Gouvernance, risque et conformité

Les ressources des organisations de toutes tailles sont limitées en ce qui concerne les finances, les personnes et le temps disponibles. Pour bénéficier d’un retour sur investissement efficace, les organisations doivent hiérarchiser les domaines dans lesquels elles investissent. L’implémentation de la sécurité dans l’organisation est également tributaire de ces contraintes. Pour obtenir un retour sur investissement approprié en lien avec la sécurité, l’organisation a besoin de comprendre et définir ses priorités en la matière.

Gouvernance : comment la sécurité de l’organisation va-t-elle être surveillée, vérifiée et rapportée ? La conception et l’implémentation des contrôles de sécurité au sein d’une organisation ne constituent que le début de l’histoire. Comment l’organisation peut-elle savoir que les choses fonctionnent réellement ? S’améliorent-elles ? Existe-t-il de nouvelles exigences ? La génération de rapports est-elle indispensable ? Tout comme en matière de conformité, il peut y avoir des normes sectorielles, gouvernementales ou réglementaires à prendre en compte.

Risque : quels sont les types de risques auxquels l’organisation est confrontée en lien avec la protection des informations d’identification personnelle, de la propriété intellectuelle et des informations financières ? Qui pourrait s’intéresser à ces informations ou les exploiter en cas de vol ? Quelles sont les menaces externes et internes ? Quelles sont les menaces non intentionnelles et malveillantes ? Des aspect souvent négligés mais extrêmement importants dans le domaine du risque sont ceux de la récupération d’urgence et de la continuité des activités.

Conformité : existe-t-il des exigences sectorielles, gouvernementales ou réglementaires qui dictent ou constituent des recommandations concernant les critères que les contrôles de sécurité de votre organisation doivent remplir ? De telles normes, organisations, contrôles et autres législations sont, par exemple, ISO27001, NIST et PCI-DSS.

Le rôle collectif des organisations est de gérer leurs normes de sécurité tout au long de leur cycle de vie :

  • Définir : établir des normes et stratégies organisationnelles pour les pratiques, les technologies et les configurations en fonction de facteurs internes (culture de l’organisation, goût du risque, valorisation des ressources, initiatives commerciales, etc.) et externes (points de comparaison, normes réglementaires, environnement des menaces, etc.)

  • Améliorer : pousser sans cesse de façon incrémentielle ces normes vers l’état idéal pour garantir une réduction continue des risques.

  • Soutenir : veiller à ce que la situation de sécurité ne se dégrade pas spontanément au fil du temps en instaurant un audit et une surveillance de la conformité à des normes organisationnelles.

Hiérarchiser les investissements dans les meilleures pratiques en matière de sécurité

Idéalement, les meilleures pratiques en matière de sécurité sont appliquées de manières proactive et complète à tous les systèmes à mesure que vous élaborez votre programme cloud, mais ce n’est pas une réalité pour la plupart des organisations. Les objectifs métier, les contraintes liées aux projets et d’autres facteurs amènent souvent les organisation à trouver un équilibre entre les risques de sécurité et d’autres risques, ainsi qu’à appliquer un sous-ensemble de meilleures pratiques à un moment donné.

Nous vous recommandons d’appliquer le plus grand nombre possible de meilleures pratiques le plus tôt possible, puis de combler d’éventuelles lacunes de sécurité à mesure de votre programme de sécurité mûrit. Nous vous recommandons d’évaluer les considérations suivantes lors de la hiérarchisation des pratiques à suivre :

  • Systèmes dont l’impact sur l’activité est élevé et hautement exposés : systèmes ayant une valeur intrinsèque directe, et systèmes offrant aux attaquants un chemin d’accès. Pour plus d’informations, consultez identifier et classer les applications critiques pour l’entreprise.

  • Mesures d’atténuation les plus faciles à implémenter : identifiez les bénéfices que vous pouvez tirer rapidement en hiérarchisant les meilleures pratiques que votre organisation peut adopter sans tarder parce qu’elle dispose déjà des compétences, des outils et des connaissances nécessaires à cette fin, par exemple, en implémentant un pare-feu d’application web (WAF) pour protéger une application existante.
    Veillez à ne pas recourir excessivement ou exclusivement à cette méthode de hiérarchisation à court terme. Cela pourrait augmenter le risque en empêchant votre programme d’évoluer et en laissant votre organisation exposée à des risques critiques pendant des périodes prolongées.

