Nous vous proposons ci-dessous quelques explications sur les mesures de sécurité élémentaires que vous devriez mettre en place sur votre système informatique afin de limiter la surface d'attaque que vous offrez aux utilisateurs malveillants.
Nous pouvons vous transmettre votre score de sécurité ainsi que quelques mesures majeures à mettre en place. Certaines ne nécessitent pas d'abonnement O365 supplémentaire alors : autant les mettre en place rapidement !
Microsoft rend les paramètres de sécurité par défaut accessibles à tous, car la gestion de la sécurité peut être difficile. Les attaques liées à l’identité, comme la pulvérisation de mots de passe, la relecture et le hameçonnage, sont courantes dans l’environnement actuel. L’utilisation de l’authentification multifacteur (MFA) et le blocage de l’authentification héritée permettent d’arrêter plus de 99,9 % de ces attaques liées à l’identité. Le but est de s’assurer que toutes les organisations ont au moins un niveau de sécurité de base activé, sans coût supplémentaire.
À qui cela s’adresse-t-il ?
Les organisations qui :
- souhaitent augmenter leur niveau de sécurité, mais ne savent pas comment ou où commencer.
- qui utilisent le niveau gratuit de la licence Azure Active Directory.
Activation de la stratégie d’utilisateur à risque
La mise en place de cette mesure génère :
- Un impact modéré sur les usages de l'utilisateur concerné ayant activé le MFA sur son compte
- Un impact modéré sur la difficulté à implémenter l’action d’amélioration
Quels sont les changements apportés ?
Activation de la stratégie de connexion à risque
L’activation de la stratégie de connexion à risque garantit que les connexions suspectes font l’objet d’une demande d’authentification multifacteur (MFA).
La mise en place de cette mesure génère :
- Un impact modéré sur les usages de l'utilisateur concerné ayant activé le MFA sur son compte
- Un impact modéré sur la difficulté à implémenter l’action d’amélioration
Quels sont les changements apportés ?
Azure AD Identity Protection vous permet de configurer la stratégie de remédiation des risques liés aux connexions. Vous devez définir les conditions (niveau de risque) de déclenchement de la stratégie pour les utilisateurs qui y sont inclus. Définissez l’état de la stratégie sur Activé. Il est important de configurer la stratégie d’inscription MFA pour tous les utilisateurs inclus dans la stratégie de connexion à risque, afin de vérifier qu’ils sont inscrits au service MFA.
Comment cela va affecter mes utilisateurs ?
Lorsque la stratégie est déclenchée, l’utilisateur doit utiliser MFA pour accéder au compte. Si l’utilisateur n’est pas inscrit à MFA pour son compte, il ne peut pas y accéder.
Exiger l’authentification multifacteur pour les rôles administratifs
La mise oeuvre d'une authentification multifacteur (MFA) pour tous les utilisateurs ayant des privilèges de type "Rôle administrateur" empêche les pirates informatiques d'accéder trop facilement aux comptes utilisateur ayant des pouvoirs importants sur les données de l'entreprise (permissions plus élevées que les utilisateurs ordinaires). Si l'un de ces comptes est compromis, des données et équipement informatiques (Ordinateurs, Smartphones, Tablette, Serveur, données dans le Cloud) critiques peuvent faire l'objet d'attaques.
La mise en place de cette mesure génère :
- Un impact faible sur les usages de l'utilisateur concerné ayant activé le MFA sur son compte
- Un impact faible sur la difficulté à implémenter l’action d’amélioration
Quels sont les changements apportés ?
Implémentation standard : Si votre organisation ne dispose pas d'exigences de sécurité complexes, vous pouvez activer les paramètres de sécurité par défaut pour bloquer l'authentification héritée et exiger l'inscription et l'activation de l'authentification multifacteur pour tous les utilisateurs.
Implémentation personnalisée : Définissez des stratégies d'authentification multifacteur Azure pour protéger les appareils et les données accessibles par vos utilisateurs ayant un rôle administratif :
Vous pouvez choisir d'attrivuer à vos utilisateurs spécifiques un ou plusieurs des rôle suivants:
- Administrateur sécurité
- Administrateur service Exchange
- Administrateur général
- Administrateur accès conditionnel
- Administrateur SharePoint
- Administrateur du service d'assistance
- Administrateur de la facturation
- Administrateur des utilisateurs
- Administrateur de l'authentification
Comment cela va affecter mes utilisateurs ?
Les utilisateurs ayant des rôles administratifs doivent tout d'abord s’enregistrer pour l’authentification multifacteur. Une fois que chaque administrateur est enregistré, vos stratégies déterminent ensuite le moment lors duquel ils sont invités à s'authentifier à l'aide de facteurs d’authentification supplémentaires.
