Windows 365 : protocoles de sécurisation

Plusieurs organisations telles que l’agence de sécurité américaine (CISA) ou le département du Trésor canadien se sont attelés à l’élaboration de guides visant au durcissement de Office 365 dont voici les mesures les plus importantes.

Identité & authentification

  • Désactiver, sauf nécessité, l'authentification via des protocoles provenant d’anciennes versions de clients Office, certains d’entre eux (POP3, IMAP, SMTP) ne prenant pas en charge la MFA.
  • Activer l'authentification multifacteur pour les comptes administrateurs globaux Azure Active Directory (AD) et l’ensemble des utilisateurs.
  • Mettre en place une politique d’accès conditionnel pour les utilisateurs Office 365. Il s’agit de conditionner l’accès à différents facteurs contextuels (utilisateur validé, appareil reconnu et sécurisé, IP reconnue, position non suspecte et informations de risque en temps réel grâce à Azure AD Identity Protection).

principe d'accès conditionnel (source : Microsoft)

Figure 1 principe d'accès conditionnel (source : Microsoft)

  • Attribuer des rôles d'administrateur à l'aide du contrôle d'accès basé sur les rôles (RBAC) selon le principe du « moindre privilège ». Déployer ce principe jusqu’aux comptes utilisateurs.

Surveillance & Alertes

  • Activer le journal d'audit unifié afin de disposer de l’historique nécessaire à d’éventuelles investigations. Activer l’audit de la boîte de courriel.
  • Activer les alertes pour les activités suspectes ou à risque dans le processus de journalisation. Les rapports d’alertes doivent être examinés au moins à un rythme hebdomadaire.
  • Centraliser les journaux d’activités Office 365 et les intégrer à l’outil SIEM de l’organisation.

Renforcement

  • Intégrer la solution de sécurité Microsoft Secure Score à l’environnement Office 365 et configurer Azure Information Protection.
  • Activer Office365 ATP Coffre Links pour les applications Office.
  • Désactiver dans la mesure du possible les macros non utilisées à risques élevés provenant d’internet ou ne se situant pas dans un fichier de confiance (signature et emplacement non sécurisé).
  • Concernant Teams et Exchange Online : interdire la publication de documents considérés comme sensibles, voire désactiver les services de partage de fichiers. Définir une politique d’accès maîtrisé (fichiers, groupes, calendriers) en cas d’utilisateurs externes à l’organisation. Activer les filtres antipourriels et analyser les documents partagés.