Microsoft a établi des listes hiérarchisées d’initiatives de sécurité destinées à aider les organisations à commencer à prendre ces décisions sur la base de notre expérience des menaces et des mesures d’atténuation prises dans nos propres environnements et chez nos clients. Consultez le Module 4a de l’Atelier Microsoft pour les responsables de la sécurité des systèmes d’information (RSSI)

Gérer les locataires connectés

Assurez-vous que votre organisation de sécurité est informée de l’ensemble des inscriptions et abonnements associés connectés à votre environnement existant (via ExpressRoute ou un VPN site à site) et assure la surveillance globale.

Ces ressources Azure font partie de votre environnement d’entreprise et les organisations de sécurité doivent en avoir une bonne visibilité. Les organisations de sécurité ont besoin de cet accès pour évaluer les risques et déterminer si les stratégies de l’organisation et les exigences réglementaires applicables sont respectées.

Assurez-vous que tous les environnements Azure qui se connectent à votre environnement de production ou réseau appliquent la stratégie et les contrôles de gouvernance informatique de votre organisation pour la sécurité. Vous pouvez découvrir les locataires connectés existants à l’aide d’un outil fourni par Microsoft. Les instructions relatives aux autorisations que vous pouvez accorder à la sécurité se trouvent dans la section Attribuer des privilèges pour assurer la gestion de l’environnement.

Définir clairement les responsabilités

Désignez les responsables de fonctions spécifiques dans Azure.

Le fait de documenter et de partager clairement les contacts responsables de chacune des fonctions permet d’apporter de la cohérence et de faciliter la communication. L’expérience que nous avons acquise au fil de nombreux projets d’adoption du cloud nous a appris que cela permet d’éviter toute confusion susceptible de conduire à des erreurs humaines et d’automatisation constituant un risque pour la sécurité.

Désignez des groupes (ou des rôles individuels) qui seront responsables de ces fonctions clés :

Groupe ou rôle individuel Responsabilité
Sécurité du réseau Généralement, l’équipe en charge de la sécurité réseau existante. Configuration et maintenance du Pare-feu Azure, des appliances virtuelles réseau (et du routage associé), des pare-feu d’applications web, groupes de sécurité réseau, groupes de sécurité d’application, etc.
Gestion du réseau Généralement, l’équipe en charge des opérations réseau existante. Allocation de réseau et de sous-réseau virtuels dans l’ensemble de l’entreprise.
Sécurité des points de terminaison de serveur Généralement, les opérations informatiques, la sécurité ou conjointement. Surveillance et correction de la sécurité du serveur (mise à jour corrective, configuration, sécurité des points de terminaison, etc.).
Surveillance et réponse aux incidents Généralement, l’équipe en charge des opérations de sécurité. Examen et correction des incidents de sécurité dans Security Information and Event Management (SIEM) ou la console source.
Gestion des stratégies Généralement, l’équipe en charge de la gouvernance, du risque et de la conformité conjointement avec l’équipe en charge de l’architecture. Définissez la direction pour l’utilisation du contrôle d’accès en fonction du rôle (RBAC), Microsoft Defender pour cloud, stratégie de protection d’administrateur et Azure Policy pour régir les ressources Azure.
Sécurité et normes relatives aux identités Généralement, l’équipe en charge de la sécurité conjointement avec l’équipe en charge des identités. Définition de l’orientation des annuaires Azure AD, de l’utilisation de PIM/PAM, de l’authentification multifacteur, de la configuration du mot de passe et de la synchronisation, et des normes d’identité des applications.

Stratégie de segmentation d’entreprise

Identifiez les groupes de ressources qui peuvent être isolés d’autres parties de l’entreprise pour contenir (et détecter) tout mouvement hostile au sein de votre entreprise. Cette stratégie de segmentation d’entreprise unifiée permet à toutes les équipes techniques de segmenter l’accès de façon cohérente à l’aide de la mise en réseau, des applications, des identités et d’autres contrôles d’accès.

Une stratégie de segmentation claire et simple permet de contenir les risques tout en permettant la productivité et les opérations commerciales.

Une stratégie de segmentation d’entreprise prend le pas sur une stratégie de sécurité de type « Segmentation du réseau » traditionnelle. Les approches traditionnelles de la segmentation pour les environnements locaux ont souvent échoué à atteindre leurs objectifs parce qu’elle étaient développées « de bas en haut » par différentes équipes techniques et n’étaient pas bien alignées sur les cas d’utilisation métier et les charges de travail des applications. Cela entraînait une complexité écrasante qui occasionnait des problèmes de support et faisait souvent obstacle à l’objectif initial, avec toutes sortes d’exceptions de pare-feu.

