SlideShare una empresa de Scribd logo

La stratégie de sécurité de Microsoft

Descargar como PPTX, PDF
Microsoft Technet France
Microsoft Technet France

Depuis l’annonce par Microsoft du lancement de l’initiative pour l’informatique de confiance le 15 janvier 2002, le panorama des menaces a beaucoup évolué ; de même l’architecture des systèmes des informations et l’utilisation de l’internet dans nos vie de tous les jours. Irruption de la consumérisation de l'informatique, remise en cause de la notion de périmimètre de sécurité du système d'information, Cloud Computing,... tout cela dans un contexte où les menaces deviennent de plus en plus ciblées. Le but de cette session est de faire le point sur la stratégie sécurité de Microsoft en évoquant ses évolutions les plus récentes.

Tecnología
1 de 38
palais des congrès Paris 7, 8 et 9 février 2012
La stratégie sécurité de Microsoft Code Session : SEC2101 Bernard Ourghanlian Directeur Technique et Sécurité Microsoft France
Sommaire
Trustworthy Computing, L’informatique digne de confiance • Sécurise contre les • Protège contre une • Fiable, disponible • Engagement sur une attaques communication non désirée • Service prévisible, cohérent, interopérabilité centrée sur le • Protège la confidentialité, • Choix et contrôle par l’utilisateur réactif client l’intégrité et la • Produits, services en ligne qui • Maintenable • Leader de l’industrie reconnu, disponibilité des données adhèrent à des principes • Résilient, facilement restauré partenaire fiable et des systèmes d’information équitables • Prouvé, prêt • Ouvert, Transparent • Aide à gérer les risques
Tendances informatiques et sociétales
Dans les nouvelles… Sony Finds More Cases of Hacking of Its Servers By NICK BILTON , May 2, 2011 Sony said Monday that it had discovered that more credit card information and customer profiles had been compromised during an attack on its servers last week. Microsoft Exposes Scope of Botnet Threat By Tony Bradley, October 15, 2010 Microsoft's latest Security Intelligence Report focuses on the expanding threat posed by bots and botnets. Microsoft this week unveiled the ninth volume of its Security Intelligence Report (SIR). The semi-annual
Expérience et réalisations de Microsoft Malware Memo Protection BillG Center Global Microsoft Security Foundation Response Center Services (MSRC) (GFS)
Stratégie sécurité de Microsoft LES FONDAMENTAUX DE LA SECURITE INNOVATIONS TECHNOLOGIQUES LEADERSHIP
Microsoft Security Development Lifecycle Education Processus Imputabilité Etablir des critères Réponse sur Administrer et suivre Aider les équipes produits à se conformer aux exigences de pour la sortie d’une la formation en sécurité Incident SDL LES FONDAMENTAUX version et approbation (RFS) (MSRC) DE LA SECURITE Formation Exigences Conception Implémentation Vérification Version Réponse Etablir exigences Etablir les Plan de réponse Utiliser les outils de sécurité conception INNOVATIONS dynamique exigences de la autorisés Analyse sur Incident Etablir niveaux Exécuter le plan Formation sécurité de base qualité /bogues TECHNOLOGIQUES Testing Analyser la Déprécier les fonctions non Fuzz Revue Finale de de réponse sur surface d’attaque Sécurité incident Evaluation de sûres Revue de la risques sécurité et Modéliser les surface d’attaque Archivage de la Analyse statique vie privée menaces LEADERSHIP version Améliorations permanentes du processus – Cycle de 12 mois
Le panorama de la sécurité Cloud Privé Cloud Public APPS Sur place Online PROTECTION DE CONTRÔLE ANTI- GESTION DES RECHERCHE DEVELOPPEMENT L’INFORMATION D’ACCESS MALWARE POLITIQUES & REPONSE SECURISE TERMINAUX
Technologies Microsoft et Ressources Cloud Privé Cloud Public Sur place Online PROTECTION DE CONTRÖLE ANTI- GESTION DES RECHERCHE DEVELOPPEMENT L’INFORMATION D’ACCESS MALWARE POLITIQUES & RERPONSE SECURISE TERMINAUX
Protection du Client de bout en bout Protéger contre et gérer les Protéger les données Sécuriser l’accès aux menaces sensibles ressources Universal Extensible Firmware Interface (UEFI) Trusted Platform Model (TPM) • Maintenir le logiciel avec une solution de gestion des • Sécuriser les données au repos avec du • Gérer tout le cycle de vie de l’identité Scénarios correctifs chiffrement • Valider l’identité des utilisateurs avec • Fournir du logiciel sécurisé par conception • Protéger les données en mouvement avec le l’authentification forte • Opérer une plateforme et des applications résistantes chiffrement • Accès distant sécurisé et toujours connecté aux malwares • Protéger les données en utilisation avec des • Protéger les ressources alors que contrôles d’accès l’environnement change Produits Fonctionnalités Boot sécurisé Comptes utilisateurs Windows Windows 7 BitLocker Active Directory Boot mesuré standard MDOP -BitLocker Administration and Monitoring Direct Access Vue protégée User Account Control et AppLocker Office Information Rights Management (IRM) Network Access Protection Smart Screen Applications Modernes Windows Encrypted File System Contrôle d’accès dynamique IE Security Development Lifecycle Active Directory Rights Management Services (SDL)
Windows Phone
Environnement Cloud Microsoft Services Cloud Services Services Services tiers Consommateur Enterprise hébergés et PME Services de la Plateforme Cloud Infrastructure Cloud Infrastructure Sécurité Global Soutenable Global Foundation Services
Vous aider à vous conformer à vos exigences de conformité Services Cloud Services Services Services tiers consommateure t PME Enterprise Infrastructure hébergés Services de la Services Cloud Cloud plateforme Cloud Utilisateurs Services de la Données Consommateur du Cloud plateforme Cloud Application Hôte Infrastructure Réseau Fournisseur du Cloud Cloud Physique
Capacités de l’infrastructure Microsoft en termes de conformité Certification ISO / IEC 27001:2005 Attestations SAS 70 Type I et II (En cours de transition vers SSAE 16/ISAE 3402 SOC 1, 2, et 3) HIPAA/HITECH (US seulement) Certification standard de sécurité des données PCI Certification et accréditation FISMA (US seulement) Conformité à diverses lois en termes de vie privée 95/46/EC, c.à.d.. Directive Européenne de protection des données Clauses standards (en conformité avec les demandes du groupe de l’article 29)
