Tutoriel : Découvrir et gérer le Shadow IT

Remarque

Nous avons renommé Microsoft Cloud App Security. C’est maintenant ce que l’on appelle Microsoft Defender pour les applications Cloud. Dans les semaines à venir, nous mettrons à jour les captures d’écran et les instructions ici et dans les pages associées. Pour plus d’informations sur la modification, consultez cette annonce. Pour en savoir plus sur le changement de nom récent des services de sécurité Microsoft, consultez le blog Microsoftsur la sécurité.

À la question « Combien d’applications cloud vos employés utilisent-ils ? », les administrateurs informatiques avancent en moyenne le nombre de 30 ou 40. Or, dans la réalité, ce sont plus de 1 000 applications distinctes qui sont utilisées par les employés d’une grande entreprise. Shadow IT vous aide à identifier et à identifier les applications qui sont utilisées, ainsi que le niveau de risque. 80% des employés utilisent des applications non approuvées qui n’ont pas été révisées et peuvent ne pas être conformes à vos stratégies de conformité et de sécurité. Et sachant que vos employés peuvent accéder à vos ressources et applications en dehors de votre réseau d’entreprise, il ne suffit plus de définir des règles et des stratégies sur vos pare-feu.

Dans ce tutoriel, vous allez apprendre à utiliser Cloud Discovery pour découvrir les applications utilisées, explorer les risques liés à ces applications, configurer des stratégies permettant d’identifier les nouvelles applications à risque utilisées et désapprouver ces applications de façon à les bloquer en mode natif à l’aide de votre appliance de proxy ou de pare-feu.

Comment découvrir et gérer le Shadow IT dans votre réseau

Utilisez ce processus pour déployer le Shadow IT Cloud Discovery dans votre organisation.

cycle de vie de l’informatique fantôme.

Phase 1 : Découvrir et identifier Shadow IT

  1. Découvrir le Shadow IT : Déterminez quelle est la situation de votre organisation sur le plan de la sécurité en exécutant Cloud Discovery dans votre organisation et voyez ce qu’il se passe réellement dans votre réseau. Pour plus d’informations, voir Configurer Cloud Discovery. Pour cela, utilisez l’une des méthodes suivantes :

    • Soyez opérationnel rapidement avec Cloud Discovery en l’intégrant à Microsoft Defender pour point de terminaison. Cette intégration native vous permet de commencer immédiatement à collecter des données sur le trafic cloud pour l’ensemble de vos appareils Windows 10 et Windows 11 à l’intérieur et à l’extérieur de votre réseau.

    • Pour la couverture sur tous les appareils connectés à votre réseau, il est important de déployer le collecteur de journaux de l’application Defender pour Cloud Apps sur vos pare-feu et autres proxys pour collecter des données à partir de vos points de terminaison et les envoyer à Defender pour les applications Cloud à des fins d’analyse.

    • Intégrez Defender pour les applications Cloud à votre proxy. Defender pour les applications Cloud s’intègre en mode natif à certains proxys tiers, y compris Zscaler.

Dans la mesure où les stratégies varient en fonction des groupes d’utilisateurs, des régions et des groupes de l’entreprise, vous pouvez créer un rapport Shadow IT dédié pour chacune de ces unités. Pour plus d’informations, consultez Docker sur Windows en local.

Maintenant que Cloud Discovery s’exécute sur votre réseau, examinez les rapports générés en continu et consultez le tableau de bord Cloud Discovery pour obtenir une vision globale des applications qui sont actuellement utilisées dans votre organisation. Il est judicieux de les examiner par catégorie, car vous constaterez souvent que les applications non approuvées sont utilisées à bon escient dans le cadre du travail et qu’aucune application approuvée ne répondait à ce besoin.

  1. Identifiez les niveaux de risque de vos applications: utilisez le catalogue Defender for Cloud apps pour approfondir les risques inhérents à chaque application découverte. Le catalogue d’applications Defender de Cloud contient plus de 25 000 applications qui sont évaluées à l’aide de plus de 80 facteurs de risque. Pour commencer, les informations générales sur l’application (origine géographique de l’application, nom de l’éditeur) peuvent donner des indications sur les risques, tout comme les mesures et les contrôles de sécurité (prise en charge du chiffrement au repos, présence d’un journal d’audit de l’activité des utilisateurs). Pour plus d’informations, consultez Utilisation des scores de risque d’application.