La création d’une stratégie de segmentation d’entreprise unifiée permet de guider toutes les composantes des équipes techniques (informatique, sécurité, applications, etc.). Les divisions construites autour des risques et besoins métier améliorent la prise en compte, la compréhension et le soutien de la durabilité des promesses d’autonomie de la sécurité. Cette clarté et cet alignement réduisent également les risques d’erreurs humaines et d’échecs d’automatisation susceptibles d’entraîner des vulnérabilités de sécurité, des temps d’arrêt opérationnels ou les deux.

Si une microsegmentation du réseau promet de réduire les risques (voir la section Autonomie et sécurité du réseau), elle n’élimine pas le besoin d’aligner les équipes techniques. Une microsegmentation doit être envisagée après une planification pour veiller à ce que les équipes techniques soient bien alignées afin d’éviter toute récurrence de conflits internes qui rongent et perturbent les stratégies de segmentation de la génération de réseau local.

Voici les recommandations de Microsoft concernant la hiérarchisation des initiatives en lien avec l’autonomie et la segmentation (basées sur des principes de Confiance Zéro). Ces recommandations sont répertoriées par ordre de priorité décroissant.

  • Assurez-vous que l’alignement des équipes techniques vers une stratégie de segmentation d’entreprise unique.

  • Investissez dans l’élargissement du confinement en établissant un périmètre moderne basé sur des principes de confiance zéro axés sur l’identité, l’appareil, les applications et d’autres signaux (pour surmonter la limitation des contrôles réseau pour protéger les nouvelles ressources et les types d’attaques).

  • Renforcez les contrôles réseau pour les applications héritées en explorant les stratégies de micro segmentation.

Une bonne stratégie de segmentation d’entreprise remplit les critères suivants :

  • Activation des opérations : minimise la friction des opérations en les alignant sur les applications et les pratiques métier

  • Endiguement des risques : ajoute des coûts et des frictions aux attaquants en :

    • isolant les charges de travail sensibles de toute compromission par d’autres ressources ;

    • isolant les systèmes fortement exposés à une exploitation en tant que pivots permettant d’accéder à d’autres systèmes.

  • Surveillance : les opérations de sécurité doivent surveiller les violations potentielles de l’intégrité des segments (utilisation de compte, trafic inattendu, etc.)

Cell phone Description automatically generated

Visibilité de l’équipe de sécurité

Fournissez aux équipes de sécurité un accès en lecture seule aux aspects liés à la sécurité de toutes les ressources techniques de leur ressort.

Les organisations de sécurité ont besoin d’une visibilité de l’environnement technique pour accomplir leurs tâches d’évaluation et de signalement des risques organisationnels. Sans cette visibilité, la sécurité doit reposer sur les informations fournies par les groupes exploitant l’environnement susceptibles d’avoir un conflit d’intérêt (et d’autres priorités).

Notez que les équipes de sécurité peuvent recevoir séparément des privilèges supplémentaires si elles ont des responsabilités opérationnelles ou une exigence d’application de la conformité aux ressources Azure.

Par exemple, dans Azure, attribuez aux équipes de sécurité l’autorisation Lecteurs Sécurité qui permet de mesurer le risque de sécurité (sans fournir d’accès aux données proprement dites).

Pour les groupes de sécurité d’entreprise qui ont une responsabilité importante en lien avec la sécurité d’Azure, vous pouvez accorder cette autorisation en utilisant des groupes :

  • Groupe d’administration racine : pour les équipes responsables de l’évaluation et du signalement des risques pesant sur toutes les ressources

  • Groupe(s) d’administration de segments : pour les équipes ayant une responsabilité limitée (généralement requise en raison de limites organisationnelles ou d’exigences réglementaires)

Étant donné que la sécurité aura un accès étendu à l’environnement (et une visibilité des vulnérabilités potentiellement exploitables), vous devez considérer les comptes ayant un impact critique et appliquer à ceux-ci les mêmes protections qu’à des administrateurs. La section Administration détaille ces contrôles pour Azure.