Sécurité de la plateforme Cloud Couche Défenses Conformités Utilisateur • Gestion des comptes, formation et sensibilisation, dépistage Safe Harbor EU-US Oui • Service de contrôle d’accès ouvert et interopérable Certification ISO / IEC Oui Données • Clés de stockage fortes pour le contrôle d’accès 27001:2005 • Support de SSL pour les transferts de données entre toutes les parties SSAE 16 Mi-2012 Application • Code front-end écrit avec le .NET framework en mode partial trust • Comptes à faibles privilèges HIPAA BAA Planifié Hôte • Version allégée de Windows Server 2008 R2 • Frontières du hôte rendues obligatoires par un hyperviseur externe PCI DSS Planifié Réseau • Pare-feu hôte limitant le trafic vers les VM • VLAN et filtres de paquets dans les routeurs FISMA Planifié Physique • Fourni par Global Foundation Services
Sécurité des services Cloud Couche Défenses Conformités Utilisateur • Gestion des comptes, formation et sensibilisation, dépistage Certification ISO / IEC Oui (depuis la sortie) 27001:2005 Données • Contrôle d’accès et surveillance, intégrité des SAS-70 Type I Oui (SSAE SOC 1 Type I) fichiers/données Application • Ingénierie sécurisée (SDL), contrôle d’accès et surveillance, SAS-70 Type II 2ème semestre 2012 (SSAE SOC 1 Type II) anti-malware, S/MIME FISMA 1er semestre 2012 Hôte • Contrôle d’accès et surveillance, anti-malware, gestion de HIPAA/BAA Exchange Online : Oui patch et de configuration Lync Online: Oui SharePoint Online: 1er semestre 2012 Réseau • Interne : Authentification à deux facteurs, détection « Model Clauses » • EU Safe Harbor – Oui d’intrusion, analyse des vulnérabilités Européennes • Peut être signé pour les clients en AE • Externe : Routeurs de bordure, détection d’intrusion, analyse depuis le 1er juin 2011, effectif depuis des vulnérabilités Q4 2011 • Effectif pour tous clients depuis Q4 2011 Physique • Fourni par Global Foundation Services Accord de traitement Peut être signé depuis le 1 juin 2011 au de données sein d’un AE
Windows Server Sécurisé à la base Virtualisation de Serveur et Gestion d’identités et de Cloud Privé politiques Windows Server Core Architecture basé sur une Active Directory File Classification architecture micronoyau Read-Only Domain Controller Infrastructure Hyperviseur à accès restreint Federation Services Direct Access Isolation complète de l’invité Rights Management Services Bitlocker Surveillance et politiques Certificate Authority Services Isolation de Serveur et de rendues obligatoires par la partition parente Intégration des Services Cloud domaine Management par System Forefront Identity Manager Network Access Protection Center Signature du code en mode Kernel
Microsoft SQL Server Aider à faciliter de mise en conformité des organisations Protection des données Contrôle d’accès Assurer la conformité Aide à protéger vos données avec une Contrôle d’accès à vos données en Assure la conformité avec les solution de base de données connue gérant efficacement l’authentification et politiques de l’entreprise ou les historiquement pour disposer du plus l’autorisation et en ne fournissant l’accès réglementations telles que SOX, faible nombre de vulnérabilités du marché qu’aux utilisateurs autorisés LSF, PCI, et Critères Communs Chiffrement de données transparent Authentification Kerberos Gestion basée sur les politiques Chiffrement de la sauvegarde Rôles Serveur définis par l’utilisateur Audit défini par l’utilisateur, filtrage et Gestion extensible de clés Schéma par défaut pour les groupes résilience Améliorations du chiffrement Audit SQL Server Audit dans touts les versions Authentification base de données confinée Changement de la capture des données Whitepaper “SQL Server Delivers Industry-Leading Security” by ITIC, a leading analyst firm Exemples Whitepaper “Supporting HIPAA Compliance with SQL Server,” by Information Security Center of Expertise at Jefferson Wells International, Inc, a leading Risk Advisory and Security Compliance services organization. Whitepaper “Deploying SQL Server Based on Payment Card Industry Data Security Standards (PCI DSS 2.0),” by certified audit firm, Parente Randolph (now ParenteBeard). KB Support Article How to use SQL Server in FIPS 140-2 compliant mode
Productivité Communiquer et collaborer de manière plus sécurisée en utilisant Exchange, SharePoint, Lync, and Office Protection Complète Sécurité de l’Information Visibilité et Contrôle Protection en plusieurs couches Règles de politique Administration, reporting et audit contre spam et malware permettant d’inspecter les intégrés mails en transit Efficacité garantie par 5 SLA Contrôle granulaire sur les accès admettant contrepartie Intégration avec AD RMS et les permissions des utilisateurs financière pour protéger les données sensibles Politiques de sécurité pour les Contrôles au sein des produits terminaux mobiles et effacement afin d’aider les utilisateurs à se Chiffrement de bout en bout des terminaux à distance protéger contre les menaces des communications
L’agenda du RSSI de Microsoft + 100 pays • Intellectual • Support for Rapidly 190 000 utilisateurs Property 41 000 terminaux WP 7 Protection Changing Business + 1000 applications • Increased Data • Need for Improved + 700 000 Sites SharePoint 8 Datacenters de production Leakage and Portability Business Intelligence • Building robust 10 000 serveurs de production • Insider Threats continuity plans + 12 000 machines virtuelles • Risk Management vs. • Deliver First and Best Risk Elimination 1,3 million de terminaux (products & services) • Business • Continuity MSIT • “Cloud” (RSSI) • Better Integration Computing _ with Board/ERM • Data Loss • Vendor and 3rd Party + 102 000 Clients Windows 7 Prevention Management microsoft.com, 1,7 Milliards • SIEM Platforms and • Asset and Configuration de hits/jour + 109 000 Clients Office Programs Management 2010 • IAM Governance • Executive Reporting 7 Millions spam filtrés par jour 49 % des utilisateurs sur and Metrics OCS/Lync and Process • Awareness 85 Millions IM par mois • Emerging Une seule instance SAP sur and training SQL Server 2008 R2 technologies 34 000 sessions de collaboration virtuelle par mois Source: “Trends in Information Protection for 2008” Presentation for SC Magazine WebCast, January 9, 2008
