Windows et Linux.
• Microsoft Defender pour App Service : Identification des attaques ciblant les applications sur App Service.
• Microsoft Defender pour le stockage : Détection des activités malveillantes sur les comptes de stockage Azure.
• Microsoft Defender pour SQL : Sécurisation des bases de données et de leurs données, qu’elles soient locales ou cloud.
• Microsoft Defender pour Kubernetes : Durcissement et protection des environnements Kubernetes.
• Microsoft Defender pour les registres de conteneurs : Protection des registres basés sur Azure Resource Manager.
• Microsoft Defender pour Key Vault : Protection contre les menaces pour Azure Key Vault.
• Microsoft Defender pour Resource Manager : Monitoring automatique des opérations de gestion des ressources.
• Microsoft Defender pour DNS : Protection supplémentaire pour les ressources utilisant Azure DNS.
• Microsoft Defender pour les bases de données relationnelles open source : Protection contre les menaces pour les bases de données open source.

Ces plans peuvent être activés indépendamment ou simultanément pour une défense complète des couches de calcul, de données et de services.

Fonctionnalités de Sécurité Renforcée

Les plans Defender offrent des fonctionnalités avancées de sécurité pour les charges de travail, incluant :

Contrôles d’accès et d’applications : Réduction de la surface d’attaque en appliquant des recommandations basées sur le machine learning, avec un accès juste-à-temps aux ports de gestion.

Protection évolutive des points de terminaison : Microsoft Defender pour serveurs inclut EDR (Endpoint Detection and Response) pour une protection complète.

Analyse de la vulnérabilité : Analyse des machines virtuelles, registre de conteneurs, et ressources SQL pour identifier et corriger les problèmes de sécurité.

Sécurité multicloud : Protection des ressources sur AWS et Google Cloud Platform grâce aux fonctionnalités de sécurité de Defender pour le cloud.

Sécurité hybride : Vue unifiée pour évaluer et appliquer des stratégies de sécurité à vos charges de travail cloud et locales.

Alertes de protection contre les menaces : Surveillance des réseaux, machines, et services cloud pour détecter les attaques et les activités malveillantes.

Suivi de la conformité : Évaluation continue de votre environnement par rapport aux bonnes pratiques et contrôles de sécurité Azure. Le tableau de bord de conformité vous aide à surveiller et respecter les normes réglementaires.

🔍 SIEM (Security Information and Event Management)

Un SIEM est une solution qui collecte, analyse et corrèle des logs et des événements de sécurité provenant de diverses sources pour détecter des menaces et générer des alertes.

🔹 Collecte des logs à partir de plusieurs sources (serveurs, firewalls, endpoints, applications, etc.)
🔹 Corrélation des événements pour détecter des attaques potentielles
🔹 Génération d’alertes en cas de comportement suspect
🔹 Analyse en temps réel des menaces de sécurité

💡 Dans Azure :
Microsoft Sentinel joue le rôle de SIEM cloud-native, offrant une plateforme évolutive et intégrée à Azure.

⚡ SOAR (Security Orchestration, Automation, and Response)

Un SOAR complète un SIEM en automatisant la réponse aux incidents de sécurité. Il permet de :

🔹 Automatiser les réponses aux menaces en créant des playbooks (ex. : bloquer une adresse IP malveillante)
🔹 Orchestrer plusieurs outils de sécurité pour une gestion centralisée
🔹 Améliorer la rapidité de réaction et limiter l’impact des attaques

💡 Dans Azure :
Microsoft Sentinel inclut des playbooks d’automatisation basés sur Logic Apps pour automatiser les réponses aux menaces.

Microsoft Sentinel : Solution SIEM/SOAR Cloud-Native

Microsoft Sentinel est une solution scalable et intelligente qui offre une vue complète sur la sécurité de votre entreprise. Il couvre :
✅ Collecte des données (cloud, local, multi-cloud)
✅ Détection des menaces grâce à l’IA et à l’analytique avancée
✅ Investigation des incidents avec des outils puissants
✅ Réponse automatisée aux menaces

📊 Collecte des données à grande échelle

📌 Connecteurs intégrés pour Microsoft et tiers (Entra ID, Azure Activity, Syslog, API REST…)
📌 Connecteurs personnalisés pour sources non natives
📌 Normalisation des données avec ASIM pour une corrélation simplifiée

🔍 Détection avancée des menaces

🔸 Analyses & règles pour identifier et regrouper les alertes
🔸 Couverture MITRE ATT&CK pour visualiser les menaces
🔸 Veille des menaces pour enrichir la détection
🔸 Watchlists pour surveiller des ressources sensibles
🔸 Classeurs pour des rapports visuels interactifs

🕵️ Investigation et chasse aux menaces

📌 Incidents : Agrégation des preuves pour enquêtes approfondies
📌 Repérages : Recherche proactive des menaces avant les alertes
📌 Notebooks Jupyter : Analyses avancées et intégration ML

⚡ Automatisation et réponse rapide

⚙️ Règles d’automatisation pour gérer les incidents
⚙️ Playbooks basés sur Azure Logic Apps pour orchestrer la réponse (ex. création automatique de tickets ServiceNow)

🏗️ Contenu de sécurité prêt à l’emploi

📍 Hub de contenu : Connecteurs, règles, requêtes, notebooks, playbooks
📍 Solutions intégrées (ex. Microsoft Purview) pour scénarios spécifiques

🎯 Unification avec Microsoft Defender

🛡️ Accès via Azure ou Microsoft Defender pour une gestion centralisée
🛡️ Intégration avec Microsoft Defender XDR pour une réponse accélérée et une meilleure visibilité

👉 Microsoft Sentinel transforme le SOC en une plateforme moderne et automatisée, capable de détecter et répondre efficacement aux cybermenaces. 🚀

🔐 Microsoft Defender pour DevOps : Sécurisez vos pipelines et environnements de production

Le DevOps accélère le développement et le déploiement des applications, mais il élargit aussi la surface d’attaque. Les pirates ciblent désormais les outils DevOps en amont, rendant nécessaire une nouvelle approche de sécurité.

🚀 Defender pour DevOps, intégré à Microsoft Defender for Cloud, permet aux équipes de sécurité de gérer la sécurité DevOps dans des environnements multipipelines comme GitHub et Azure DevOps.