    • Dans le portail Defender pour les applications Cloud, sous découvrir, cliquez sur applications découvertes. Filtrez la liste des applications découvertes dans votre organisation selon les facteurs de risque qui vous intéressent. Par exemple, vous pouvez utiliser les filtres avancés pour rechercher toutes les applications dont le score de risque est inférieur à 8.

    • Vous pouvez explorer une application pour mieux évaluer sa conformité en cliquant sur le nom de l’application, puis sur l’onglet Infos pour afficher des détails sur les facteurs de risque de sécurité de l’application.

Phase 2 : Évaluer et analyser

  1. Évaluer la conformité : Vérifiez si les applications sont certifiées conformes aux standards de votre organisation, comme HIPAA, SOC2, RGPD.

    • Dans le portail Defender pour les applications Cloud, sous découvrir, cliquez sur applications découvertes. Filtrez la liste des applications découvertes dans votre organisation selon les facteurs de risque de conformité qui vous intéressent. Par exemple, utilisez la requête suggérée pour filtrer les applications non conformes.

    • Vous pouvez explorer une application pour en savoir plus sur sa conformité en cliquant sur le nom de l’application, puis sur l’onglet Infos pour afficher les détails sur les facteurs de risque de conformité de l’application.

    Conseil

    Recevez une notification lorsqu’une application découverte est associée à une violation de sécurité récemment publiée à l’aide de l’alerte intégrée Violation de la sécurité de l’application découverte. Investiguez tous les utilisateurs, les adresses IP et les appareils qui accèdent à l’application violée au cours des 90 derniers jours, puis appliquez les contrôles appropriés.

  2. Analyser l’utilisation : Maintenant que vous êtes décidé à autoriser l’utilisation de l’application dans votre organisation, vous devez déterminer qui l’utilise et de quelle façon. Si une utilisation limitée dans votre organisation n’est pas de nature à vous inquiéter, peut-être souhaiterez-vous être notifié d’une utilisation croissante de l’application de façon à la bloquer, le cas échéant.

    • Dans le portail Defender pour les applications Cloud, sous découvrir, cliquez sur applications découvertes , puis explorez en cliquant sur l’application spécifique que vous souhaitez examiner. L’onglet Utilisation vous permet de déterminer le nombre d’utilisateurs actifs de l’application ainsi que la quantité de trafic qu’elle génère. Vous pouvez ainsi déjà vous faire une idée assez précise de l’activité liée à l’application. Ensuite, si vous voulez savoir précisément qui utilise l’application, vous pouvez faire une exploration plus poussée en cliquant sur Nombre total d’utilisateurs actifs. Cette étape importante peut vous livrer des informations intéressantes. Par exemple, si vous découvrez que les utilisateurs d’une même application font tous partie du service Marketing, vous pourrez en déduire qu’elle correspond à un besoin, et si elle présente un risque, vous pourrez leur proposer une solution alternative avant de bloquer l’application.

    • Explorez encore plus en détail lors de l’examen de l’utilisation des applications découvertes. Affichez les sous-domaines et les ressources pour en savoir plus sur les activités spécifiques, l’accès aux données et l’utilisation des ressources dans vos services cloud. Pour plus d’informations, consultez Examen approfondi des applications découvertes et Découvrir les ressources et les applications personnalisées.

  3. Identifiez les autres applications: utilisez le catalogue d’applications Cloud pour identifier les applications plus sûres qui offrent des fonctionnalités métier similaires à celles des applications à risque détectées, mais qui sont conformes à la stratégie de votre organisation. Pour ce faire, vous pouvez utiliser les filtres avancés afin de rechercher des applications de la même catégorie qui répondent à vos différents contrôles de sécurité.

Phase 3 : Gérer vos applications

  • Gérer les applications Cloud: Defender pour les applications Cloud vous aide à gérer l’utilisation des applications dans votre organisation. Une fois que vous aurez identifié les différentes caractéristiques et les différents comportements qui ont cours dans votre organisation, vous pourrez créer de nouvelles balises d’application personnalisées afin de classifier chaque application en fonction de son statut ou de sa justification métier. Ces balises pourront ensuite être utilisées à des fins de supervision spécifiques, par exemple, pour identifier un trafic important à destination d’applications marquées comme étant des applications de stockage cloud risquées. Les balises d’application peuvent être gérées sous Cloud Discovery paramètres > balises d’application. Ces balises peuvent servir par la suite à filtrer les pages Cloud Discovery et à créer des stratégies à partir de celles-ci.