La consumérisation et ses manifestations dans l’entreprise Import des usages innovants depuis la maison  Exemple du succès des téléphones portables dans l’entreprise  Messagerie instantanée ou réseaux sociaux « Floutage » de la frontière entre la maison et le bureau  Massification de l’utilisation des PC portables, des tablettes, des Smartphones,… Changement de certaines politiques d’achat  Contournement de la DSI par les métiers avec un achat direct en mode « consommateur »…
Quelques principes permettant la consumérisation Accès au patrimoine informationnel en fonction de Qui vous êtes  Lecture, Lecture/Ecriture, Contrôle complet Quel est le niveau de confiance dans le terminal  Géré, non géré Où est le terminal  Réseau d’entreprise  Internet  Pays hostile
Le niveau d’accès augmente avec la confiance Plein accès aux Applications applications métiers Accès aux applications métiers dans le Cloud sur le réseau métiers d’entreprise Niveau d’accès Accès au stockage de documents Accès aux documents internes et aux Documents dans le Cloud sites à travers l’Internet Possibilité d’ouvrir des messages email protégés par un Digital Rights Email, Management (DRM) calendrier, contacts Possibilité d’accéder aux emails, calendrier et contacts Non géré Géré Niveau de confiance de l’IT
Technologies permettant la Consumérisation Isolation  Isolation de serveur et de domaine (IPSec)  Contrôle de l’état de santé des terminaux - Network Access Protection (NAP)  Services de gestion de droits numériques – Rights Management Services - RMS Accès  Unified Access Gateway (UAG)  Terminal Server Access Gateway (TSG)  Virtual Desktop Infrastructure (VDI)  Remote Desktop Services (RDS)  Application distante RDS
Isolation de serveur et de domaine Contrôleur de domaine Active Directory Réseau d’entreprise Serveur de ressources digne de confiance X Serveurs avec des Station RH données sensibles Ordinateur non géré X Isolation de serveur Ordinateur Indigne de Ordinateur géré confiance géré Isolation de domaine Les ordinateurs gérés peuvent communiquer Distribution des politiques et des indignes de Permettre les accès depuis ordi. crédentités Definir les frontières d’isolation logiques Bloquer connexions entrantes aux ressources sensibles confiance
Isolation : Network Access Protection Network Access Protection Solution basée sur des politiques qui : • Valide si les ordinateurs sont conformes aux politiques de « santé » • Limite les accès des ordinateurs non conformes • Corrige automatiquement les ordinateurs non conformes • Met à jour en continu les ordinateurs conformes pour maintenir leur état de santé Clients Intranet Les points forts de la solution Fondée sur des standards Partenaires Plug and Play Fonctionne avec la plupart des terminaux Supporte plusieurs solutions antivirus Est devenu le standard pour le contrôle d’accès réseau Employés distants
Network Access Protection Comment cela fonctionne-t-il ? 1 Serveurs de politiques Patch,AV,… 1 Accès demandé 2 Etat de santé envoyé au NPS Microsoft 3 Network Policy Server (RADIUS) Serveursde Non conforme à la politique 5 remédiation 3 Le NPS autorise en fonction de la 2 Réseau Patch,AV,… politique de santé restreint Conforme à la 4 Si conforme, accès donné DCHP, VPN politique Switch/Routeur Réseau d’entreprise 5 Si non conforme, 4 accès restreint au réseau et remédiation
Protéger le capital intellectuel : Flux RMS 1. L’auteur reçoit un certificat de licence la « première SQL Server Active Directory fois » qu’il protège les droits d’accès à une information 2. L’auteur définit un ensemble de droits d’usage et de règles pour ses fichiers, l’application crée une « licence de publication » et chiffre le fichier Windows Server tournant RMS 3 3. L’auteur distribue le fichier 1 4 4. Le destinataire clique sur le fichier pour l’ouvrir, 2 5 l’application compatible RMS appelle le serveur RMS qui valide l’utilisateur et émet une « licence 3 d’utilisation » 5. L’application compatible RMS affiche le fichier et Auteur utilisant Office Le destinataire rend obligatoire les droits d’accès et d’utilisation du fichier
La sécurité au service des métiers Systèmes
IGNORER ? ADOPTER ? CONTENIR ? BLOQUER ? Qu’allez-vous faire ?
Consumérisation : Cadrer la politique Contenir Adopter L’informatique fournit L’informatique fournit • Politique/Standards/Meilleures pratiques Valeur pour les métiers • La politique et les standards • L’architecture d’entreprise • Les technologies • Les opérations, le support et le help desk • L’architecture d’entreprise • La correction en cas problème • Les opérations et le support • Niveaux de service pour la disponibilité Ignorer L’informatique fournit Bloquer • La politique et les standards • La mise en vigueur L’informatique fournit • L’auto-hébergement (par de support par l’IT) • La politique Atténuation des risques
Consumérisation chez Microsoft Contenir Adopter Valeur pour les métiers Self-Host Bloquer Ignorer Atténuation des risques
Consumérisation : risque ou opportunité La consumérisation de l’informatique ne va pas forcément de pair avec perte de contrôle et brèche de sécurité ; au contraire ! L’énergie et le temps dépensés par une DSI pour censurer certains usages et outils peuvent être mieux employés à écouter, réguler lest sans perdre le contrôle ! Lâcher du et reconnaître la compétence de chaque collaborateur en lui offrant un cadre de travail personnalisé A condition de protéger le système d’information des abus et pratiques dangereuses, c’est un système bien plus motivant pour chacun, et partant plus efficace, qui peut être mis en place
LEADERSHIP Global Phishing Démantèlement de Botnet Enforcement Anti-Phishing Digital PhishNet Initiative Initiative Signal Spam Microsoft Security Response Alliance
MERCI !
Microsoft France 39, quai du président Roosevelt 92130 Issy-Les-Moulineaux www.microsoft.com/france