⚡ Fonctionnalités clés

✅ 🔎 Visibilité unifiée
📌 Vue complète des inventaires DevOps et des analyses de sécurité du code (vulnérabilités, secrets, dépendances open source).
📌 Évaluation des configurations de sécurité sur des environnements multi-clouds et multi-pipelines.

✅ 🔧 Sécurisation des configurations cloud
📌 Protection des modèles IaC (Infrastructure as Code) pour réduire les erreurs avant la production.
📌 Surveillance des menaces critiques et renforcement des configurations cloud.

✅ 🚨 Priorisation des corrections
📌 Corrections ciblées basées sur des insights contextuels cloud.
📌 Intégration avec les outils des développeurs via annotations de pull requests et workflows automatisés.

🔍 Microsoft Sentinel s’intègre à Microsoft Security Copilot

L’intégration de Microsoft Sentinel à Microsoft Security Copilot offre une analyse avancée des menaces et une gestion optimisée des incidents grâce à l’IA générative. Elle repose sur deux plug-ins disponibles dans le portail Copilot :

⚡ 1️⃣ Plug-in Microsoft Sentinel (Préversion)

📌 Accès aux incidents Sentinel via Copilot avec les rôles appropriés (ex. : Lecteur Microsoft Sentinel).
📌 Configuration requise : espace de travail, abonnement, groupe de ressources.
📌 Fonctionnalités : prompts intégrés pour analyser les incidents et interagir avec les données Sentinel.
📌 Séquence d’investigation : prompts guidés pour obtenir rapports, scores de réputation, utilisateurs et appareils liés à un incident.

🛠 Avantage : Accélère la gestion des incidents et améliore la visibilité des menaces en unifiant les données de Microsoft Sentinel et Defender XDR.

⚡ 2️⃣ Plug-in KQL avec langage naturel (Préversion)

📌 Conversion des questions en langage naturel en requêtes KQL (NL2KQLSentinel) pour la chasse aux menaces.
📌 Gain de temps pour les analystes : requêtes prêtes à l’emploi, modifiables et exécutables.
📌 Disponible dans Microsoft Sentinel et la chasse avancée de Defender.

🛠 Avantage : Simplifie la création et l’exécution des requêtes KQL, même pour les non-experts.

🔗 Sentinel et Copilot dans Defender

✅ Incidents Sentinel et Defender XDR unifiés pour des résumés détaillés, réponses guidées et rapports.
✅ Expérience autonome ou intégrée via le portail Defender pour une gestion centralisée de la sécurité.

🚀 En bref : Microsoft Sentinel avec Security Copilot permet aux équipes SOC de réduire le temps de réponse, optimiser l’investigation des incidents et automatiser l’analyse des menaces.

Microsoft Defender XDR est une suite de défense qui protège contre les cyberattaques sophistiquées en analysant et corrélant les menaces sur les terminaux, applications, e-mails et identités. Il offre une meilleure visibilité sur l’attaque et permet d’automatiser la réponse pour la stopper.

Composants clés :

✅ Defender for Endpoint → Protection avancée des points de terminaison (détection, réponse et analyse automatisée).
✅ Defender Vulnerability Management → Identification et correction des vulnérabilités et mauvaises configurations.
✅ Defender for Office 365 → Protection des e-mails, liens et outils collaboratifs contre les menaces.
✅ Defender for Identity → Analyse Active Directory pour détecter les identités compromises et les menaces internes.
✅ Defender for Cloud Apps → Sécurisation des applications SaaS avec contrôle des données et détection des menaces.

Intégrations & centralisation

📌 Microsoft Security Copilot → Automatisation et assistance IA dans l’analyse des menaces.
📌 Portail Microsoft Defender → Interface unique regroupant les insights de Microsoft Sentinel et Defender for Cloud.
📌 Microsoft Threat Intelligence (TI) → Veille des menaces pour un meilleur triage et réponse aux incidents.

Microsoft Defender for Office 365 est une protection avancée intégrée à Microsoft 365 contre les menaces liées aux e-mails et à la collaboration (hameçonnage, malwares, liens malveillants, pièces jointes infectées). Il surveille Outlook, Teams, SharePoint, etc., et offre une détection en temps réel, des outils d’investigation et des réponses automatisées.

💡 Disponible en deux plans : Plan 1 (protection de base) et Plan 2 (fonctionnalités avancées d’investigation et de réponse).

🔹 Principales fonctionnalités

🛡️ Prévention et détection

✅ Filtres avancés : anti-malware, anti-hameçonnage, anti-spam, filtrage des connexions et des e-mails sortants.
✅ Pièces jointes sécurisées : ouverture des fichiers suspects dans un environnement isolé (détonation).
✅ Protection des liens (Safe Links) : vérification et blocage des URLs malveillantes dans les e-mails.
✅ Simulation d’attaques : tester la réaction des utilisateurs face aux cybermenaces.
✅ Alertes et SIEM : notifications et intégration avec les systèmes de gestion des incidents de sécurité.

🔍 Investigation et suivi

🔎 Suivi des messages : analyse du parcours des e-mails pour identifier les menaces.
📊 Explorateur de menaces : outils en temps réel pour examiner les menaces détectées.
🔗 Trace URL : identification des communications avec des domaines malveillants.
📈 Suivi des campagnes : identification des attaques coordonnées (hameçonnage, malware).
📑 Rapports et logs : visibilité sur les activités et menaces dans Microsoft 365.

⚡ Réponse et remédiation

🛑 Purge automatique (PAZH) : suppression rétroactive des e-mails malveillants déjà livrés.
🤖 Réponse automatisée (ERA) : enquêtes et corrections automatiques des incidents détectés.
🔄 Gestion des incidents : centralisation des alertes et analyses de sécurité.

📌 Microsoft Defender for Office 365 dans le portail Microsoft Defender

🎯 Gestion centralisée des menaces et incidents via le portail Microsoft Defender → section E-mail et collaboration.

📌 Fonctionnalités principales du portail :

Stratégies et règles : configuration des politiques de sécurité.

Explorateur : identification et suppression des menaces.

Révision : gestion des e-mails en quarantaine.

Suivi des menaces : analyse des tendances des cyberattaques.

Simulation d’attaques : entraînement des utilisateurs aux menaces réelles.

Microsoft Defender for Endpoint est une plateforme de sécurité permettant de prévenir, détecter, examiner et répondre aux menaces avancées sur divers appareils (PC, mobiles, pare-feux, routeurs…).