Affecter des privilèges pour la gestion de l’environnement

Accordez à des rôles ayant des responsabilités opérationnelles dans Azure les autorisations appropriées en fonction d’une stratégie clairement documentée basée sur le principe du privilège minimum et de vos besoins opérationnels.

La fourniture de conseils clairs qui suivent un modèle de référence réduit le risque, car elle apporte de la clarté aux équipes techniques qui implémentent les autorisations. Cette clarté facilite la détection et la correction des erreurs humaines telles que l’octroi d’autorisations en trop grand nombre, ce qui contribue à réduire le risque global.

Microsoft recommande de commencer à partir de ces modèles de référence Microsoft en les adaptant à votre organisation.

Diagram of the Core Services Reference Permissions, showing enterprise and resource role permissions.

Autorisations de référence des services de base

Ce segment héberge les services partagés utilisés dans l’ensemble de l’organisation. Ceux-ci incluent généralement le service d’annuaire Active Directory Domain Services, DNS/DHCP et des outils de gestion du système hébergés sur des machines virtuelles IaaS Azure.

Visibilité de la sécurité de toutes les ressources : pour les équipes de sécurité, accordez un accès en lecture seule aux attributs de sécurité pour tous les environnements techniques. Ce niveau d’accès est nécessaire pour évaluer les facteurs de risque, identifier des corrections potentielles et conseiller les parties prenantes de l’organisation qui acceptent le risque. Pour plus d’informations, consultez Visibilité de l’équipe de sécurité.

Gestion des stratégies pour une partie ou l’ensemble des ressources : pour surveiller et appliquer la conformité à des réglementations, normes et stratégies de sécurité externes (ou internes), attribuez à ces rôles l’autorisation appropriée. Les rôles et les autorisations que vous choisissez dépendent de la culture de l’organisation et des attentes du programme de stratégie. Consultez Microsoft Cloud Adoption Framework pour Azure.

Opérations informatiques centrales sur l’ensemble des ressources : accordez au service informatique central (souvent l’équipe d’infrastructure) des autorisations pour créer, modifier et supprimer des ressources telles que des machines virtuelles et de l’espace de stockage.

Groupe de gestion de réseau central pour les ressources réseau : pour garantir la cohérence et éviter les conflits techniques, attribuez les responsabilités en lien avec les ressources réseau à une seule organisation de gestion de réseau centrale. Ces ressources doivent inclure des réseaux virtuels, des sous-réseaux, des groupes de sécurité réseau (NSG) et les machines virtuelles hébergeant des appliances de réseau virtuel. Pour plus d’informations, consultez Centraliser la gestion et la sécurité du réseau.

Autorisations de rôle de ressource : pour la plupart des services de base, les privilèges d’administration requis pour les gérer étant accordés via l’application elle-même (Active Directory, DNS/DHCP, outils de gestion du système, etc.), aucune autorisation de ressource Azure supplémentaire n’est requise. Si votre modèle d’organisation exige que ces équipes gèrent leurs propres machines virtuelles, espace de stockage ou autres ressources Azure, vous pouvez attribuer ces autorisations à ces rôles.

Administration du service (compte de secours) : utilisez le rôle d’administrateur du service uniquement en cas d’urgence (et pour la configuration initiale si nécessaire). N’utilisez pas ce rôle pour des tâches quotidiennes. Pour plus d’informations, consultez Accès d’urgence (comptes de secours).

Diagram of the reference permissions, showing the relationship between the Enterprise Role Permissions and Subscriptions.

Autorisations de référence de segments

Cette conception d’autorisation de segment apporte de la cohérence, ainsi que la flexibilité nécessaire pour s’adapter à l’éventail des modèles organisationnels allant d’un groupe informatique centralisé unique à des équipes informatiques et de DevOps indépendantes.

Visibilité de la sécurité de toutes les ressources : pour les équipes de sécurité, accordez un accès en lecture seule aux attributs de sécurité pour tous les environnements techniques. Ce niveau d’accès est nécessaire pour évaluer les facteurs de risque, identifier des corrections potentielles et conseiller les parties prenantes de l’organisation qui acceptent le risque. Consultez Visibilité de l’équipe de sécurité.

Gestion des stratégies pour une partie ou l’ensemble des ressources : pour surveiller et appliquer la conformité à des réglementations, normes et stratégies de sécurité externes (ou internes), attribuez à ces rôles l’autorisation appropriée. Les rôles et les autorisations que vous choisissez dépendent de la culture de l’organisation et des attentes du programme de stratégie. Consultez Microsoft Cloud Adoption Framework pour Azure.

