Renforcer sa sécurité sur Microsoft 365 peut être un processus complexe. Nos experts vous partagent des astuces et exemples concrets pour surmonter les difficultés !
Quel constat dressez-vous sur la sécurité Microsoft 365 de vos clients ?
Avec l’explosion des outils collaboratifs et les nouveaux usages numériques induits par le télétravail, l’utilisation quotidienne de Microsoft 365 a explosé ces dernières années. La maturité digitale des entreprises doit donc évoluer, car la complexité du processus de sécurisation de la plateforme 365 – qui évolue sans cesse – fait qu’un manque de paramétrage peut augmenter certains risques de sécurité, comme la compromission.
Trop souvent, nos clients utilisent (ou laissent mettre en place) les paramètres de sécurité par défaut de Microsoft 365. Notre rôle est donc de leur permettre d’exploiter l’entièreté de la plateforme, et de mettre en place des mécanismes de sécurité pour fermer le plus possible de portes d’entrée aux cyberattaquants – sans contraindre pour autant leurs usages.
Comment procédez-vous pour sécuriser Microsoft 365 chez vos clients ?
Chez Advens, nous commençons souvent par effectuer des diagnostics techniques et organisationnels sur la sécurité globale de la plateforme, et ce à travers l’analyse d’une centaine de points de sécurité. Comme l’ensemble des applications sur Microsoft 365 sont toutes liées, il est important de faire un constat global sur la configuration de tous les outils tels que :
- Teams,
- Sharepoint,
- Azure AD,
- Exchange,
- Intune.
Le résultat de ces évaluations nous indique alors le niveau de maturité de nos clients en matière de sécurité. Nous leur fournissons une liste d’actions correctives à déployer, qui sont toutes contextualisées et priorisées.
Chiffre-clé
90 % des diagnostics réalisés montraient des pistes d’amélioration importantes.
Nos équipes aident ensuite nos clients à lancer ces chantiers, et il nous tient à cœur de contrôler leur déploiement sur la durée. Cela passe notamment par des formations, pour prendre en main les fonctionnalités les plus complexes de la plateforme.
Quelles difficultés rencontrez-vous le plus souvent ?
En effectuant nos diagnostics sur Azure AD, il nous est arrivé à plusieurs reprises d’être témoins de compromissions en cours. À trois reprises, nous avons identifié des connexions provenant de pays où l’entreprise n’était pas implantée, qui étaient dues à des compromissions d’identifiants.
Dans ce cas-là, nos experts interviennent en urgence pour remédier à cet incident de sécurité.
Ce genre de situation permet également de mettre en lumière les potentiels points de vulnérabilité sur la partie détection et remédiation de la menace de nos clients. La plupart du temps, nous étudions des alternatives pour améliorer cette capacité de détection et de remédiation de nos clients, notamment à travers le choix d’un SOC.
La protection de la messagerie est aussi un point délicat, car chaque action menée peut vite impacter l’activité de l’entreprise. C’est notamment le cas lorsque nous devons mettre en place des mesures d’anti-usurpation d’identité telles que SPF, DKIM et DMARC. Ces mécanismes n’appartenant pas à Microsoft, ils peuvent soulever des difficultés au moment de leur implémentation.
Si l’entreprise a l’habitude d’enregistrer des domaines, de créer des sites, et qu’un nettoyage de fond n’a pas été effectué, on ne sait pas quel effet cela pourra avoir sur la messagerie : ne plus recevoir de mails, recevoir des mails taggés comme étant malveillants par erreur… Et in fine, cela risque de paralyser toute l’activité de l’entreprise !
Enfin, l’une des difficultés majeures pour sécuriser Microsoft 365, c’est de faire face à son évolution constante, notamment au niveau du paramétrage : il est souvent difficile de retrouver les différents menus et de rester à la page. On recense environ un nouveau changement chaque semaine chez Microsoft !
Avez-vous des exemples concrets d’actions à mettre en place ?
En ce qui concerne les comptes administrateurs, il faut établir le principe de moindre privilège – c’est-à-dire donner systématiquement à une personne les droits les plus limités possibles, quitte à lui octroyer des droits supplémentaires au moment où il en a besoin. Sur Microsoft, une centaine de rôles différents sont disponibles.
Chez Advens, nous recommandons aussi d’utiliser une nomenclature particulière pour les administrateurs lors de la création de leurs emails, comme par exemple : admin-XXX@<domaineentreprise>.onmicrosoft.com. Cela évitera que l’adresse mail de l’administrateur puisse se retrouver dans la partie de l’annuaire accessible sur Outlook. Il faut également que ces comptes soient nominatifs et différents de ceux utilisés en bureautique.
En général, le mieux est de :
- limiter le nombre d’administrateurs à 4 ;
- diminuer le temps de session des administrateurs ;
- garantir une authentification forte ;
- supprimer les licences des comptes qui n’en ont pas besoin pour fonctionner, afin de diminuer la surface d’attaque.
Gardez en tête que des compromissions de comptes vont forcément arriver un jour ou l’autre. Il faut surtout savoir quelles actions déployer en cas de compromission :
- Comment révoquer une session ?
- Comment changer un mot de passe ?
- Comment investiguer (règles de messagerie, règles cachées, connexions, actions…) ?
- Comment désactiver la synchronisation avec Sharepoint et Teams pour éviter une propagation du virus ?
Avez-vous constaté des premiers résultats probants suite au renforcement de la sécurité Microsoft 365 chez vos clients ?
Sur la partie diagnostic, nos clients sont assez satisfaits car nous offrons un rapport clé en main qui permet de déployer des actions concrètes en toute autonomie.
En ce qui concerne la partie remédiation, les clients se rendent souvent compte qu’ils n’ont pas les compétences en interne et qu’il faut faire appel à une expertise externe – notamment lors des compromissions, pour choisir les actions à déployer face à l’urgence.
Qui dit transformation numérique, dit nécessité de développer de nouvelles compétences techniques et organisationnelles. Pour sécuriser Microsoft 365, il faut repenser toute sa gouvernance et adopter une vision transverse du diagnostic. Les incidents de sécurité à répétition révèlent également un besoin croissant de stratégies de détection/réponse dans les environnements 365, ce qui peut être par exemple pris en charge à travers un SOC.