Elle intègre des technologies Windows et cloud Microsoft, notamment :
✅ Capteurs comportementaux (collecte et analyse des signaux système).
✅ Analytique de sécurité cloud (détection et réponse aux menaces).
✅ Veille des menaces (identification des techniques utilisées par les attaquants).

Principales fonctionnalités :

🔍 Gestion des vulnérabilités : évaluation et correction des failles système.
🛡️ Réduction de la surface d’attaque : protection réseau et web, prévention des exploits.
🚀 Protection nouvelle génération : antivirus heuristique et cloud, mises à jour instantanées.
⚡ Détection et réponse avancées (EDR) : analyse des attaques en temps réel.
🤖 Investigation et correction automatisées (AIR) : réduction des alertes via l’IA.
📊 Évaluation de la sécurité des appareils : suivi des protections et recommandations.
🔎 Spécialistes des menaces Microsoft : assistance proactive pour les SOC.
🔗 Gestion et API : intégration avec Microsoft Defender et Intune.

Portail Microsoft Defender

📌 Accès centralisé aux outils de gestion des menaces, vulnérabilités et configurations.
📌 API & partenaires : automatisation et interconnexion avec Microsoft Entra ID.
📌 Explorateur d’API : requêtes interactives pour exploiter les données de sécurité.

🛠️ Disponible en deux plans : Defender for Endpoint Plan 1 et Plan 2 (comparatif dans la documentation Microsoft).

Microsoft Defender pour Identity est une solution cloud de détection et réponse aux menaces (IDTR) qui surveille les identités locales pour prévenir les cyberattaques.

🔹 Comment ça fonctionne ?

✅ Capteurs logiciels installés sur les contrôleurs de domaine et serveurs Active Directory.
✅ Surveillance des journaux d’événements et du trafic réseau pour identifier les comportements suspects.
✅ Envoi des données analysées au cloud Defender pour Identity pour une protection avancée.
✅ Intégration avec Microsoft Defender XDR pour une visibilité complète des menaces.

🔹 Les principales fonctionnalités

🔸 Évaluer la posture de sécurité des identités
🔹 Identification des comptes sensibles et des chemins de mouvement latéral risqués.
🔹 Insights via Microsoft Secure Score pour améliorer la sécurité.

🔸 Détection avancée des menaces
🔹 Surveillance en temps réel et détection d’anomalies via l’intelligence adaptative.
🔹 Identification des attaques sur toute la chaîne de cyberattaques :

• Reconnaissance : Tentatives d’énumération des comptes.
• Vol d’identifiants : Force brute, échecs d’authentification…
• Mouvements latéraux : Déplacements d’attaquants entre comptes.
• Domination du domaine : Prise de contrôle d’Active Directory.

🔸 Investigation et réponse rapide
🔹 Alertes pertinentes et triées pour éviter les faux positifs.
🔹 Chronologie des attaques pour une analyse efficace.

🔸 Actions correctives immédiates
✅ Désactiver un compte Active Directory compromis.
✅ Réinitialiser un mot de passe pour bloquer l’attaquant.
✅ Obliger une reconnexion via Microsoft Entra ID.

🔹 Une gestion centralisée

📌 Accessible via le portail Microsoft Defender avec :
📊 Tableau de bord des identités et des menaces.
⚠️ Page Problèmes d’intégrité pour surveiller le déploiement.
🔧 Outils et scripts pour configurer et valider l’environnement.

Avec l’essor du travail hybride, la protection des applications SaaS et des données sensibles devient un enjeu majeur. Microsoft Defender for Cloud Apps offre une sécurité avancée pour surveiller, détecter et répondre aux menaces dans le cloud.

🔹 CASB (Cloud Access Security Broker) : Protection en temps réel entre les utilisateurs et les ressources cloud.
🔹 Gestion de la posture de sécurité SaaS (SSPM) : Identification des mauvaises configurations et recommandations d’optimisation basées sur des standards du secteur.
🔹 Protection avancée contre les menaces (XDR) : Corrélation des signaux de détection et analyse comportementale (UEBA) pour une réponse proactive aux attaques.
🔹 Sécurisation des applications OAuth : Surveillance et gouvernance des permissions accordées aux applications tierces.

Fonctionnalités clés :

✅ Découverte des applications SaaS : Analyse du trafic pour identifier et évaluer les applications utilisées.
✅ Protection des informations sensibles : Classification des données et application de contrôles (ex. : suppression de collaborateurs externes sur des fichiers critiques).
✅ Contrôle d’accès adaptatif (AAC) : Renforcement de la sécurité des accès via une surveillance continue.

📌 Intégration au portail Microsoft Defender
Toutes les fonctionnalités de Microsoft Defender for Cloud Apps sont accessibles depuis le portail Microsoft Defender, centralisant la surveillance et la gestion des identités, données, applications et infrastructures cloud.

Gestion des menaces et des vulnérabilités offre une visibilité complète sur les ressources et des outils de correction intégrés pour Windows, macOS, Linux, Android, iOS et le réseau.

🚀 Principales fonctionnalités

✅ Surveillance continue 🕵️‍♂️

• Scanners intégrés sans agent : détectent les risques même hors réseau.
• Inventaires consolidés : logiciels, certificats, extensions, matériel, microprogrammes.

✅ Hiérarchisation des vulnérabilités 🔥

• Analyse intelligente basée sur les risques 📊 : veille Microsoft, prévisions d’attaques, contexte métier.
• Focus sur les menaces critiques et vulnérabilités exploitées 🎯.
• Vue consolidée des vulnérabilités CVE et des appareils exposés.

✅ Correction et suivi 🛠️

• Tâches de correction intégrées via Microsoft Intune.
• Blocage des applications vulnérables.
• Surveillance en temps réel de l’état de correction.

🎛️ Portail Microsoft Defender

📌 Tableau de bord : Score d’exposition, suggestions clés, vulnérabilités.
📌 Suggestions de sécurité : Menaces identifiées, actions recommandées.
📌 Correction : Suivi des correctifs et tâches de sécurité.
📌 Inventaires logiciels : Liste des logiciels installés et failles détectées.
📌 Gestion des vulnérabilités CVE : Détails sur la gravité et le risque.
📌 Chronologie des événements : Suivi des nouvelles vulnérabilités et exploits.
📌 Évaluations des bases de référence : Conformité aux standards de sécurité.

