La valeur et le coût total de possession (TCO) de Microsoft E5, lorsqu'ils sont exploités de manière optimale, peuvent générer des économies et renforcer l'efficacité opérationnelle.
Pour les entreprises désireuses de bénéficier d'une collaboration avancée et d'un niveau de sécurité adapté aux exigences du lieu de travail moderne, l'Abonnement Microsoft E5 combine un ensemble d'outils conçus pour améliorer l'expérience de l'utilisateur, ainsi que la cybersécurité.
J’ai entendu cette phrase un nombre incalculable de fois et il est indéniable que le coût global des licences Microsoft 365 E5 peut grimper. Cependant, le coût total de possession (TCO) révèle une réalité bien différente. Examinons de plus près l'offre groupée Microsoft 365 E5, les produits inclus et son coût réel.
Même si chaque entreprise est unique, de nombreux points communs subsistent. Nous sommes appelés à collaborer, souvent sur des fuseaux horaires différents et à des milliers de kilomètres les uns des autres. Nous savons que les anciennes méthodes de travail, quand tout le monde travaillait exclusivement au bureau, sont désormais révolues - la pandémie de Covid l’a clairement démontré.
Il est bien connu que l'installation de Microsoft 365, avec les applications Office traditionnelles et ses outils de collaboration tels que Teams, SharePoint, OneDrive, entre autres, constitue un argument convaincant pour de nombreuses entreprises, facilitant ainsi le paradigme du travail à distance tel que nous le connaissons aujourd'hui. Les défis modernes en matière de sécurité sont d’autant plus difficiles à relever, notamment en raison de l'explosion du nombre de terminaux. Le travail moderne s'est étendu bien au-delà des ordinateurs Windows pour inclure les appareils Mac, les tablettes et les smartphones, qu'ils fonctionnent sous Android ou iOS. Aujourd'hui, nous nous trouvons confrontés à la sécurisation et la gestion de dispositifs très divers, tant sur site qu’à distance.
Le périmètre de notre réseau traditionnel s’est estompé - nos jadis robustes douves, autrefois garantes de la sécurité de notre forteresse, ont disparu. Nos données sont désormais dispersées dans plus d'endroits que jamais - sur site, dans des partages de fichiers, dans le cloud, sur Sharepoint, Teams, etc. Ce riche environnement d'outils interconnectés favorise la collaboration mais la sécurisation de ces données devient un véritable casse-tête.
Le domaine de la sécurité de l'information, autrefois dominé par les pare-feux et les dispositifs de réseau, est aujourd'hui inondé de mots à la mode et d'acronymes tels que SIEM, SOC, SOAR, XDR, CSPM et bien d'autres encore. La question qui revient souvent est : « De quels outils ai-je besoin pour sécuriser mon entreprise ? ». La réponse est simple : tous.
Nous évoluons dans un monde où l'expansion des systèmes, devenue un fléau séculaire, s'est intensifiée, sans qu'il y ait de moyen réaliste d'y mettre un terme. Nous devons désormais déterminer comment sécuriser un ensemble disparate d'applications réparties entre de nombreux fournisseurs de services, sans l'accès back-end qui facilitait autrefois cette tâche.
Avec la disparition du périmètre réseau lors de la transition vers le cloud, l'utilisateur profite d’une grande flexibilité : il peut accéder à ses services de n'importe où, via une multitude de terminaux différents, et à tout moment. Tout ce dont nous avons besoin, c'est d'un nom d'utilisateur et d'un mot de passe...
En tant que département informatique, nous faisons face à un gouffre. Nos utilisateurs peuvent se connecter à n'importe quel service, depuis n'importe quel endroit, à tout moment, que le service informatique soit disponible pour les surveiller et les assister ou non. Les pirates, quant à eux, peuvent tenter une intrusion depuis n'importe où dans le monde, et tout ce dont ils ont besoin, c'est d'un nom d'utilisateur et d'un mot de passe.
Une nouvelle approche est nécessaire et cette approche est celle de la confiance zéro (zero trust).
L'accès confiance zéro - la suppression de la confiance implicite basée sur des facteurs tels que l'emplacement du réseau ou l'adresse IP - repose sur trois éléments : la vérification explicite de l'identité, l'accès au moindre privilège dans toute l'entreprise et l'hypothèse d'une brèche à chaque niveau de sécurité [1].
L'identité est le pilier fondamental de cette approche et un élément clé de différenciation entre les fournisseurs, car en sécurisant les autres domaines de l'entreprise, nous nous appuyons sur la sécurité et l’intégration de l’identité pour la gestion et pour fournir un mécanisme d'authentification sécurisé. Les données pouvant améliorer l'authentification et l'autorisation existent partout, mais sont souvent inutilisées. Nous devons exploiter autant d'informations que possible - la localisation, le type d'appareil, le mode d'authentification, la surveillance du comportement, l'accès souhaité aux données, entre autres, pour obtenir une vision complète de ce à quoi l'utilisateur (ou le pirate) tente d'accéder.