Recomendados

Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational_France
 
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]IBM France PME-ETI
 
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielCyber Security Alliance
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2ISACA Chapitre de Québec
 
Sifaris conseil
Sifaris conseilSifaris conseil
Sifaris conseilSIFARIS
 
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...polenumerique33
 
Auditer son plan de secours informatique et détecter ses vulnérabilités
Auditer son plan de secours informatique et détecter ses vulnérabilitésAuditer son plan de secours informatique et détecter ses vulnérabilités
Auditer son plan de secours informatique et détecter ses vulnérabilitésAlterest
 

Recomendados

Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...
Rational France - Livre blanc - Choisir le bon outil pour outils pour faire d...Rational_France
 
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]IBM France PME-ETI
 
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielCyber Security Alliance
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2ISACA Chapitre de Québec
 
Sifaris conseil
Sifaris conseilSifaris conseil
Sifaris conseilSIFARIS
 
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...polenumerique33
 
Auditer son plan de secours informatique et détecter ses vulnérabilités
Auditer son plan de secours informatique et détecter ses vulnérabilitésAuditer son plan de secours informatique et détecter ses vulnérabilités
Auditer son plan de secours informatique et détecter ses vulnérabilitésAlterest
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreNRC
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information ISACA Chapitre de Québec
 
La voie vers une application sécurisée
La voie vers une application sécuriséeLa voie vers une application sécurisée
La voie vers une application sécuriséeRational_France
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005michaeldean
 
Gestion d'incidents pour développeurs
Gestion d'incidents pour développeursGestion d'incidents pour développeurs
Gestion d'incidents pour développeursHarvey Francois
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsBee_Ware
 
Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-Bertrand Milot, CRMP, CRISC, CISM, PCSM, C|Ciso
 
Qu’est-ce qu’un poste de travail sécurisé ?
Qu’est-ce qu’un poste de travail sécurisé ? Qu’est-ce qu’un poste de travail sécurisé ?
Qu’est-ce qu’un poste de travail sécurisé ? Microsoft Technet France
 
Sécurité & Continuité
Sécurité & ContinuitéSécurité & Continuité
Sécurité & ContinuitéBertrand Milot, CRMP, CRISC, CISM, PCSM, C|Ciso
 
Sifaris architecture
Sifaris architectureSifaris architecture
Sifaris architectureSIFARIS
 
Livret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & FortinetLivret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & FortinetExaprobe
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...polenumerique33
 
Définir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuelsDéfinir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuelsRoland Kouakou
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIISACA Chapitre de Québec
 
Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015polenumerique33
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebKlee Group
 
Réussir facilement sa migration antivirus
Réussir facilement sa migration antivirusRéussir facilement sa migration antivirus
Réussir facilement sa migration antivirusNRC
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécuriséfacemeshfacemesh
 
Audit technique de code
Audit technique de codeAudit technique de code
Audit technique de codeMehdi TAZI
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
[Infographie] Sécurité des applications : pourquoi et comment ?
[Infographie] Sécurité des applications : pourquoi et comment ?[Infographie] Sécurité des applications : pourquoi et comment ?
[Infographie] Sécurité des applications : pourquoi et comment ?Advens
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...PMI-Montréal
 

Más contenido relacionado

La actualidad más candente

Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreNRC
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information ISACA Chapitre de Québec
 
La voie vers une application sécurisée
La voie vers une application sécuriséeLa voie vers une application sécurisée
La voie vers une application sécuriséeRational_France
 
Gestion d'incidents pour développeurs
Gestion d'incidents pour développeursGestion d'incidents pour développeurs
Gestion d'incidents pour développeursHarvey Francois
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsBee_Ware
 
Qu’est-ce qu’un poste de travail sécurisé ?
Qu’est-ce qu’un poste de travail sécurisé ? Qu’est-ce qu’un poste de travail sécurisé ?
Qu’est-ce qu’un poste de travail sécurisé ? Microsoft Technet France
 
Sifaris architecture
Sifaris architectureSifaris architecture
Sifaris architectureSIFARIS
 
Livret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & FortinetLivret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & FortinetExaprobe
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...polenumerique33
 
Définir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuelsDéfinir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuelsRoland Kouakou
 
Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015polenumerique33
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebKlee Group
 
Réussir facilement sa migration antivirus
Réussir facilement sa migration antivirusRéussir facilement sa migration antivirus
Réussir facilement sa migration antivirusNRC
 
Audit technique de code
Audit technique de codeAudit technique de code
Audit technique de codeMehdi TAZI
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 

La actualidad más candente (20)

Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettre
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
 
La voie vers une application sécurisée
La voie vers une application sécuriséeLa voie vers une application sécurisée
La voie vers une application sécurisée
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005
 
Gestion d'incidents pour développeurs
Gestion d'incidents pour développeursGestion d'incidents pour développeurs
Gestion d'incidents pour développeurs
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industriels
 
Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-
 
Qu’est-ce qu’un poste de travail sécurisé ?
Qu’est-ce qu’un poste de travail sécurisé ? Qu’est-ce qu’un poste de travail sécurisé ?
Qu’est-ce qu’un poste de travail sécurisé ?
 
Sécurité & Continuité
Sécurité & ContinuitéSécurité & Continuité
Sécurité & Continuité
 
Sifaris architecture
Sifaris architectureSifaris architecture
Sifaris architecture
 
Livret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & FortinetLivret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & Fortinet
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...
 
