Tutoriel : Découvrir et gérer le Shadow IT

Notes

Nous avons renommé Microsoft Cloud App Security. C’est maintenant appelé Microsoft Defender for Cloud Apps. Dans les semaines à venir, nous allons mettre à jour les captures d’écran et les instructions ici et dans les pages associées. Pour plus d’informations sur la modification, consultez cette annonce. Pour en savoir plus sur le renommage récent des services de sécurité Microsoft, consultez le blog Microsoft Ignite Security.

À la question « Combien d’applications cloud vos employés utilisent-ils ? », les administrateurs informatiques avancent en moyenne le nombre de 30 ou 40. Or, dans la réalité, ce sont plus de 1 000 applications distinctes qui sont utilisées par les employés d’une grande entreprise. Shadow IT vous aide à savoir et à identifier les applications utilisées et ce que votre niveau de risque est. 80 % des employés utilisent des applications non approuvées que personne n’a examiné et peuvent ne pas être conformes à vos stratégies de sécurité et de conformité. Et sachant que vos employés peuvent accéder à vos ressources et applications en dehors de votre réseau d’entreprise, il ne suffit plus de définir des règles et des stratégies sur vos pare-feu.

Dans ce tutoriel, vous allez apprendre à utiliser Cloud Discovery pour découvrir les applications utilisées, explorer les risques liés à ces applications, configurer des stratégies permettant d’identifier les nouvelles applications à risque utilisées et désapprouver ces applications de façon à les bloquer en mode natif à l’aide de votre appliance de proxy ou de pare-feu.

Comment découvrir et gérer le Shadow IT dans votre réseau

Utilisez ce processus pour déployer le Shadow IT Cloud Discovery dans votre organisation.

shadow IT lifecycle.

Phase 1 : Découvrir et identifier Shadow IT

  1. Découvrir le Shadow IT : Déterminez quelle est la situation de votre organisation sur le plan de la sécurité en exécutant Cloud Discovery dans votre organisation et voyez ce qu’il se passe réellement dans votre réseau. Pour plus d’informations, voir Configurer Cloud Discovery. Pour cela, utilisez l’une des méthodes suivantes :

    • Soyez opérationnel rapidement avec Cloud Discovery en l’intégrant à Microsoft Defender pour point de terminaison. Cette intégration native vous permet de commencer immédiatement à collecter des données sur le trafic cloud pour l’ensemble de vos appareils Windows 10 et Windows 11 à l’intérieur et à l’extérieur de votre réseau.

    • Pour une couverture sur tous les appareils connectés à votre réseau, il est important de déployer le collecteur de journaux des applications Defender pour le cloud sur vos pare-feu et d’autres proxys pour collecter des données à partir de vos points de terminaison et l’envoyer à Defender pour le cloud Applications à des fins d’analyse.

    • Intégrez Defender pour le cloud Applications à votre proxy. Defender pour le cloud Apps s’intègre en mode natif à certains proxys tiers, y compris Zscaler.

Dans la mesure où les stratégies varient en fonction des groupes d’utilisateurs, des régions et des groupes de l’entreprise, vous pouvez créer un rapport Shadow IT dédié pour chacune de ces unités. Pour plus d’informations, consultez Docker sur Windows en local.

Maintenant que Cloud Discovery s’exécute sur votre réseau, examinez les rapports générés en continu et consultez le tableau de bord Cloud Discovery pour obtenir une vision globale des applications qui sont actuellement utilisées dans votre organisation. Il est judicieux de les examiner par catégorie, car vous constaterez souvent que les applications non approuvées sont utilisées à des fins légitimes liées au travail qui n’ont pas été traitées par une application approuvée.

  1. Identifiez les niveaux de risque de vos applications : utilisez le catalogue Defender pour le cloud Applications pour approfondir les risques impliqués dans chaque application découverte. Le catalogue d’applications Defender pour le cloud comprend plus de 25 000 applications évaluées à l’aide de plus de 80 facteurs de risque. Pour commencer, les informations générales sur l’application (origine géographique de l’application, nom de l’éditeur) peuvent donner des indications sur les risques, tout comme les mesures et les contrôles de sécurité (prise en charge du chiffrement au repos, présence d’un journal d’audit de l’activité des utilisateurs). Pour plus d’informations, consultez Utilisation des scores de risque d’application.