Opérations informatiques sur toutes les ressources : accordez l’autorisation de créer, modifier et supprimer des ressources. L’objectif du segment (et les autorisations qui en résultent) dépend de la structure de votre organisation.

  • Les segments comprenant des ressources gérées par une organisation informatique centralisée peuvent accorder au service informatique central (souvent l’équipe d’infrastructure) l’autorisation de modifier ces ressources.

  • Les segments gérés par des divisions ou des fonctions indépendantes (par exemple, une équipe chargée de la gestion des ressources humaines) peuvent accorder à ces équipes l’autorisation d’accès à toutes les ressources du segment.

  • Les segments comprenant des équipes de DevOps autonomes n’ont pas besoin d’accorder des autorisations d’accès à toutes les ressources, car le rôle de ressource (ci-dessous) accorde des autorisations aux équipes d’application. Pour les urgences, utilisez le compte d’administrateur de service (compte de secours).

Groupe de gestion de réseau central pour les ressources réseau : pour garantir la cohérence et éviter les conflits techniques, attribuez les responsabilités en lien avec les ressources réseau à une seule organisation de gestion de réseau centrale. Ces ressources doivent inclure des réseaux virtuels, des sous-réseaux, des groupes de sécurité réseau (NSG) et les machines virtuelles hébergeant des appliances de réseau virtuel. Consultez Centraliser la gestion et la sécurité du réseau.

Autorisations de rôle de ressource : les segments comprenant des équipes de DevOps autonomes gèrent les ressources associées à chaque application. Les rôles réels et leurs autorisations dépendent de la taille et de la complexité de l’application, de la taille et de la complexité de l’équipe d’application, ainsi que de la culture de l’organisation et de l’équipe d’application.

Administration du service (compte de secours) : utilisez le rôle d’administrateur du service uniquement en cas d’urgence (et pour la configuration initiale si nécessaire). N’utilisez pas ce rôle pour des tâches quotidiennes. Pour plus d’informations, consultez Accès d’urgence (comptes de secours).

Instructions et conseils pour les autorisations

  • Par souci de cohérence et pour garantir leur application aux futurs abonnements, les autorisations doivent être accordées au groupe d’administration du segment plutôt qu’aux abonnements individuels. Pour plus de détails, consultez Éviter les autorisations granulaires et personnalisées.

  • Vous commencer par passer en revue les rôles intégrés pour déterminer si l’un d’eux est applicable avant de créer un rôle personnalisé pour accorder les autorisations appropriées aux machines virtuelles et autres objets. Pour plus de détails, consultez Utiliser des rôles intégrés.

  • L’appartenance à un groupe de gestionnaires de sécurité peut convenir aux organisations de taille modeste au sein desquelles les équipes de sécurité ont des responsabilités opérationnelles étendues.

Établir une segmentation avec des groupes d’administration

Structurez les groupes d’administration en suivant une conception simple qui guide le modèle de segmentation d’entreprise.

Les groupes d’administration offrent la possibilité de gérer les ressources de manière cohérente et efficace (y compris des abonnements multiples si nécessaire). Toutefois, leur flexibilité peut conduire à la création d’une conception excessivement complexe. La complexité est source de confusion et a une incidence négative sur les opérations et la sécurité (comme l’illustrent les conceptions d’unité d’organisation (UO) et d’objet de stratégie de groupe (GPO) excessivement complexes pour Active Directory).

Microsoft recommande d’aligner le niveau supérieur des groupes d’administration (MG) dans une stratégie de segmentation d’entreprise simple limitée à 1 ou 2 niveaux.

Utiliser le groupe d’administration racine avec soin

Utilisez le groupe d’administration (MG) racine pour la cohérence de l’entreprise, mais testez les modifications avec soin pour réduire les risques d’interruption des opérations.

Le groupe d’administration racine vous permet de garantir la cohérence au sein de l’entreprise en appliquant des stratégies, des autorisations et des balises à tous les abonnements. Soyez vigilant lorsque vous planifiez et implémentez des affectations au groupe d’administration racine, car cela peut affecter toutes les ressources sur Azure, voire entraîner des temps d’arrêt ou d’autres impacts négatifs sur la productivité en cas d’erreurs ou d’effets imprévus.