Définir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuelsDéfinir un guide de sécurité des systèmes informatiques virtuels
Définir un guide de sécurité des systèmes informatiques virtuels
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
 
Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015Guide achat produits securite services confiance qualifies ANSSI 2015
Guide achat produits securite services confiance qualifies ANSSI 2015
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
 
Réussir facilement sa migration antivirus
Réussir facilement sa migration antivirusRéussir facilement sa migration antivirus
Réussir facilement sa migration antivirus
 
Développement sécurisé
Développement sécuriséDéveloppement sécurisé
Développement sécurisé
 
Audit technique de code
Audit technique de codeAudit technique de code
Audit technique de code
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 

Similar a La stratégie de sécurité de Microsoft

[Infographie] Sécurité des applications : pourquoi et comment ?
[Infographie] Sécurité des applications : pourquoi et comment ?[Infographie] Sécurité des applications : pourquoi et comment ?
[Infographie] Sécurité des applications : pourquoi et comment ?Advens
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...PMI-Montréal
 
Cloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSICloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSIMicrosoft Décideurs IT
 
Développement sécurisé avec Microsoft.Net et HP Fortify
Développement sécurisé avec Microsoft.Net et HP FortifyDéveloppement sécurisé avec Microsoft.Net et HP Fortify
Développement sécurisé avec Microsoft.Net et HP FortifyMicrosoft
 
Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Aymeric Lagier
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 
Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012Valdes Nzalli
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Microsoft Technet France
 
Cas APHP - solution de mobilité avec Windows 8
Cas APHP - solution de mobilité avec Windows 8Cas APHP - solution de mobilité avec Windows 8
Cas APHP - solution de mobilité avec Windows 8Microsoft Décideurs IT
 
Démarche Qualité Totale, Amdec safe amp50 hagondange
Démarche Qualité Totale, Amdec safe amp50 hagondange Démarche Qualité Totale, Amdec safe amp50 hagondange
Démarche Qualité Totale, Amdec safe amp50 hagondangeSAGITEC
 
[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnels[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnelsonepoint x weave
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Antonio Fontes
 
Presentation pfe 2012
Presentation pfe 2012Presentation pfe 2012
Presentation pfe 2012Sellami Ahmed
 
DevOps Day - Monitoring
DevOps Day - MonitoringDevOps Day - Monitoring
DevOps Day - MonitoringRadoine Douhou
 
L'Approche SMV de COGENIT
L'Approche SMV de COGENITL'Approche SMV de COGENIT
L'Approche SMV de COGENITSany_M
 

Similar a La stratégie de sécurité de Microsoft (20)

[Infographie] Sécurité des applications : pourquoi et comment ?
[Infographie] Sécurité des applications : pourquoi et comment ?[Infographie] Sécurité des applications : pourquoi et comment ?
[Infographie] Sécurité des applications : pourquoi et comment ?
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
 
Cloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSICloud & Sécurité : une approche pragmatique pour les RSSI
Cloud & Sécurité : une approche pragmatique pour les RSSI
 
Développement sécurisé avec Microsoft.Net et HP Fortify
Développement sécurisé avec Microsoft.Net et HP FortifyDéveloppement sécurisé avec Microsoft.Net et HP Fortify
Développement sécurisé avec Microsoft.Net et HP Fortify
 
Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
 
Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
 
Cas APHP - solution de mobilité avec Windows 8
Cas APHP - solution de mobilité avec Windows 8Cas APHP - solution de mobilité avec Windows 8
Cas APHP - solution de mobilité avec Windows 8
 
Mohamed.marouan
Mohamed.marouanMohamed.marouan
Mohamed.marouan
 
Démarche Qualité Totale, Amdec safe amp50 hagondange
Démarche Qualité Totale, Amdec safe amp50 hagondange Démarche Qualité Totale, Amdec safe amp50 hagondange
Démarche Qualité Totale, Amdec safe amp50 hagondange
 
[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnels[Gestion des risques et conformite] gerer les risques operationnels
[Gestion des risques et conformite] gerer les risques operationnels
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...
 
Presentation pfe 2012
Presentation pfe 2012Presentation pfe 2012
Presentation pfe 2012
 
Mehari
MehariMehari
Mehari
 
DevOps Day - Monitoring
DevOps Day - MonitoringDevOps Day - Monitoring
DevOps Day - Monitoring
 
TECHCARE GROUP
TECHCARE GROUPTECHCARE GROUP
TECHCARE GROUP
 
L'Approche SMV de COGENIT
L'Approche SMV de COGENITL'Approche SMV de COGENIT
L'Approche SMV de COGENIT
 
Qualite1
Qualite1Qualite1
Qualite1
 

Más de Microsoft Technet France

Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Microsoft Technet France
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Microsoft Technet France
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...Microsoft Technet France
 
Wavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesWavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesMicrosoft Technet France
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureMicrosoft Technet France
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityMicrosoft Technet France
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationMicrosoft Technet France
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeMicrosoft Technet France
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceMicrosoft Technet France
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Microsoft Technet France
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Microsoft Technet France
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftMicrosoft Technet France
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Microsoft Technet France
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudMicrosoft Technet France
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Microsoft Technet France
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesMicrosoft Technet France
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneMicrosoft Technet France
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsMicrosoft Technet France
 

Más de Microsoft Technet France (20)

Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10
 
OMS log search au quotidien
OMS log search au quotidienOMS log search au quotidien
OMS log search au quotidien
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
 
Wavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesWavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semaines
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + Security
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle génération
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le monde
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a Service
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de Microsoft
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
 
Sécurité des données
Sécurité des donnéesSécurité des données
Sécurité des données
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloud
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybrides
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderne
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'Informations
 