🔍 Accès via le nœud « Gestion des menaces et des vulnérabilités » sous Points de terminaison.

Defender TI simplifie le triage, la chasse aux menaces, la gestion des vulnérabilités et la réponse aux incidents en centralisant et enrichissant les données critiques.

🔹 Problèmes actuels des analystes

• Trop de temps passé à rechercher et corréler des données (DNS, WHOIS, malwares, SSL, CVE).
• Accès fragmenté à l’information, ralentissant l’investigation et l’action.
• Besoin d’une évaluation rapide et précise des alertes et infrastructures suspectes.

🔹 Solution apportée par Defender TI
✅ Agrégation des données dans une interface unique.
✅ Corrélation automatique entre indicateurs de compromission (IOC), profils d’acteurs et vulnérabilités.
✅ Collaboration simplifiée entre analystes d’un même locataire.
✅ Recherche rapide par mot-clé, indicateur ou ID CVE pour une action immédiate.

📌 Fonctionnalités clés

🔹 Articles Defender TI

• Fournissent des insights actionnables sur les menaces, outils et vulnérabilités.
• Incluent des liens vers des indicateurs pour bloquer les attaques.

🔹 Analyse des vulnérabilités (CVE)

• Articles dédiés aux CVE avec priorisation des risques selon CVSS, exploits connus et discussions sur le dark web.

🔹 Scoring de réputation

• Évalue la fiabilité d’une IP, d’un domaine ou d’un hôte.
• Analyse de l’infrastructure et des connexions malveillantes.

🔹 Insights des analystes

• Distille les données Microsoft en observations exploitables pour tous les niveaux d’analystes.

🔹 Jeux de données intégrés
📌 Sources analysées :

• DNS, WHOIS, Certificats SSL, Sous-domaines
• Détonation d’URL & fichiers
• Composants et cookies identifiés
• Paires d’hôtes et trackers

🔹 Gestion avancée des incidents

• Projets : Organisation et partage des investigations entre analystes.
• Tags personnalisés : Annotation des indicateurs pour enrichir les analyses.

🔹 Sécurité & Confidentialité

Réplication régionale assurant la continuité du service.

Stockage des données client dans la région choisie.

Adresses IP des utilisateurs conservées 30 jours pour prévenir les abus.

Microsoft propose une plateforme de sécurité unifiée intégrant SIEM, XDR, gestion des postures et veille des menaces avec une IA avancée.

💡 Accès via le portail Microsoft Defender (nécessite un rôle adéquat dans Entra ID : Administrateur général, Sécurité, Opérateur, Lecteur).

🔹 Fonctionnalités principales :

• Vue centralisée sur la posture de sécurité de l’organisation.
• Navigation personnalisable selon les besoins opérationnels.
• Accès rapide à Microsoft Sentinel et aux services Defender XDR.

🔍 Gestion de l’exposition (Security Exposure Management)

➡️ Vue unifiée des risques et de la posture de sécurité.
➡️ Analyse des surfaces d’attaque et simulation des chemins d’attaque.
➡️ Insights de sécurité basés sur des données consolidées.
➡️ Degré de sécurisation (score) pour évaluer et améliorer la protection.

🛡️ Investigation et réponse

➡️ Incidents et alertes : Vue complète d’une attaque, avec historique, ressources impactées et réponses prises.
➡️ Chasse aux menaces : Analyse proactive via KQL et Microsoft Security Copilot.
➡️ Actions et soumissions : Centralisation des corrections et soumissions d’e-mails malveillants.
➡️ Catalogue de partenaires : Solutions tierces pour renforcer la détection et la réponse aux menaces.

🖥️ Gestion des ressources & intégration avec Microsoft Sentinel

➡️ Inventaire des ressources protégées : Suivi des appareils et identités.
➡️ Intégration avec Microsoft Sentinel : File d’attente unifiée des incidents.

📊 Optimisation SOC & Rapports

➡️ Optimisation des processus SOC pour maximiser l’efficacité des contrôles de sécurité.
➡️ Rapports unifiés sur la sécurité des terminaux, messagerie, cloud et infrastructures.

📚 Ressources et formation : Hub d’apprentissage Microsoft Learn accessible directement.
⚙️ Paramètres système : Gestion des permissions et de l’intégrité des services.

💡 Bénéfices clés : Simplification, centralisation, automatisation et IA avancée pour une meilleure sécurité organisationnelle.

Le Portail d’Approbation de Services (STP) est la plateforme où Microsoft publie ses rapports d’audit et informations de conformité pour ses services cloud. Il permet aux entreprises d’accéder à des documents essentiels sur la sécurité, la conformité et la protection des données.

🌐 Accès au Portail STP

🔑 Connexion requise avec un compte Microsoft Entra (anciennement Azure AD).
📜 Acceptation d’un accord de non-divulgation (NDA) pour consulter certains documents confidentiels.

📁 Catégories de Contenu

📌 1️⃣ Certifications, Réglementations et Normes
✅ Détails sur la sécurité et conformité des services cloud Microsoft.
✅ Documents disponibles sur des normes comme ISO/IEC, SOC, FedRAMP, RGPD.

📌 2️⃣ Rapports, Livres Blancs et Artefacts
📄 BCP & DR : Plans de continuité et reprise d’activité.
📄 Tests de sécurité : Rapports d’évaluation et tests d’intrusion.
📄 Confidentialité & Protection des données : Ressources sur la protection des données.
📄 FAQ & Livres Blancs : Réponses aux questions fréquentes.

📌 3️⃣ Ressources Sectorielles et Régionales
🏦 Finance : Conformité spécifique par pays.
🏥 Santé & Sciences de la vie : Sécurité des données patients.
🎬 Médias & Divertissements : Sécurisation des contenus.
🇺🇸 Gouvernement US : Conformité spécifique aux agences fédérales.
🌍 Ressources Régionales : Conformité aux réglementations locales.

📌 4️⃣ Ressources pour Votre Organisation
📌 Documents personnalisés selon votre abonnement et vos autorisations.

📚 Fonctionnalité « Ma Bibliothèque »

📥 Ajoutez des documents à votre bibliothèque personnelle.
📩 Recevez des notifications par e-mail lors de mises à jour.

🚀 Pourquoi utiliser le Portail STP ?