Dit autrement, le MFA ne s'active pas à chaque connexion OneDrive ou à chaque ouverture d'Outlook.
C'est en fonction de la situation que le MFA sera demandé à l'utilisateur.
Désignation de plusieurs administrateurs généraux
Il peut être utile de désigner plusieurs administrateurs généraux si vous ne parvenez pas à satisfaire les besoins ou obligations de votre organisation. Il est important de disposer d’un délégué ou d’un compte de secours auquel un membre de votre équipe peut accéder si nécessaire. Cela permet également aux administrateurs de se surveiller mutuellement en recherchant les signes de violation.
La mise en place de cette mesure génère :
- Un impact faible sur les usages de l'utilisateur concerné ayant activé le MFA sur son compte
- Un impact faible sur la difficulté à implémenter l’action d’amélioration
Quels sont les changements apportés ?
Attribuez à plusieurs utilisateurs un rôle d’administrateur général au sein de votre organisation.
Comment cela va affecter mes utilisateurs ?
Les administrateurs disposant du rôle d’administrateur général auront accès à toutes les fonctionnalités d’administration, y compris l’attribution du rôle d’administrateur à d’autres utilisateurs. L’authentification de leur compte doit être davantage sécurisée afin de protéger ces privilèges supplémentaires contre les attaquants.
Interdiction aux utilisateurs d’accorder des autorisations aux applications non gérées
Renforcez la sécurité de vos services en régulant l’accès des applications intégrées tierces. N’autorisez l’accès qu’aux applications nécessaires qui prennent en charge des contrôles de sécurité robustes. Les applications tierces n’étant pas créées par Microsoft, elles peuvent être utilisées à des fins malveillantes telles que l’exfiltration de données à partir de votre location. Des attaquants peuvent conserver un accès permanent à vos services via ces applications intégrées, sans utiliser de comptes compromis.
La mise en place de cette mesure génère :
- Un impact modéré sur les usages de l'utilisateur concerné ayant activé le MFA sur son compte
- Un impact faible sur la difficulté à implémenter l’action d’amélioration
Quels sont les changements apportés ?
Pour empêcher les utilisateurs de votre organisation d'autoriser des applications tierces à accéder à leurs informations Office 365 et exiger que les futures actions de consentement soient effectuées par un administrateur, allez sur le site Centre d'administration Azure Active Directory > Applications d'entreprise > Paramètres utilisateur > Applications d'entreprise. Définissez le bouton bascule « Les utilisateurs peuvent consentir à ce que les applications accèdent aux données de l'entreprise en leur nom » sur Non.
En option, vous pouvez configurer un processus permettant à vos utilisateurs de demander l'accès à des applications tierces. Dans le portail Azure, configurez un flux de travail de consentement d'administrateur en accédant à Applications d'entreprise > Paramètres utilisateur : Sous Demande de consentement d'administrateur, définissez « Les utilisateurs peuvent demander le consentement d'administrateur pour les applications auxquelles ils ne peuvent pas consentir » Oui. Sélectionnez vos préférences pour les autres options de demande de consentement d'administrateur Sélectionnez Enregistrer. L'activation de cette fonctionnalité peut prendre jusqu'à une heure.
Comment cela va affecter mes utilisateurs ?
Limitation des rôles d’administrateurs
Les administrateurs limités sont des utilisateurs qui disposent de plus de privilèges que les utilisateurs standard, mais pas autant que les administrateurs généraux. L’utilisation de rôles d’administrateur limités pour effectuer des tâches quotidiennes d'exploitation réduit le nombre de propriétaires du rôle d’administrateur général (qui doit rester dans seulement quelques mains). L’attribution de rôles d’utilisateurs tels qu’Administrateur de mots de passe ou Administrateur Exchange Online au lieu d’Administrateur général réduit la probabilité de violation d’un compte disposant de privilèges d’administrateur général.
La mise en place de cette mesure génère :
- Un impact faible sur les usages de l'utilisateur concerné ayant activé le MFA sur son compte
- Un impact faiblesur la difficulté à implémenter l’action d’amélioration
Quels sont les changements apportés ?
Réduisez le nombre de rôles d'administrateur général permanent affectés aux utilisateurs dans votre organisation
Après que ces administrateurs persistants aient été réaffectés à de nouveaux rôles, sélectionnez les administrateurs qui n'ont plus besoin d'un accès permanent, puis Supprimer les affectations Affectez ces utilisateurs à des rôles où ils peuvent effectuer les tâches nécessaires avec le moins de privilèges possible. Par exemple, si un utilisateur est principalement responsable de l'administration d'Exchange Online, il doit se voir attribuer ce rôle au lieu d'être administrateur général. Assurez-vous d'avoir au moins deux administrateurs généraux désignés pour permettre un accès complet au réseau si l'un des comptes est verrouillé ou compromis.