La stratégie de sécurité de Microsoft

  • 1. palais des congrès Paris 7, 8 et 9 février 2012
  • 2. La stratégie sécurité de Microsoft Code Session : SEC2101 Bernard Ourghanlian Directeur Technique et Sécurité Microsoft France
  • 4. Trustworthy Computing, L’informatique digne de confiance • Sécurise contre les • Protège contre une • Fiable, disponible • Engagement sur une attaques communication non désirée • Service prévisible, cohérent, interopérabilité centrée sur le • Protège la confidentialité, • Choix et contrôle par l’utilisateur réactif client l’intégrité et la • Produits, services en ligne qui • Maintenable • Leader de l’industrie reconnu, disponibilité des données adhèrent à des principes • Résilient, facilement restauré partenaire fiable et des systèmes d’information équitables • Prouvé, prêt • Ouvert, Transparent • Aide à gérer les risques
  • 6. Dans les nouvelles… Sony Finds More Cases of Hacking of Its Servers By NICK BILTON , May 2, 2011 Sony said Monday that it had discovered that more credit card information and customer profiles had been compromised during an attack on its servers last week. Microsoft Exposes Scope of Botnet Threat By Tony Bradley, October 15, 2010 Microsoft's latest Security Intelligence Report focuses on the expanding threat posed by bots and botnets. Microsoft this week unveiled the ninth volume of its Security Intelligence Report (SIR). The semi-annual
  • 7. Expérience et réalisations de Microsoft Malware Memo Protection BillG Center Global Microsoft Security Foundation Response Center Services (MSRC) (GFS)
  • 8. Stratégie sécurité de Microsoft LES FONDAMENTAUX DE LA SECURITE INNOVATIONS TECHNOLOGIQUES LEADERSHIP
  • 9. Microsoft Security Development Lifecycle Education Processus Imputabilité Etablir des critères Réponse sur Administrer et suivre Aider les équipes produits à se conformer aux exigences de pour la sortie d’une la formation en sécurité Incident SDL LES FONDAMENTAUX version et approbation (RFS) (MSRC) DE LA SECURITE Formation Exigences Conception Implémentation Vérification Version Réponse Etablir exigences Etablir les Plan de réponse Utiliser les outils de sécurité conception INNOVATIONS dynamique exigences de la autorisés Analyse sur Incident Etablir niveaux Exécuter le plan Formation sécurité de base qualité /bogues TECHNOLOGIQUES Testing Analyser la Déprécier les fonctions non Fuzz Revue Finale de de réponse sur surface d’attaque Sécurité incident Evaluation de sûres Revue de la risques sécurité et Modéliser les surface d’attaque Archivage de la Analyse statique vie privée menaces LEADERSHIP version Améliorations permanentes du processus – Cycle de 12 mois
  • 10. Le panorama de la sécurité Cloud Privé Cloud Public APPS Sur place Online PROTECTION DE CONTRÔLE ANTI- GESTION DES RECHERCHE DEVELOPPEMENT L’INFORMATION D’ACCESS MALWARE POLITIQUES & REPONSE SECURISE TERMINAUX
  • 11. Technologies Microsoft et Ressources Cloud Privé Cloud Public Sur place Online PROTECTION DE CONTRÖLE ANTI- GESTION DES RECHERCHE DEVELOPPEMENT L’INFORMATION D’ACCESS MALWARE POLITIQUES & RERPONSE SECURISE TERMINAUX
  • 12. Protection du Client de bout en bout Protéger contre et gérer les Protéger les données Sécuriser l’accès aux menaces sensibles ressources Universal Extensible Firmware Interface (UEFI) Trusted Platform Model (TPM) • Maintenir le logiciel avec une solution de gestion des • Sécuriser les données au repos avec du • Gérer tout le cycle de vie de l’identité Scénarios correctifs chiffrement • Valider l’identité des utilisateurs avec • Fournir du logiciel sécurisé par conception • Protéger les données en mouvement avec le l’authentification forte • Opérer une plateforme et des applications résistantes chiffrement • Accès distant sécurisé et toujours connecté aux malwares • Protéger les données en utilisation avec des • Protéger les ressources alors que contrôles d’accès l’environnement change Produits Fonctionnalités Boot sécurisé Comptes utilisateurs Windows Windows 7 BitLocker Active Directory Boot mesuré standard MDOP -BitLocker Administration and Monitoring Direct Access Vue protégée User Account Control et AppLocker Office Information Rights Management (IRM) Network Access Protection Smart Screen Applications Modernes Windows Encrypted File System Contrôle d’accès dynamique IE Security Development Lifecycle Active Directory Rights Management Services (SDL)
  • 14. Environnement Cloud Microsoft Services Cloud Services Services Services tiers Consommateur Enterprise hébergés et PME Services de la Plateforme Cloud Infrastructure Cloud Infrastructure Sécurité Global Soutenable Global Foundation Services
  • 15. Vous aider à vous conformer à vos exigences de conformité Services Cloud Services Services Services tiers consommateure t PME Enterprise Infrastructure hébergés Services de la Services Cloud Cloud plateforme Cloud Utilisateurs Services de la Données Consommateur du Cloud plateforme Cloud Application Hôte Infrastructure Réseau Fournisseur du Cloud Cloud Physique
  • 16. Capacités de l’infrastructure Microsoft en termes de conformité Certification ISO / IEC 27001:2005 Attestations SAS 70 Type I et II (En cours de transition vers SSAE 16/ISAE 3402 SOC 1, 2, et 3) HIPAA/HITECH (US seulement) Certification standard de sécurité des données PCI Certification et accréditation FISMA (US seulement) Conformité à diverses lois en termes de vie privée 95/46/EC, c.à.d.. Directive Européenne de protection des données Clauses standards (en conformité avec les demandes du groupe de l’article 29)