    • Dans le portail Defender pour le cloud Applications, sous Découvrir, sélectionnez Applications découvertes. Filtrez la liste des applications découvertes dans votre organisation par les facteurs de risque que vous êtes préoccupés. Par exemple, vous pouvez utiliser les filtres avancés pour rechercher toutes les applications dont le score de risque est inférieur à 8.

    • Vous pouvez explorer l’application pour en savoir plus sur sa conformité en sélectionnant le nom de l’application, puis en sélectionnant l’onglet Informations pour afficher des détails sur les facteurs de risque de sécurité de l’application.

Phase 2 : Évaluer et analyser

  1. Évaluer la conformité : Vérifiez si les applications sont certifiées conformes aux standards de votre organisation, comme HIPAA, SOC2, RGPD.

    • Dans le portail Defender pour le cloud Applications, sous Découvrir, sélectionnez Applications découvertes. Filtrez la liste des applications découvertes dans votre organisation par les facteurs de risque de conformité que vous êtes préoccupés. Par exemple, utilisez la requête suggérée pour filtrer les applications non conformes.

    • Vous pouvez explorer l’application pour en savoir plus sur sa conformité en sélectionnant le nom de l’application, puis en sélectionnant l’onglet Informations pour afficher des détails sur les facteurs de risque de conformité de l’application.

    Conseil

    Recevez une notification lorsqu’une application découverte est associée à une violation de sécurité récemment publiée à l’aide de l’alerte intégrée Violation de la sécurité de l’application découverte. Investiguez tous les utilisateurs, les adresses IP et les appareils qui accèdent à l’application violée au cours des 90 derniers jours, puis appliquez les contrôles appropriés.

  2. Analyser l’utilisation : Maintenant que vous êtes décidé à autoriser l’utilisation de l’application dans votre organisation, vous devez déterminer qui l’utilise et de quelle façon. Si une utilisation limitée dans votre organisation n’est pas de nature à vous inquiéter, peut-être souhaiterez-vous être notifié d’une utilisation croissante de l’application de façon à la bloquer, le cas échéant.

    • Dans le portail Defender pour le cloud Applications, sous Découvrir, sélectionnez Applications découvertes, puis explorez en sélectionnant l’application spécifique que vous souhaitez examiner. L’onglet Utilisation vous permet de déterminer le nombre d’utilisateurs actifs de l’application ainsi que la quantité de trafic qu’elle génère. Cela peut déjà vous donner une bonne image de ce qui se passe avec l’application. Ensuite, si vous souhaitez voir qui, plus précisément, utilise l’application, vous pouvez explorer plus loin en sélectionnant Total des utilisateurs actifs. Cette étape importante peut vous livrer des informations intéressantes. Par exemple, si vous découvrez que les utilisateurs d’une même application font tous partie du service Marketing, vous pourrez en déduire qu’elle correspond à un besoin, et si elle présente un risque, vous pourrez leur proposer une solution alternative avant de bloquer l’application.

    • Explorez encore plus en détail lors de l’examen de l’utilisation des applications découvertes. Affichez les sous-domaines et les ressources pour en savoir plus sur les activités spécifiques, l’accès aux données et l’utilisation des ressources dans vos services cloud. Pour plus d’informations, consultez Examen approfondi des applications découvertes et Découvrir les ressources et les applications personnalisées.

  3. Identifier les applications alternatives : Utilisez le catalogue d’applications cloud pour identifier les applications plus sécurisées qui obtiennent des fonctionnalités métier similaires à celles détectées, mais respectent la stratégie de votre organisation. Pour ce faire, vous pouvez utiliser les filtres avancés afin de rechercher des applications de la même catégorie qui répondent à vos différents contrôles de sécurité.

Phase 3 : Gérer vos applications

  • Gérer les applications cloud : Defender pour le cloud Apps vous aide à gérer l’utilisation de l’application dans votre organisation. Une fois que vous aurez identifié les différentes caractéristiques et les différents comportements qui ont cours dans votre organisation, vous pourrez créer de nouvelles balises d’application personnalisées afin de classifier chaque application en fonction de son statut ou de sa justification métier. Ces balises pourront ensuite être utilisées à des fins de supervision spécifiques, par exemple, pour identifier un trafic important à destination d’applications marquées comme étant des applications de stockage cloud risquées. Les balises d’application peuvent être gérées sous Paramètres de Cloud Discovery>Balises d’application. Ces balises peuvent servir par la suite à filtrer les pages Cloud Discovery et à créer des stratégies à partir de celles-ci.