✔️ Accédez aux rapports d’audit et certifications pour assurer la conformité.
✔️ Téléchargez des guides et recommandations pour renforcer la sécurité cloud.
✔️ Restez informé des mises à jour et évolutions réglementaires.

Microsoft place la confidentialité et la protection des données au cœur de ses services. L’entreprise garantit à ses utilisateurs contrôle, transparence et sécurité dans la gestion de leurs données personnelles et professionnelles.

🏛 Les 6 Principes Clés de Microsoft en Matière de Vie Privée

🔹 1️⃣ Contrôle
✅ Vous gardez le contrôle total sur vos données.
✅ Possibilité de modifier, exporter ou supprimer vos informations à tout moment.
✅ Aucune utilisation de vos données sans votre consentement explicite.

🔹 2️⃣ Transparence
✅ Explication claire de la collecte et de l’utilisation des données.
✅ Sous-traitants audités et tenus aux mêmes engagements de confidentialité.
✅ Liste des sous-traitants disponible dans le Portail d’Approbation de Services.

🔹 3️⃣ Sécurité
✅ Chiffrement avancé des données au repos et en transit.
✅ Azure Key Vault pour sécuriser les clés et mots de passe.
✅ Double couche de chiffrement pour éviter toute compromission.

🔹 4️⃣ Protection Légale
✅ Respect des lois locales sur la confidentialité.
✅ Aucune transmission de données aux gouvernements sans base légale claire.
✅ Notification aux clients en cas de demande d’accès aux données (sauf interdiction légale).

🔹 5️⃣ Aucun Ciblage Publicitaire
✅ Microsoft n’exploite pas vos e-mails, conversations ou fichiers pour afficher des publicités.
✅ Aucun partage de données avec des annonceurs ou partenaires marketing.

🔹 6️⃣ Amélioration Continue des Services
✅ Résolution des problèmes : analyse des données pour prévenir et corriger les erreurs.
✅ Fiabilité accrue : mise en place d’améliorations basées sur l’analyse des données.
✅ Expérience personnalisée : adaptation des services selon les préférences de l’utilisateur.

La confidentialité est une priorité pour les entreprises et les consommateurs. Avec des réglementations strictes, les organisations doivent garantir la protection des données personnelles et adopter une approche de « confidentialité par défaut ».

🔹 Microsoft Priva offre une suite d’outils intégrés pour :
✔ Consolider la protection des données
✔ Simplifier la conformité aux réglementations
✔ Réduire les risques liés à la confidentialité

📌 Les solutions Microsoft Priva :

🔍 1. Gestion des risques de confidentialité
✅ Détecte et corrige les risques liés à la confidentialité
✅ Limite la surexposition des données dans Microsoft 365 et les environnements multicloud
✅ Surveille et atténue les transferts de données entre services et régions
✅ Réduit la conservation des données en identifiant celles à supprimer

📩 2. Demandes de droits des personnes concernées (DSR/DSAR)
✅ Automatise la gestion des demandes d’accès et de suppression des données personnelles
✅ Recherche et traite les données dans Microsoft 365 et autres sources externes (préversion)

📜 3. Gestion du consentement (préversion)
✅ Centralise et simplifie la gestion du consentement des utilisateurs
✅ Crée des modèles personnalisés et multilingues pour répondre aux réglementations

📊 4. Évaluations de confidentialité (préversion)
✅ Automatise la découverte et l’évaluation de l’utilisation des données personnelles
✅ Fournit un dossier de conformité clair et à jour

🕵️ 5. Analyse du suivi (préversion)
✅ Automatise l’identification des technologies de suivi web (cookies, trackers)
✅ Assure la conformité aux réglementations en matière de suivi

💼 🆕 Portail Priva (préversion)
Une interface unifiée pour gérer toutes les solutions Microsoft Priva, avec des outils avancés pour la navigation, les paramètres et la gestion des rôles.

🚀 Pourquoi adopter Microsoft Priva ?

✔ Optimise la gestion des risques liés aux données
✔ Facilite la conformité aux réglementations internationales
✔ Renforce la confiance des clients en protégeant leurs informations

Le portail de conformité Microsoft Purview est une plateforme centralisée pour gérer la conformité, la protection des données et les risques au sein de Microsoft 365.

🔹 Fonctionnalités clés :

Gouvernance : Politiques de conservation et suppression des données.

Conformité : Score de conformité, évaluations réglementaires (GDPR, ISO, etc.).

Protection des données : Étiquetage, chiffrement, prévention des pertes (DLP).

Gestion des risques : Détection des menaces internes, surveillance des accès.

E-Discovery & Audit : Recherche de données, suivi des activités.

Le Gestionnaire de conformité Microsoft Purview aide les organisations à évaluer et gérer leur conformité dans un environnement multicloud, en simplifiant la gestion des risques et des exigences réglementaires.

📌 Fonctionnalités clés :

✅ Évaluations prédéfinies et personnalisées pour répondre aux normes et réglementations.
✅ Flux de travail automatisés pour gérer les évaluations des risques.
✅ Actions d’amélioration guidées pour respecter les normes.
✅ Score de conformité pour suivre l’état global de la conformité.
✅ Tableau de bord centralisé affichant les actions prioritaires.

📋 Éléments essentiels :

• Contrôles : Définissent les exigences à respecter (gérés par Microsoft, par l’organisation ou partagés).
• Évaluations : Groupements de contrôles permettant de répondre aux exigences réglementaires.
• Réglementations : Plus de 360 modèles pour créer des évaluations conformes.
• Actions d’amélioration : Recommandations pour aligner l’organisation aux normes de protection des données.

🎯 Avantages :

✔ Simplifie la conformité en traduisant les exigences en actions concrètes.
✔ Offre des évaluations prêtes à l’emploi et des modèles personnalisables.
✔ Priorise les actions avec le plus fort impact sur la conformité.
✔ Aide à réduire les risques liés aux données et aux obligations légales.

Le Gestionnaire de conformité vous accorde des points pour l’exécution des actions d’amélioration effectuées pour se conformer à une réglementation, à une norme ou à une stratégie, et combine ces points dans un score de conformité global. Chaque action a un impact différent sur votre score en fonction des risques potentiels impliqués. Votre score de conformité peut vous aider à hiérarchiser l’action sur laquelle vous souhaitez vous concentrer pour améliorer votre posture de conformité globale. Le Gestionnaire de conformité vous donne un score initial basé sur la base de référence de protection des données Microsoft 365. Cette base de référence est un ensemble de contrôles qui inclut des réglementations et des normes clés pour la protection des données et la gouvernance générale des données.