  • 17. Sécurité de la plateforme Cloud Couche Défenses Conformités Utilisateur • Gestion des comptes, formation et sensibilisation, dépistage Safe Harbor EU-US Oui • Service de contrôle d’accès ouvert et interopérable Certification ISO / IEC Oui Données • Clés de stockage fortes pour le contrôle d’accès 27001:2005 • Support de SSL pour les transferts de données entre toutes les parties SSAE 16 Mi-2012 Application • Code front-end écrit avec le .NET framework en mode partial trust • Comptes à faibles privilèges HIPAA BAA Planifié Hôte • Version allégée de Windows Server 2008 R2 • Frontières du hôte rendues obligatoires par un hyperviseur externe PCI DSS Planifié Réseau • Pare-feu hôte limitant le trafic vers les VM • VLAN et filtres de paquets dans les routeurs FISMA Planifié Physique • Fourni par Global Foundation Services
  • 18. Sécurité des services Cloud Couche Défenses Conformités Utilisateur • Gestion des comptes, formation et sensibilisation, dépistage Certification ISO / IEC Oui (depuis la sortie) 27001:2005 Données • Contrôle d’accès et surveillance, intégrité des SAS-70 Type I Oui (SSAE SOC 1 Type I) fichiers/données Application • Ingénierie sécurisée (SDL), contrôle d’accès et surveillance, SAS-70 Type II 2ème semestre 2012 (SSAE SOC 1 Type II) anti-malware, S/MIME FISMA 1er semestre 2012 Hôte • Contrôle d’accès et surveillance, anti-malware, gestion de HIPAA/BAA Exchange Online : Oui patch et de configuration Lync Online: Oui SharePoint Online: 1er semestre 2012 Réseau • Interne : Authentification à deux facteurs, détection « Model Clauses » • EU Safe Harbor – Oui d’intrusion, analyse des vulnérabilités Européennes • Peut être signé pour les clients en AE • Externe : Routeurs de bordure, détection d’intrusion, analyse depuis le 1er juin 2011, effectif depuis des vulnérabilités Q4 2011 • Effectif pour tous clients depuis Q4 2011 Physique • Fourni par Global Foundation Services Accord de traitement Peut être signé depuis le 1 juin 2011 au de données sein d’un AE
  • 19. Windows Server Sécurisé à la base Virtualisation de Serveur et Gestion d’identités et de Cloud Privé politiques Windows Server Core Architecture basé sur une Active Directory File Classification architecture micronoyau Read-Only Domain Controller Infrastructure Hyperviseur à accès restreint Federation Services Direct Access Isolation complète de l’invité Rights Management Services Bitlocker Surveillance et politiques Certificate Authority Services Isolation de Serveur et de rendues obligatoires par la partition parente Intégration des Services Cloud domaine Management par System Forefront Identity Manager Network Access Protection Center Signature du code en mode Kernel
  • 20. Microsoft SQL Server Aider à faciliter de mise en conformité des organisations Protection des données Contrôle d’accès Assurer la conformité Aide à protéger vos données avec une Contrôle d’accès à vos données en Assure la conformité avec les solution de base de données connue gérant efficacement l’authentification et politiques de l’entreprise ou les historiquement pour disposer du plus l’autorisation et en ne fournissant l’accès réglementations telles que SOX, faible nombre de vulnérabilités du marché qu’aux utilisateurs autorisés LSF, PCI, et Critères Communs Chiffrement de données transparent Authentification Kerberos Gestion basée sur les politiques Chiffrement de la sauvegarde Rôles Serveur définis par l’utilisateur Audit défini par l’utilisateur, filtrage et Gestion extensible de clés Schéma par défaut pour les groupes résilience Améliorations du chiffrement Audit SQL Server Audit dans touts les versions Authentification base de données confinée Changement de la capture des données Whitepaper “SQL Server Delivers Industry-Leading Security” by ITIC, a leading analyst firm Exemples Whitepaper “Supporting HIPAA Compliance with SQL Server,” by Information Security Center of Expertise at Jefferson Wells International, Inc, a leading Risk Advisory and Security Compliance services organization. Whitepaper “Deploying SQL Server Based on Payment Card Industry Data Security Standards (PCI DSS 2.0),” by certified audit firm, Parente Randolph (now ParenteBeard). KB Support Article How to use SQL Server in FIPS 140-2 compliant mode
  • 21. Productivité Communiquer et collaborer de manière plus sécurisée en utilisant Exchange, SharePoint, Lync, and Office Protection Complète Sécurité de l’Information Visibilité et Contrôle Protection en plusieurs couches Règles de politique Administration, reporting et audit contre spam et malware permettant d’inspecter les intégrés mails en transit Efficacité garantie par 5 SLA Contrôle granulaire sur les accès admettant contrepartie Intégration avec AD RMS et les permissions des utilisateurs financière pour protéger les données sensibles Politiques de sécurité pour les Contrôles au sein des produits terminaux mobiles et effacement afin d’aider les utilisateurs à se Chiffrement de bout en bout des terminaux à distance protéger contre les menaces des communications
  • 22. L’agenda du RSSI de Microsoft + 100 pays • Intellectual • Support for Rapidly 190 000 utilisateurs Property 41 000 terminaux WP 7 Protection Changing Business + 1000 applications • Increased Data • Need for Improved + 700 000 Sites SharePoint 8 Datacenters de production Leakage and Portability Business Intelligence • Building robust 10 000 serveurs de production • Insider Threats continuity plans + 12 000 machines virtuelles • Risk Management vs. • Deliver First and Best Risk Elimination 1,3 million de terminaux (products & services) • Business • Continuity MSIT • “Cloud” (RSSI) • Better Integration Computing _ with Board/ERM • Data Loss • Vendor and 3rd Party + 102 000 Clients Windows 7 Prevention Management microsoft.com, 1,7 Milliards • SIEM Platforms and • Asset and Configuration de hits/jour + 109 000 Clients Office Programs Management 2010 • IAM Governance • Executive Reporting 7 Millions spam filtrés par jour 49 % des utilisateurs sur and Metrics OCS/Lync and Process • Awareness 85 Millions IM par mois • Emerging Une seule instance SAP sur and training SQL Server 2008 R2 technologies 34 000 sessions de collaboration virtuelle par mois Source: “Trends in Information Protection for 2008” Presentation for SC Magazine WebCast, January 9, 2008