  • gérer les applications découvertes à l’aide de Azure Active Directory (Azure AD) Gallery : defender pour les applications Cloud s’appuie également sur son intégration native avec Azure AD pour vous permettre de gérer vos applications découvertes dans Azure AD galerie. Pour les applications qui figurent déjà dans la galerie Azure AD, vous pouvez appliquer l’authentification unique et gérer l’application avec Azure AD. Pour ce faire, sur la ligne où l’application appropriée s’affiche, choisissez les trois points à la fin de la ligne, puis Gérer l’application avec Azure AD.

    gérer l’application dans la galerie Azure AD.

  • Supervision continue : Après avoir mené une enquête minutieuse sur les applications, vous pouvez souhaiter définir des stratégies en vue de superviser ces applications et en assurer le contrôle, si nécessaire.

Le moment est venu de créer des stratégies qui vous alerteront automatiquement dès que des événements préoccupants se produiront. Par exemple, vous pouvez souhaiter créer une stratégie de découverte d’application qui vous informe qu’un pic de téléchargements ou de trafic a été atteint par une application dont vous vous souciez. Pour cela, vous devez activer les fonctions Comportement anormal par des utilisateurs découverts, Vérification de conformité des applications de stockage cloud et Nouvelle application à risques. Vous devez également définir la stratégie pour être averti par e-mail ou SMS. Pour plus d’informations, consultez référence de modèle de stratégie, en savoir plus sur les stratégies de Cloud Discovery et configurer les stratégies de détection d’application.

Accédez à la page d’alertes et utilisez le filtre Type de stratégie pour examiner les alertes de découverte d’application. Pour les applications qui ont été trouvées par vos stratégies de découverte d’application, il est recommandé d’effectuer une analyse approfondie pour en savoir plus sur les raisons professionnelles qui justifient l’utilisation de l’application, par exemple en contactant les utilisateurs de l’application. Répétez ensuite les étapes de la Phase 2 pour évaluer le risque de l’application. Décidez ensuite des prochaines étapes concernant l’application, que vous approuviez son utilisation future ou que vous décidiez de la bloquer la prochaine fois qu’un utilisateur y accédera. Auquel cas, vous devrez la marquer comme étant non approuvée pour qu’elle puisse être bloquée par le pare-feu, le proxy ou la passerelle web sécurisée de votre organisation. Pour plus d’informations, consultez Intégrer avec Microsoft Defender pour point de terminaison, Intégrer à Zscaler, Intégrer à iboss et Exporter un script de bloc pour gouverner les applications découvertes.

Phase 4 : Génération de rapports Shadow IT Discovery avancés

En plus des options de création de rapports disponibles dans Defender pour les applications Cloud, vous pouvez intégrer Cloud Discovery journaux à Microsoft Sentinel pour approfondir l’investigation et l’analyse. une fois que les données sont dans Microsoft Sentinel, vous pouvez les afficher dans les tableaux de bord, exécuter des requêtes à l’aide du langage de requête Kusto, exporter des requêtes vers Microsoft Power BI, les intégrer à d’autres sources et créer des alertes personnalisées. Pour plus d’informations, consultez Microsoft Sentinel Integration.

Phase 5 : Contrôler les applications approuvées

  1. Pour activer le contrôle d’application via des API, connectez les applications via l’API pour la surveillance continue.

  2. Protégez les applications à l’aide du contrôle d’application par accès conditionnel.

Du fait de leur nature, les applications sont mises à jour quotidiennement et de nouvelles applications se font jour en permanence. Pour cette raison, les employés utilisent en permanence de nouvelles applications et il est important de garder le suivi, de passer en revue et de mettre à jour vos stratégies, de vérifier les applications que vos utilisateurs utilisent, ainsi que leurs modèles d’utilisation et de comportement. Vous pouvez toujours accéder au tableau de bord Cloud Discovery pour identifier les nouvelles applications utilisées et suivre les instructions fournies dans cet article encore une fois pour veiller à la protection de votre organisation et de vos données.

Étapes suivantes

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou une assistance concernant votre produit, veuillez ouvrir un ticket de support.

En savoir plus