Les organisations doivent identifier et gérer leurs données sensibles pour assurer la conformité et la protection de leur patrimoine informationnel. Microsoft Purview propose des fonctionnalités avancées de classification et d’exploration des données accessibles via son portail.

📌 Types d’informations sensibles (SIT)

Les SIT (Sensitive Information Types) sont des classifieurs basés sur des modèles permettant d’identifier des données sensibles grâce à des expressions régulières (regex) ou des fonctions spécifiques.

Exemples de types d’informations sensibles intégrés :
✔️ Numéros de carte de crédit
✔️ Passeports ou numéros d’identification
✔️ Numéros de comptes bancaires
✔️ Numéros de sécurité sociale

👉 Une organisation peut également créer ses propres SIT personnalisés, par exemple pour des ID d’employés ou des numéros de projet.

🔹 Classification par correspondance exacte des données (EDM) : permet d’identifier précisément des données en les comparant à une base de référence (ex. : base de données client).

Les types d’informations sensibles sont utilisés dans diverses solutions Microsoft :
✅ Étiquettes de confidentialité 🔒
✅ Étiquettes de rétention ⏳
✅ Solutions Microsoft Purview & Microsoft Priva

🤖 Classificateurs Intelligents (IA & Machine Learning)

Microsoft Purview propose deux types de classificateurs basés sur l’IA :

1️⃣ Classifieurs préentraînés (Prêts à l’emploi ✅)

Microsoft fournit des classificateurs intégrés capables de détecter des contenus spécifiques, comme :
📄 CV
💻 Code source
🚨 Harcèlement & menaces
🚫 Injures

2️⃣ Classifieurs personnalisés (Entraînement sur mesure 📊)

Les organisations peuvent entraîner leurs propres classificateurs pour détecter des contenus spécifiques (ex. contrats, factures, documents internes).

• 📍 Processus : collecte d’exemples, entraînement du modèle, validation et déploiement
• 🔑 Utilisation : SharePoint, Exchange, OneDrive

⚠️ Actuellement, les classificateurs ne fonctionnent que sur les éléments non chiffrés.

📊 Explorer et Analyser les Données

🔎 Le portail Microsoft Purview propose des outils pour comprendre et surveiller les données sensibles :

📂 Explorateur de Contenus

📌 Fournit un aperçu des fichiers classifiés selon leurs étiquettes et types d’informations sensibles.
📌 Permet aux administrateurs d’examiner le contenu source stocké dans Exchange, SharePoint et OneDrive.
⚠️ Accès restreint aux utilisateurs disposant des rôles appropriés.

📊 Explorateur d’Activités

📌 Offre une visibilité sur les actions réalisées sur les données sensibles :
✅ Modifications et rétrogradations d’étiquettes (ex. : changement de « confidentiel » à « public »)
✅ Copie de fichiers sur un support amovible ou un partage réseau
📌 Permet aux administrateurs d’évaluer l’efficacité des contrôles en place.

🎯 Objectif : garantir que les données sensibles sont protégées et utilisées conformément aux politiques de l’organisation.

Les organisations doivent protéger leurs données, garantir la sécurité des clients et des opérations, et répondre aux normes de conformité. Microsoft Purview permet d’y parvenir grâce à des étiquettes de confidentialité et des stratégies adaptées.

🛡️ Étiquettes de confidentialité

Les étiquettes de confidentialité permettent de classer et protéger les données sans impacter la productivité. Elles fonctionnent comme des tampons appliqués aux documents physiques.

📌 Principales caractéristiques

✔ Personnalisables 🎨 : Catégories définies par l’organisation (Public, Confidentiel, Hautement confidentiel…).
✔ Lisibles en texte clair 📖 : Stockées dans les métadonnées, accessibles par des services tiers.
✔ Persistantes 🔄 : Elles suivent les e-mails/documents avec leurs paramètres de protection.
✔ Exclusives 🏷️ : Un seul label appliqué par document à un instant donné.

⚙️ Configuration avancée

🔹 Chiffrement 🔐 : Protection des e-mails et documents.
🔹 Marquage du contenu 🖼️ : Ajout de filigranes, en-têtes, pieds de page (dans Office).
🔹 Étiquetage automatique 🤖 : Basé sur la détection d’informations sensibles.
🔹 Protection des conteneurs 📂 : Contrôle des accès à SharePoint, Groupes M365.
🔹 Extension aux applications/services tiers 🛠️ : Via le SDK Microsoft Purview.
🔹 Classification sans protection 🏷️ : Simple suivi des données sensibles.

📜 Stratégies d’étiquettes

Les étiquettes doivent être publiées via des stratégies pour être accessibles aux utilisateurs. Elles sont ensuite visibles dans Microsoft 365 (Word, Outlook, SharePoint…).

🛠️ Fonctions des stratégies

✅ Définir les utilisateurs/groupes autorisés à voir les étiquettes.
✅ Appliquer une étiquette par défaut sur les nouveaux documents/e-mails.
✅ Exiger une justification pour modifier une étiquette.
✅ Imposer l’étiquetage obligatoire avant l’enregistrement/envoi.
✅ Rediriger vers une page d’aide personnalisée pour guider les utilisateurs.

Une fois appliquée, une étiquette de confidentialité assure la protection continue des données, en restreignant l’accès et en traçant les activités.

La perte de données peut impacter les clients, les processus d’entreprise et l’organisation elle-même. Microsoft Purview DLP permet de détecter les comportements à risque et d’empêcher le partage inapproprié d’informations sensibles grâce à des stratégies DLP.

📌 Où s’applique DLP ?

DLP surveille et protège les éléments sensibles dans :
✔ Microsoft 365 (Teams, Exchange, SharePoint, OneDrive)
✔ Applications Office (Word, Excel, PowerPoint)
✔ Points de terminaison (Windows 10, 11, macOS)
✔ Applications cloud & fichiers locaux (SharePoint, partages de fichiers)
✔ Power BI

DLP analyse en profondeur le contenu avec des expressions régulières, des validations fonctionnelles et l’intelligence artificielle (machine learning).