  • 23. La consumérisation et ses manifestations dans l’entreprise Import des usages innovants depuis la maison  Exemple du succès des téléphones portables dans l’entreprise  Messagerie instantanée ou réseaux sociaux « Floutage » de la frontière entre la maison et le bureau  Massification de l’utilisation des PC portables, des tablettes, des Smartphones,… Changement de certaines politiques d’achat  Contournement de la DSI par les métiers avec un achat direct en mode « consommateur »…
  • 24. Quelques principes permettant la consumérisation Accès au patrimoine informationnel en fonction de Qui vous êtes  Lecture, Lecture/Ecriture, Contrôle complet Quel est le niveau de confiance dans le terminal  Géré, non géré Où est le terminal  Réseau d’entreprise  Internet  Pays hostile
  • 25. Le niveau d’accès augmente avec la confiance Plein accès aux Applications applications métiers Accès aux applications métiers dans le Cloud sur le réseau métiers d’entreprise Niveau d’accès Accès au stockage de documents Accès aux documents internes et aux Documents dans le Cloud sites à travers l’Internet Possibilité d’ouvrir des messages email protégés par un Digital Rights Email, Management (DRM) calendrier, contacts Possibilité d’accéder aux emails, calendrier et contacts Non géré Géré Niveau de confiance de l’IT
  • 26. Technologies permettant la Consumérisation Isolation  Isolation de serveur et de domaine (IPSec)  Contrôle de l’état de santé des terminaux - Network Access Protection (NAP)  Services de gestion de droits numériques – Rights Management Services - RMS Accès  Unified Access Gateway (UAG)  Terminal Server Access Gateway (TSG)  Virtual Desktop Infrastructure (VDI)  Remote Desktop Services (RDS)  Application distante RDS
  • 27. Isolation de serveur et de domaine Contrôleur de domaine Active Directory Réseau d’entreprise Serveur de ressources digne de confiance X Serveurs avec des Station RH données sensibles Ordinateur non géré X Isolation de serveur Ordinateur Indigne de Ordinateur géré confiance géré Isolation de domaine Les ordinateurs gérés peuvent communiquer Distribution des politiques et des indignes de Permettre les accès depuis ordi. crédentités Definir les frontières d’isolation logiques Bloquer connexions entrantes aux ressources sensibles confiance
  • 28. Isolation : Network Access Protection Network Access Protection Solution basée sur des politiques qui : • Valide si les ordinateurs sont conformes aux politiques de « santé » • Limite les accès des ordinateurs non conformes • Corrige automatiquement les ordinateurs non conformes • Met à jour en continu les ordinateurs conformes pour maintenir leur état de santé Clients Intranet Les points forts de la solution Fondée sur des standards Partenaires Plug and Play Fonctionne avec la plupart des terminaux Supporte plusieurs solutions antivirus Est devenu le standard pour le contrôle d’accès réseau Employés distants
  • 29. Network Access Protection Comment cela fonctionne-t-il ? 1 Serveurs de politiques Patch,AV,… 1 Accès demandé 2 Etat de santé envoyé au NPS Microsoft 3 Network Policy Server (RADIUS) Serveursde Non conforme à la politique 5 remédiation 3 Le NPS autorise en fonction de la 2 Réseau Patch,AV,… politique de santé restreint Conforme à la 4 Si conforme, accès donné DCHP, VPN politique Switch/Routeur Réseau d’entreprise 5 Si non conforme, 4 accès restreint au réseau et remédiation
  • 30. Protéger le capital intellectuel : Flux RMS 1. L’auteur reçoit un certificat de licence la « première SQL Server Active Directory fois » qu’il protège les droits d’accès à une information 2. L’auteur définit un ensemble de droits d’usage et de règles pour ses fichiers, l’application crée une « licence de publication » et chiffre le fichier Windows Server tournant RMS 3 3. L’auteur distribue le fichier 1 4 4. Le destinataire clique sur le fichier pour l’ouvrir, 2 5 l’application compatible RMS appelle le serveur RMS qui valide l’utilisateur et émet une « licence 3 d’utilisation » 5. L’application compatible RMS affiche le fichier et Auteur utilisant Office Le destinataire rend obligatoire les droits d’accès et d’utilisation du fichier
  • 31. La sécurité au service des métiers Systèmes
  • 32. IGNORER ? ADOPTER ? CONTENIR ? BLOQUER ? Qu’allez-vous faire ?
  • 33. Consumérisation : Cadrer la politique Contenir Adopter L’informatique fournit L’informatique fournit • Politique/Standards/Meilleures pratiques Valeur pour les métiers • La politique et les standards • L’architecture d’entreprise • Les technologies • Les opérations, le support et le help desk • L’architecture d’entreprise • La correction en cas problème • Les opérations et le support • Niveaux de service pour la disponibilité Ignorer L’informatique fournit Bloquer • La politique et les standards • La mise en vigueur L’informatique fournit • L’auto-hébergement (par de support par l’IT) • La politique Atténuation des risques
  • 34. Consumérisation chez Microsoft Contenir Adopter Valeur pour les métiers Self-Host Bloquer Ignorer Atténuation des risques
  • 35. Consumérisation : risque ou opportunité La consumérisation de l’informatique ne va pas forcément de pair avec perte de contrôle et brèche de sécurité ; au contraire ! L’énergie et le temps dépensés par une DSI pour censurer certains usages et outils peuvent être mieux employés à écouter, réguler lest sans perdre le contrôle ! Lâcher du et reconnaître la compétence de chaque collaborateur en lui offrant un cadre de travail personnalisé A condition de protéger le système d’information des abus et pratiques dangereuses, c’est un système bien plus motivant pour chacun, et partant plus efficace, qui peut être mis en place
  • 36. LEADERSHIP Global Phishing Démantèlement de Botnet Enforcement Anti-Phishing Digital PhishNet Initiative Initiative Signal Spam Microsoft Security Response Alliance
  • 38. Microsoft France 39, quai du président Roosevelt 92130 Issy-Les-Moulineaux www.microsoft.com/france