Comme dans tous les domaines de la sécurité, il faut souvent trouver un compromis entre la commodité pour l'utilisateur final et le niveau de sécurité à atteindre. En appliquant les principes de la confiance zéro, nous devons nous efforcer de créer des défis réguliers et solides lorsque les utilisateurs accèdent aux systèmes et aux données. Cependant, comme nous avons également besoin d'une authentification multifactorielle (MFA), cela peut rapidement dégrader l'expérience de l'utilisateur.
Puisque nous devons également supposer une violation, de nombreuses entreprises finissent par ennuyer leurs utilisateurs avec des invites d'authentification fréquentes et intrusives. Pourtant, il existe une meilleure façon de procéder. En exploitant des données provenant d'autres sources, nous pouvons effectuer des vérifications de manière plus fluide. Grâce aux règles d'accès conditionnel, aux données XDR, aux informations CASB (Cloud Access Security Broker), à la localisation et à l'analyse des schémas de risque, nous pouvons, avec Microsoft, élaborer des politiques plus granulaires et réduire le nombre d'invites pour les utilisateurs. Nous pouvons également gérer et appliquer ces politiques à tous les terminaux présents dans une entreprise typique ; la vision exclusivement Windows d'autrefois appartient désormais au passé.
Microsoft fournit également les éléments nécessaires pour abandonner les mots de passe. Nous pouvons adopter des méthodes d'authentification sans mot de passe tels que les clés FIDO2, Windows Hello for Business et les certificats. L'abandon du mot de passe est nettement plus sûr et offre une meilleure expérience à l'utilisateur [2]. Ces méthodes d'authentification sont plus résistantes aux attaques de phishing et, étant généralement liées à des données biométriques sur le point d'accès, elles améliorent considérablement l’expérience de l'utilisateur. Microsoft les utilise également pour proposer la réinitialisation des mots de passe en libre-service, ce qui permet de réduire les potentiels inconvénients liés aux oublis de mots de passe par les utilisateurs.
Les utilisateurs doivent s'adapter certes, mais ils profitent rapidement de l'expérience améliorée et bénéficient ensuite du renforcement de la sécurité sans même s’en apercevoir. Cette combinaison de sécurité et d'ergonomie améliorées n'est possible que grâce à l'intégration et au traitement de nombreux flux de données de sécurité.
Au-delà de l'identité, la licence E5 de Microsoft fournit une base complète pour une approche de zéro confiance. La gestion des appareils via Intune permet de configurer et de déployer XDR via Windows Defender, avec une surveillance des sorties et des données de journal intégrées dans les moteurs de risque et de conformité, et avec une intégration simple dans le SIEM Microsoft Sentinel en quelques clics seulement. Les règles de conformité des appareils dans Intune s'intègrent aussi harmonieusement aux politiques d'accès conditionnel, offrant ainsi un moyen simple de configurer et de vérifier les appareils, qu'ils soient de type BYOD (Bring Your Own Device) ou d'entreprise.
Le produit Defender pour les applications Cloud introduit un CASB, qui surveille et sécurise les applications tout en s'intégrant à Azure AD, Defender for Identity et Azure AD Identity Protection, permettant ainsi aux administrateurs de disposer de vues détaillées des activités des utilisateurs, des risques encourus et de définir des politiques d'accès granulaires.
Dans l'espace Azure, le contrôle d'accès basé sur les rôles (RBAC) est pris en charge grâce à l’utilisation des groupes Azure AD, qui peuvent être dynamiques et auxquels des rôles spécifiques peuvent être attribués. La configuration d'Azure Privileged Identity Manager (PIM) permet de vérifier, d'enregistrer et d’auditer ces escalades de rôles, ce qui permet aux entreprises de supprimer les comptes d'administration à plein temps à privilèges élevés et de passer à un modèle à la demande avec des privilèges moindres. Bien entendu, ces données sont réinjectées dans la configuration de l'identité et du risque via Azure AD.
Les données ne sont pas en reste, puisque la gamme de produits Microsoft Purview couvre la gestion du cycle de vie des données et s'intègre aux autres produits. En s'appuyant sur les terminaux Windows, avec leurs capacités natives et les améliorations déployées, il est possible de sécuriser les données à travers l'entreprise, depuis SharePoint, Teams et les partages de fichiers, jusqu'aux postes de travail individuels.
La licence Microsoft 365 E5 crée un environnement fournissant la majorité des éléments constitutifs nécessaires à l'entreprise moderne. Les entreprises choisissent l'E5 pour diverses raisons, et la sécurité, bien que rarement la principale motivation, devient une priorité au cours du processus de migration vers le cloud. Ce changement de mentalité, s'éloignant du périmètre traditionnel, s’opère pendant et après l'adoption de la technologie, à mesure que celle-ci devient familière.