Conseils pour le groupe d’administration racine :

  • Planifiez avec soin : sélectionnez des éléments à l’échelle de l’entreprise pour le groupe d’administration racine, qui sont assortis d’une exigence claire d’application à chaque ressource et/ou d’impact faible.

    Les candidats parfaits sont :

    • Exigences réglementaires assorties d’un risque/impact métier clair (par exemple, restrictions liées à la souveraineté des données).

    • Impact négatif potentiel proche de zéro sur les opérations, par exemple, stratégie avec effet d’audit, affectation de balises, attributions d’autorisations RBAC préalablement examinées avec soin.

  • Testez d’abord : testez avec soin toutes les modifications à l’échelle de l’entreprise sur le groupe d’administration racine avant de les appliquer (stratégie, balises, modèle RBAC, etc.) à l’aide des ressources suivantes :

    • Laboratoire de test : locataire de laboratoire ou segment de laboratoire dans un locataire de production.

    • Pilote de production : groupe d’administration de segment ou sous-ensemble désigné dans des abonnements ou un groupe d’administration.

  • Validez les modifications : pour vous assurer qu’elles ont l’effet souhaité.

Mises à jour de sécurité de machine virtuelle et mots de passe forts

Veillez à ce que la stratégie et les processus permettent (et exigent) une application rapide des mises à jour de sécurité aux machines virtuelles.

Les attaquants analysent en permanence les plages d’adresses IP de cloud public pour détecter des ports de gestion ouverts et tenter des attaques « faciles », par exemple, en exploitant des mots de passe courants et des vulnérabilités non corrigées.

Activez Microsoft Defender pour Cloud pour identifier les mises à jour de sécurité manquantes & les appliquent.

La solution de mot de passe d’administrateur local (LAPS) ou une solution Privileged Access Management tierce peuvent définir des mots de passe d’administrateur local forts et un accès juste-à-temps à ceux-ci.

Supprimer la connectivité Internet directe des machines virtuelles

Veillez à ce que la stratégie et les processus exigent une restriction et une surveillance de la connectivité Internet directe des machines virtuelles.

Les attaquants analysent en permanence des plages IP de cloud public pour détecter les ports de gestion ouverts et tentent des attaques « faciles » comme l’identification de mots de passe courants et des vulnérabilités non corrigées connues.

Vous pouvez utiliser une ou plusieurs méthodes dans Azure :

  • Prévention à l’échelle de l’entreprise : empêchez l’exposition accidentelle avec un réseau d’entreprise et un modèle d’autorisation tel que le modèle de référence décrit dans ce guide. Cela réduit considérablement le risque d’exposition accidentelle d’Internet des machines virtuelles :

    • Le trafic réseau est acheminé via des points de sortie approuvés par défaut.

    • Les exceptions (par exemple, l’ajout d’une adresse IP publique à une ressource) doivent passer par un groupe centralisé (qui peut évaluer avec soin les demandes d’exception pour s’assurer que les contrôles appropriés sont appliqués).

  • Identifiez et corrigez les machines virtuelles exposées à l’aide de la visualisation du réseau Microsoft Defender pour Cloud pour identifier rapidement les ressources exposées par Internet.

  • Restriction des ports de gestion (RDP, SSH) en utilisant l’accès juste à temps dans Microsoft Defender pour le cloud.

Désigner un contact pour la notification d’incidents

Assurez-vous qu’un contact de sécurité reçoit les notifications d’incidents Azure en provenance de Microsoft, qui indiquent en général que votre ressource est compromise ou qu’elle attaque un autre client.

Cela permet à votre équipe en charge des opérations de sécurité de réagir rapidement aux risques de sécurité potentiels et de les corriger.

Vérifiez que les informations de contact de l’administrateur dans le portail d’inscription Azure incluent des informations de contact qui signaleront les opérations de sécurité (directement ou rapidement via un processus interne).

Évaluer régulièrement les accès critiques

Évaluez régulièrement les rôles auxquels sont attribués des privilèges ayant un impact critique sur l’activité.

Configurez un modèle d’évaluation récurrente pour vous assurer que les autorisations des comptes sont supprimées à mesure que les rôles changent. Vous pouvez effectuer l’évaluation manuellement ou par le biais d’un processus automatisé à l’aide d’outils tels que des révisions d’accès Azure AD.

Détecter et corriger les risques courants

Identifiez les risques connus pour vos locataires Azure, corrigez-les et suivez votre progression à l’aide du degré de sécurisation.