🔒 Actions de protection DLP

Les stratégies DLP permettent de :
✔ Alerter les utilisateurs avec un conseil de stratégie.
✔ Bloquer le partage, avec ou sans possibilité de passer outre.
✔ Isoler les fichiers sensibles dans un espace sécurisé.
✔ Empêcher l’affichage d’informations sensibles dans Teams.
✔ Enregistrer les activités dans le journal d’audit et l’Explorateur d’activités.

🛠️ Création et gestion des stratégies DLP

💡 Vous pouvez utiliser des modèles prédéfinis (financier, médical, réglementaire) ou créer des stratégies personnalisées.

📌 Étapes clés pour configurer une stratégie DLP :
1️⃣ Définir les types de données sensibles à surveiller.
2️⃣ Déterminer l’étendue (organisation complète ou unités spécifiques).
3️⃣ Choisir l’emplacement (Exchange, SharePoint, OneDrive, etc.).
4️⃣ Fixer les conditions déclenchant la stratégie.
5️⃣ Appliquer les actions de protection nécessaires.

🖥️ DLP pour les points de terminaison

Sur Windows et macOS, DLP surveille les actions sensibles telles que :
✔ Création, renommage, copie et impression de fichiers
✔ Transferts vers supports amovibles ou partagés
✔ Accès avec des applications et navigateurs non autorisés

💬 DLP dans Microsoft Teams

DLP s’applique aux messages et fichiers échangés dans les conversations et canaux privés.
🔹 Un message contenant des données sensibles peut être bloqué avec une alerte explicative.
🔹 Les utilisateurs peuvent voir pourquoi une stratégie a été déclenchée et les actions possibles.

🤖 Intégration à Microsoft Security Copilot

✔ Résumé automatique des alertes DLP dans Microsoft Security Copilot.
✔ Possibilité d’utiliser des prompts intégrés pour analyser les alertes et incidents.

📢 Avantage : Une gestion plus efficace des menaces et incidents liés à la perte de données.

Les entreprises doivent gérer leurs enregistrements réglementaires, juridiques et stratégiques afin de garantir leur conformité et optimiser la gestion des données.
Microsoft Purview offre une solution pour répondre aux obligations légales, tout en améliorant l’efficacité grâce à la suppression automatisée des contenus devenus inutiles.

🛠️ Fonctionnalités principales :

✔️ Étiquetage du contenu en tant qu’enregistrement.
✔️ Stratégies de rétention et de suppression intégrées aux étiquettes d’enregistrement.
✔️ Rétention basée sur des événements (déclenchement automatique).
✔️ Validation et preuve de suppression des enregistrements.
✔️ Journalisation des actions effectuées sur les enregistrements.
✔️ Exportation des informations des éléments supprimés.

🔍 Fonctionnement des enregistrements

Lorsqu’un contenu est marqué comme enregistrement via une étiquette de rétention, il subit plusieurs restrictions :
🔹 Blocage de certaines actions pour éviter toute suppression involontaire.
🔹 Suivi des activités grâce à la journalisation.
🔹 Conservation des preuves de disposition à la fin de la période de rétention.

👨‍💻 Configuration par l’administrateur :
Un administrateur peut appliquer manuellement ou automatiquement des étiquettes pour classer les documents et e-mails comme enregistrements.

📌 Différence entre Enregistrements et Enregistrements Réglementaires

Les enregistrements classiques et réglementaires diffèrent par leur niveau de restriction :

🔹 Enregistrement standard : peut être modifié ou supprimé selon la stratégie définie.
🔹 Enregistrement réglementaire (🔒 Verrouillé) :

• Impossible à supprimer, même par un administrateur général.
• Période de rétention irréversible une fois appliquée.
• ⚠️ Doit être activé via PowerShell (non disponible par défaut).

📌 À noter : Marquer un élément comme enregistrement réglementaire peut avoir des conséquences irréversibles et doit être utilisé avec précaution.

📂 Cas d’utilisation de Microsoft Purview

✅ Appliquer manuellement ou automatiquement des actions de rétention et de suppression sur documents et e-mails.
✅ Définir des stratégies de rétention par défaut dans SharePoint (bibliothèques, dossiers, ensembles de documents).
✅ Appliquer des règles Outlook pour la suppression et la rétention des e-mails.
✅ Former les utilisateurs pour garantir une utilisation correcte et conforme.

Microsoft Purview permet de conserver et supprimer le contenu selon les exigences de conformité et réglementaires, réduisant ainsi les risques et la surface d’attaque.

Outils clés :

✅ Stratégies de rétention : appliquées au niveau des sites ou boîtes aux lettres pour uniformiser la conservation.
✅ Étiquettes de rétention : appliquées au niveau des éléments individuels (documents, e-mails).

Options de gestion du contenu :

🔹 Conservation seule : empêche la suppression définitive.
🔹 Suppression seule : élimine le contenu après une période définie.
🔹 Conserver & supprimer : garde le contenu pendant une durée spécifique, puis le supprime définitivement.

Fonctionnalités avancées :

📌 Les stratégies de rétention affectent les emplacements globaux mais n’accompagnent pas les éléments déplacés.
📌 Les étiquettes de rétention suivent les documents lors des déplacements internes à Microsoft 365 et peuvent être appliquées automatiquement selon des conditions définies.
📌 Une révision de disposition est possible avant suppression définitive.

💡 Cas d’usage :

Certains documents du site nécessitant une conservation de 10 ans -> appliquer une étiquette de rétention spécifique.

Un site SharePoint nécessitant une conservation de 5 ans -> utiliser une stratégie de rétention.

Microsoft Purview – Gestion des enregistrements permet aux organisations de respecter leurs obligations légales, de démontrer leur conformité et d’optimiser la gestion des données en supprimant les éléments devenus inutiles.

Principales fonctionnalités :

✅ Étiquetage du contenu en tant qu’enregistrement.
✅ Stratégies de rétention et de suppression au sein des étiquettes d’enregistrement.
✅ Rétention basée sur des événements déclencheurs.
✅ Validation et preuve de suppression des enregistrements.
✅ Exportation des informations sur les éléments supprimés.

Effets de l’étiquetage en tant qu’enregistrement :

🔹 Restrictions appliquées pour empêcher certaines actions.
🔹 Journalisation des activités pour assurer la traçabilité.
🔹 Preuve de disposition à la fin de la période de rétention.