Comment cela va affecter mes utilisateurs ?
Les administrateurs auxquels des rôles alternatifs ont été octroyés perdront certains des privilèges dont ils disposaient avant (ils peuvent aussi en conserver selon le rôle). Assurez-vous que leurs privilèges sont suffisants pour accomplir leurs tâches au quotidien.
Mots de passe sans expiration
Des recherches ont démontré que le fait d’obliger des utilisateurs à réinitialiser régulièrement leurs mots de passe entraînait un affaiblissement de ces derniers, car les utilisateurs avaient alors tendance à choisir un mot de passe plus faible avant d’alterner plusieurs déclinaisons de celui-ci. Si un utilisateur crée un mot de passe fort (long, complexe et sans termes pragmatiques), celui-ci doit rester tout aussi fort ultérieurement qu’aujourd’hui. La position de sécurité adoptée officiellement par Microsoft ne prévoit pas d’expiration périodique des mots de passe sans raison spécifique et recommande aux clients cloud uniquement de configurer leur stratégie pour que leurs mots de passe n’expirent jamais.
La mise en place de cette mesure génère :
- Un impact modéré sur les usages de l'utilisateur concerné ayant activé le MFA sur son compte
- Un impact faible sur la difficulté à implémenter l’action d’amélioration
Quels sont les changements apportés ?
Dans le Centre d’administration Microsoft 365 il est possible de désactiver la fonctionnalité suivante « Définir les mots de passe utilisateur pour qu’ils expirent après un certain nombre de jours », cela vous aidera à définir la stratégie de mot de passe pour ne jamais laisser les mots de passe expirer. Vous devez être administrateur général pour modifier la stratégie de mot de passe.
Comment cela va affecter mes utilisateurs ?
Vos utilisateurs n’auront plus besoin de créer régulièrement de nouveaux mots de passe.
S'assurer que tous les utilisateurs peuvent terminer l’authentification multifacteur pour un accès sécurisé
La mise en place de cette mesure génère :
- Un impact fort sur les usages de l'utilisateur concerné ayant activé le MFA sur son compte
- Un impact fort sur la difficulté à implémenter l’action d’amélioration
Quels sont les changements apportés ?
Optionnellement, si vous avez Azure AD Premium P2, vous pouvez mettre en place une stratégie d’inscription d'authentification multifacteur Azure (MFA) pour vous aider à gérer le déploiement de la MFA dans votre environnement. Dans le portail Azure, configurez la stratégie d’inscription de l’authentification multifacteur Azure.
Comptes d'accès d'urgence : si votre organisation a créé des comptes d'administration généraux supplémentaires pour les scénarios de crise qui ne sont pas protégés par l'authentification multifacteur Azure , nous vous recommandons de configurer votre état sur « Risque accepté ».
Comment cela va affecter mes utilisateurs ?
Qui devrait utiliser l’accès conditionnel ?
Si vous êtes une organisation qui utilise actuellement des stratégies d’accès conditionnel, les valeurs par défaut de sécurité ne sont probablement pas appropriées pour vous.
Si vous êtes une organisation utilisant des licences Azure Active Directory Premium, les paramètres de sécurité par défaut ne sont probablement pas appropriés pour vous.
Si votre organisation a des exigences de sécurité complexes, vous devriez envisager l’accès conditionnel.
Dans les autres cas vous pouvez mettre en place les paramètres de sécurité par défauts sans attendre.
Voici un tableau de comparaison entre Azure AD Securité par défaut et Azure AD Accès conditionnel:
| Caractéristique | Azure AD Securité par défaut | Azure AD Accès conditionnel: |
|---|---|---|
| Objectif | Fournir un niveau de sécurité de base pour tous les locataires Azure AD, sans exiger de configuration | Fournir une méthode pour les administrateurs de configurer et d'appliquer des politiques de sécurité supplémentaires au-delà de la base fournie par les paramètres de sécurité par défaut |
| Protection automatique | Oui | Non |
| Personnalisation | Limité | Avancé |
| Politique de risque de connexion | Oui | Oui |
| Politique basée sur l'IP | Non | Oui |
| Politique basée sur l'emplacement | Non | Oui |
| Politique basée sur l'appareil | Non | Oui |
| Authentification à deux facteurs | Oui | Oui |
| Politique d'accès conditionnel | Non | Oui |
| Application Proxy | Non | Oui |
Il est important de noter que le tableau ci-dessus est un aperçu et qu'il existe d'autres fonctionnalités fournies par Azure AD Securité par défaut et Azure AD Accès conditionnel.
Commentaires
Vous devez vous connecter pour laisser un commentaire.