L’identification et la correction des risques courants en matière d’hygiène de la sécurité réduisent considérablement les risques globaux auxquels votre organisation est exposée en augmentant le coût pour les attaquants. Lorsque vous supprimez les vecteurs d’attaque peu coûteux bien connus, les attaquants sont obligés d’acquérir et d’utiliser des méthodes d’attaque avancées ou non testées.

Azure Secure Score dans Microsoft Defender pour Cloud surveille la posture de sécurité des machines, des réseaux, du stockage et des services de données, et des applications pour découvrir les problèmes de sécurité potentiels (machines virtuelles connectées à Internet ou mises à jour de sécurité manquantes, protection des points de terminaison ou chiffrement manquants, écarts par rapport aux configurations de sécurité de base, pare-feu d’applications web manquantes (WAF), etc. Il est recommandé d’activer cette fonctionnalité (sans coût supplémentaire), d’examiner les résultats et de suivre les recommandations incluses pour planifier et exécuter les corrections techniques en commençant par les éléments dont la priorité est la plus élevée.

À mesure que vous traitez les risques, suivez votre progression et hiérarchisez les investissements en cours dans vos programmes de gouvernance et de réduction des risques.

Augmenter l’automatisation avec Azure Blueprints

Utilisez les fonctionnalités d’automatisation natives d’Azure pour améliorer la cohérence, la conformité et la vitesse de déploiement des charges de travail.

L’automatisation des tâches de déploiement et de maintenance permet de réduire les risques de sécurité et de conformité en limitant la possibilité d’introduction d’erreurs humaines liées aux tâches manuelles. Elle permet également aux équipes en charge des opérations informatiques et de la sécurité de faire l’économie des tâches manuelles pour se concentrer sur des tâches de plus grande valeur, telles que l’apport de soutien aux développeurs et aux initiatives métier, la protection des informations, etc.

Utilisez le service Azure Blueprints pour déployer rapidement et de manière cohérente des environnements d’application conformes aux stratégies de votre organisation et aux réglementations externes. Le service Azure Blueprints automatise le déploiement d’environnements, notamment de rôles RBAC, de stratégies, de ressources (machine virtuelle/réseau/storage, etc.), et bien plus encore. Il s’appuie sur les investissements significatifs de Microsoft dans Azure Resource Manager visant à normaliser le déploiement de ressources dans Azure et permettre le déploiement et la gouvernance des ressources sur la base d’une approche d’état souhaité. Vous pouvez utiliser des configurations intégrées dans le service Azure Blueprints, créer vos propres configurations, ou simplement utiliser des scripts Resource Manager pour une moindre portée.

Plusieurs exemples de blueprints de sécurité et de conformité sont disponibles, que vous pouvez utiliser comme modèles de départ.

Évaluer la sécurité à l’aide de benchmarks

Utilisez un benchmark standard sectoriel pour évaluer la posture de sécurité actuelle de votre organisation.

L’utilisation de benchmarks vous permet d’améliorer votre programme de sécurité en apprenant d’organisations externes. Elle vous permet d’évaluer votre état de sécurité actuel par rapport à celui d’autres organisations, en fournissant une validation externe pour les aspects réussis de votre système actuel, et en identifiant les lacunes qui sont autant d’opportunités d’enrichir la stratégie de sécurité globale de votre équipe. Même si votre programme de sécurité n’est pas lié à un benchmark ou à une norme réglementaire spécifiques, vous pourrez tirer parti de la compréhension des états idéaux documentés par d’autres appartenant ou non à votre secteur.

  • Par exemple, le CIS (Center for Internet Security) a créé des benchmarks de sécurité pour Azure qui correspondent à l’infrastructure de contrôle du CIS. Un autre exemple de référence est l’infrastructure MITRE ATT&CK™ qui définit les différentes tactiques et techniques hostiles sur la base d’observations réelles. Ces mappages de contrôle de référence externes vous aident à comprendre les lacunes de votre stratégie actuelle par rapport aux stratégies d’autres experts du secteur.

Auditer et appliquer la conformité à la stratégie

Veillez à ce que l’équipe de sécurité audite l’environnement pour rendre compte de la conformité à la stratégie de sécurité de l’organisation. Les équipes de sécurité peuvent également appliquer la conformité avec ces stratégies.