💡 Enregistrements réglementaires vs Enregistrements classiques :
🔒 Enregistrements réglementaires offrent des restrictions renforcées :

• L’étiquette ne peut pas être supprimée, même par un administrateur.
• La période de rétention ne peut pas être raccourcie une fois appliquée.
  ⚠️ Cette option doit être activée manuellement via PowerShell car elle est irréversible.

Cas d’usage courants :

📌 Application manuelle par les administrateurs et utilisateurs sur documents & e-mails.
📌 Application automatique via stratégies préconfigurées.
📌 Définition d’actions de rétention pour SharePoint (bibliothèques, dossiers, ensembles de documents).
📌 Utilisation de règles Outlook pour appliquer la rétention sur les e-mails.

🔍 Objectif :

Microsoft Purview permet aux organisations de détecter, investiguer et agir sur des activités risquées et malveillantes internes.

🚨 Types de risques internes :

• Fuites de données (y compris sensibles)
• Violations de confidentialité
• Vol de propriété intellectuelle
• Fraude
• Échanges internes risqués
• Violations des réglementations

🎯 Principes clés :

• Transparence : équilibre entre confidentialité des utilisateurs et gestion des risques
• Configurabilité : stratégies adaptées aux secteurs et unités commerciales
• Intégration : workflow fluide avec Microsoft Purview
• Actionabilité : notifications, investigations et suivi des risques

📌 Workflow de Gestion des Risques Internes

1️⃣ Stratégies : Créées via modèles prédéfinis, elles définissent les indicateurs de risque surveillés dans Microsoft 365.
2️⃣ Alertes : Générées automatiquement en cas de détection d’activités suspectes. Vue centralisée des alertes dans Microsoft Defender.
3️⃣ Triage : Les alertes critiques sont examinées et classées par gravité et pertinence.
4️⃣ Investigation : Les alertes nécessitant un examen approfondi sont transformées en cas avec des outils comme :

• Activité utilisateur : analyse des tendances et comportements à risque
• Explorateur de contenu : accès aux fichiers et e-mails liés à l’alerte
• Remarques sur le cas : suivi des actions et décisions
  5️⃣ Action : Résolution des incidents via notifications, collaboration interne, ou remontée du cas vers eDiscovery en cas de besoin.

🤖 Intégration avec Microsoft Security Copilot

💡 Résumé automatique des alertes avec Copilot pour accélérer l’analyse et la prise de décision.
📌 Accès à Copilot directement depuis la file d’attente des alertes pour obtenir un résumé détaillé.

eDiscovery est un outil Microsoft Purview permettant d’identifier, d’examiner et de gérer du contenu électronique utilisé comme preuve dans des enquêtes. Disponible via le portail Microsoft Purview, il remplace les anciennes versions Standard et Premium par une interface unifiée.

Accès et compatibilité

eDiscovery est accessible sous condition d’autorisations adéquates et prend en charge :
✅ Exchange Online
✅ Microsoft Teams
✅ Groupes Microsoft 365
✅ OneDrive & SharePoint
✅ Viva Engage

🔴 ⚠ Fin 2024 : Le portail de conformité Microsoft Purview sera retiré, et eDiscovery sera exclusivement disponible via Microsoft Purview.

Workflow eDiscovery

1️⃣ Déclenchement : Un événement nécessite une enquête.
2️⃣ Création & gestion de cas : Un cas regroupe recherches, archives et jeux à réviser.
3️⃣ Recherche et affinement : Recherche avancée dans les contenus.
4️⃣ Actions :

• 📤 Exporter les résultats.
• 🔒 Créer des jeux à réviser (Stockage Azure sécurisé).
• 🗂️ Créer des archives pour préserver les éléments.
  5️⃣ Examen & décisions :
• 🔍 Analyse des données.
• 🏷️ Étiquetage du contenu.
• 📂 Exportation pour analyse externe.

Fonctionnalités principales

✔ Recherche avancée : Sur Exchange, OneDrive, Teams, SharePoint…
✔ Exportation des résultats vers un PC local.
✔ Mise en attente des contenus pour éviter leur suppression.
✔ Jeux à réviser (Premium) : Stockage Azure sécurisé pour analyse et tri.
✔ OCR (Premium) : Extraction de texte depuis les images.
✔ Threading de conversations (Premium) : Restauration complète des discussions Teams/Viva Engage.

🚀 Intégration avec Microsoft Security Copilot

🤖 Résumé contextuel des preuves : Synthèse automatique des éléments collectés.
🗣️ Requêtes en langage naturel : Génération automatique de requêtes KeyQL via Copilot.
📄 Analyse intelligente des documents, réunions et pièces jointes.

Les solutions d’audit de Microsoft Purview permettent aux organisations de :
✅ Répondre aux incidents de sécurité
✅ Mener des investigations (médico-légales, internes, conformité, risques d’initié)
✅ Assurer la traçabilité des actions utilisateur et administrateur

Toutes les activités enregistrées sont stockées dans le journal d’audit unifié et accessibles aux administrateurs et responsables de la sécurité.

🛠️ Deux solutions d’audit

1️⃣ Audit (Standard)
🔹 Activé par défaut pour les organisations éligibles
🔹 Conservation des enregistrements : 180 jours
🔹 Consultation des journaux via :

• Portail Microsoft Purview
• API Activité de gestion Office 365
• Cmdlet PowerShell (Search-UnifiedAuditLog)
  🔹 Exportation possible en CSV pour une analyse approfondie

2️⃣ Audit (Premium) – Fonctionnalités avancées
⭐ Rétention prolongée des journaux d’audit :

• Jusqu’à 1 an (ou 10 ans avec un module complémentaire)
• Exchange, OneDrive, SharePoint, Entra ID → 1 an par défaut
• Autres activités → 180 jours par défaut (modifiable)
  ⭐ Insights intelligents :
• Suivi détaillé des e-mails (lecture, réponse, transfert)
• Historique des recherches utilisateurs dans Exchange & SharePoint
  ⭐ Bande passante étendue pour l’API de gestion Office 365

📜 Gestion des licences

👉 Nécessite un abonnement organisationnel et des licences utilisateur spécifiques

🔐 Audit & Microsoft Security Copilot

🚀 Si activé, Security Copilot enregistre les actions utilisateur et administrateur via Microsoft Purview.
📌 L’audit est activé par défaut, mais lors de la configuration d’une nouvelle organisation, il faut vérifier son activation.