  • Gérer les applications découvertes à l’aide de la galerie Azure Active Directory (Azure AD) : Defender pour le cloud Apps utilise également son intégration native avec Azure AD pour vous permettre de gérer vos applications découvertes dans Azure AD Galerie. Pour les applications qui figurent déjà dans la galerie Azure AD, vous pouvez appliquer l’authentification unique et gérer l’application avec Azure AD. Pour ce faire, sur la ligne où l’application appropriée s’affiche, choisissez les trois points à la fin de la ligne, puis Gérer l’application avec Azure AD.

    manage app in azure ad gallery.

  • Surveillance continue : maintenant que vous avez soigneusement examiné les applications, vous pouvez définir des stratégies qui surveillent les applications et fournissent un contrôle si nécessaire.

Le moment est venu de créer des stratégies qui vous alerteront automatiquement dès que des événements préoccupants se produiront. Par exemple, vous souhaiterez peut-être créer une stratégie de découverte d’applications qui vous permet de savoir quand il existe un pic de téléchargements ou de trafic à partir d’une application que vous êtes préoccupé. Pour cela, vous devez activer les fonctions Comportement anormal par des utilisateurs découverts, Vérification de conformité des applications de stockage cloud et Nouvelle application à risques. Vous devez également définir la stratégie pour être averti par e-mail ou SMS. Pour plus d’informations, consultez la référence du modèle de stratégie, plus d’informations sur les stratégies Cloud Discovery et configurer des stratégies de découverte d’applications.

Accédez à la page d’alertes et utilisez le filtre Type de stratégie pour examiner les alertes de découverte d’application. Pour les applications qui ont été mises en correspondance par vos stratégies de découverte d’application, il est recommandé d’effectuer une enquête avancée pour en savoir plus sur la justification métier de l’utilisation de l’application, par exemple en contactant les utilisateurs de l’application. Répétez ensuite les étapes de la Phase 2 pour évaluer le risque de l’application. Décidez ensuite des prochaines étapes concernant l’application, que vous approuviez son utilisation future ou que vous décidiez de la bloquer la prochaine fois qu’un utilisateur y accédera. Auquel cas, vous devrez la marquer comme étant non approuvée pour qu’elle puisse être bloquée par le pare-feu, le proxy ou la passerelle web sécurisée de votre organisation. Pour plus d’informations, consultez Intégrer à Microsoft Defender pour point de terminaison, Intégrer à Zscaler, Intégrer à iboss et Bloquer des applications en exportant un script de bloc.

Phase 4 : Génération de rapports Shadow IT Discovery avancés

En plus des options de création de rapports disponibles dans Defender pour le cloud Apps, vous pouvez intégrer les journaux Cloud Discovery à Microsoft Sentinel pour une investigation et une analyse plus approfondies. Une fois les données dans Microsoft Sentinel, vous pouvez l’afficher dans les tableaux de bord, exécuter des requêtes à l’aide de Kusto langage de requête, exporter des requêtes vers Microsoft Power BI, s’intégrer à d’autres sources et créer des alertes personnalisées. Pour plus d’informations, consultez l’intégration de Microsoft Sentinel.

Phase 5 : Contrôler les applications approuvées

  1. Pour activer le contrôle d’application via des API, connectez les applications via l’API pour la surveillance continue.

  2. Protégez les applications à l’aide du contrôle d’application par accès conditionnel.

La nature des applications cloud signifie qu’elles sont mises à jour quotidiennement et que de nouvelles applications apparaissent tout le temps. En raison de cela, les employés utilisent continuellement de nouvelles applications et il est important de suivre et d’examiner et de mettre à jour vos stratégies, de vérifier les applications que vos utilisateurs utilisent, ainsi que leurs modèles d’utilisation et de comportement. Vous pouvez toujours accéder au tableau de bord Cloud Discovery pour identifier les nouvelles applications utilisées et suivre les instructions fournies dans cet article encore une fois pour veiller à la protection de votre organisation et de vos données.

Étapes suivantes

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou une assistance concernant votre produit, veuillez ouvrir un ticket de support.

En savoir plus