Les organisations de toutes tailles ont des exigences en matière de conformité à la sécurité. Les stratégies de sécurité sectorielles, gouvernementales et internes doivent toutes être auditées et appliquées. Une analyse de stratégie est essentielle pour vérifier que les configurations initiales sont correctes et restent conformes au fil du temps.

Dans Azure, vous pouvez tirer parti d’Azure Policy pour créer et gérer les stratégies en matière de conformité. Comme pour le service Azure Blueprints, les stratégies du service Azure Policy s’appuient sur des fonctionnalités Azure Resource Manager sous-jacentes de la plateforme Azure (et le service Azure Policy peut également être mis en œuvre via le service Azure Blueprints).

Pour plus d’informations sur la façon de procéder dans Azure, consultez le Didacticiel : Créer et gérer des stratégies pour assurer la conformité.

Surveiller le risque en matière d’identités

Surveillez les événements constituant un risque pour les identités afin d’être averti de la compromission potentielle d’identités et de corriger ces risques.

La plupart des incidents de sécurité ont lieu après qu’un attaquant a accédé à l’aide d’une identité volée. Ces identités sont souvent associées à des privilèges faibles, mais les attaquants les utilisent pour se déplacer latéralement afin d’accéder à des identités bénéficiant de davantage de privilèges. Les attaques sont répétées autant de fois que nécessaire jusqu’à ce que l’attaquant contrôle l’accès aux données ou systèmes cibles.

Azure Active Directory utilise des algorithmes d’apprentissage automatique adaptatifs, une approche heuristique et des informations d’identification compromises connues (paires nom d’utilisateur/mot de passe) pour détecter les actions suspectes liées à vos comptes d’utilisateur. Ces paires nom d’utilisateur/mot de passe proviennent de sites publics et du dark web (où les attaquants se débarrassent souvent de mots de passe compromis) et d’une collaboration avec des chercheurs en sécurité, des juristes, des équipes de sécurité de Microsoft et d’autres partenaires.

Il existe deux emplacements dans lesquels vous pouvez passer en revue les événements à risque signalés :

De plus, vous pouvez utiliser l’API Identity Protection relative aux événements à risque pour accéder par programme aux détections de sécurité à l’aide de Microsoft Graph.

Corrigez ces risques en adressant manuellement chaque compte signalé ou en configurant une stratégie de risque utilisateur pour exiger une modification de mot de passe pour ces événements à haut risque.

Test d’intrusion

Utilisez des tests d’intrusion pour valider les défenses de sécurité.

Une validation réelle des défenses de sécurité est essentielle pour valider votre stratégie de défense et son implémentation. Vous pouvez le faire à l’aide d’un test de pénétration (simulant une attaque ponctuelle) ou d’un programme d’équipe rouge (simulant un acteur de menace persistant ciblant votre environnement).

Suivez les conseils publiés par Microsoft pour la planification et l’exécution d’attaques simulées.

Découvrir et remplacer des protocoles non sécurisés

Détectez et désactivez l’utilisation de protocoles non sécurisés hérités (SMBv1, LM/NTLMv1, wDigest, liaisons LDAP non signées et chiffrements faibles dans Kerberos).

Les protocoles d’authentification constituent une base essentielle de presque toutes les assurances de sécurité. Des attaquants ayant accès à votre réseau peuvent exploiter ces anciennes versions qu’utilisent largement les systèmes hérités sur (IaaS).

Voici comment atténuer votre risque :

  • Découvrir l’utilisation du protocole en examinant les journaux avec le tableau de bord du protocole insecure de Microsoft Sentinel ou les outils tiers

  • Restreindre ou désactiver l’utilisation de ces protocoles en suivant des instructions pour SMB, NTLM, WDigest

Nous vous recommandons d’implémenter les modifications à l’aide d’un pilote ou d’une autre méthode de test pour atténuer le risque d’interruption opérationnelle.

Fonctionnalités de sécurité élevée

Déterminez si vous devez utiliser des fonctionnalités de sécurité spécialisées dans l’architecture de votre entreprise.

Si ces mesures peuvent améliorer la sécurité dans le respect des exigences réglementaires, elles peuvent également introduire une complexité susceptible d’avoir un impact négatif sur vos opérations et votre efficacité.

Nous recommandons un examen attentif et une utilisation judicieuse de ces mesures de sécurité en fonction des besoins :

Étapes suivantes

Pour obtenir des conseils de sécurité supplémentaires de Microsoft, consultez Documentation Microsoft sur la sécurité.