Lorsque ces entreprises réévaluent leur dispositif de sécurité, des lacunes apparaissent inévitablement. Une évaluation de la sécurité menée par un fournisseur tel qu'Orange Cyberdefense permet de comprendre et de hiérarchiser ces lacunes et d'évaluer les solutions potentielles. Traditionnellement, nous avons eu recours aux produits "Best of Breed" pour chaque domaine, mais M365 E5 s’avère suffisamment complet pour offrir une alternative intégrée et équilibrée. Dans un modèle de zéro confiance l'approche intégrée de Microsoft E5 permet de prendre des décisions plus éclairées concernant l'accès aux ressources par rapport à une approche fragmentée.
Prenons par exemple le déploiement d’un produit d'accès à distance sécurisé sur un pare-feu. Dans sa version la plus simple, nous installons le client et configurons ensuite le pare-feu pour vérifier le nom d'utilisateur et le mot de passe, incluant éventuellement une plage d'adresses IP et un groupe de sécurité pour le département de l'utilisateur. Si l'utilisateur appartient au bon groupe, se trouve dans la bonne zone géographique et possède le mot de passe correct, nous lui accordons l'accès.
À quel point la sécurité serait-elle renforcée si nous intégrions également les informations dont nous disposons en matière de risque ? En intégrant la suite Azure AD pour la gestion des identités, nous pouvons désormais vérifier que l'utilisateur se connecte depuis un appareil conforme (appartenant à l'entreprise), que cet utilisateur ne présente aucun risque, et qu'il utilise un ordinateur à jour, équipé d’un antivirus et des correctifs requis, tout en appliquant la MFA.
Grâce à l'intégration des diverses sources de données, nous parvenons à une décision d'accès beaucoup plus étayée, et donc à une posture de sécurité renforcée. Pour parvenir à cette solution "Best of Breed", nous devons déployer des produits XDR, de gestion des correctifs, d'identité et de réseau et veiller à ce qu'ils soient correctement intégrés.
Avec Microsoft E5, le déploiement des éléments de sécurité des terminaux est largement automatisé, et l'intégration se fait en quelques clics.
Bien sûr, il existe de nombreuses nuances à ce sujet, mais l’essentiel est que plus nous intégrons de données dans nos processus de prise de décision pour l'accès, plus notre niveau de sécurité augmente. Cette intégration offre une vue d'ensemble qui nous aide à évaluer la situation en cas de violation ou de menace majeure.
Comparée à une approche fragmentée, il est vrai que la défense en profondeur est plus importante avec plusieurs fournisseurs. Cependant, il est crucial d’examiner le risque de manière globale. Pour faire face aux nouvelles attaques déployées dans le cyberespace moderne, l'automatisation et l'intégration sont essentielles, et cela est plus facilement réalisable avec une approche de plateforme telle que celle de Microsoft. L'intégration entre les différents fournisseurs est possible et devient de plus en plus facile à mesure que l'industrie relève ce défi, mais Microsoft le fait presque d’office.
Cependant, une telle plateforme n'est pas sans coût de gestion. La combinaison de nombreux produits pour fournir des informations aussi détaillées est relativement récente et les entreprises sont confrontées à un défi différent de celui qu'elles rencontraient autrefois. Toute adoption de la technologie du cloud entraîne un changement de compétences important par rapport à l'ancien monde local. Les entreprises doivent acquérir de nouvelles compétences, il est donc dans leur intérêt de minimiser cette charge autant que possible.
La plateforme Microsoft offre une expérience utilisateur cohérente et intuitive tout au long de son interface d'administration, s'articulant autour des environnements de gestion Azure et Office 365. Les similitudes au sein de la suite Microsoft facilitent grandement la recherche des éléments de configuration nécessaires. L’engagement de Microsoft à créer de nouvelles fonctionnalités et à les améliorer peut parfois prêter à confusion certes, mais dans l'ensemble, la cohérence de l'interface et de l’ergonomie de la suite présente des avantages considérables.
Cela dit, l'environnement M365 E5 requiert la présence de personnels qualifiés pour traiter les alertes et déterminer les faux positifs. Cette approche permet au système d'apprendre et aux entreprises d'adopter une approche proactive. Microsoft ne propose pas de solutions directes dans ce domaine, mais s'associe à des prestataires de services tels qu'Orange Cyberdefense pour la mise en place de services gérés.
Le portefeuille de services d'Orange Cyberdefense inclut la gestion proactive et réactive des produits Microsoft Defender XDR, Microsoft Sentinel SIEM et de l'environnement Endpoint Manager, couvrant la gestion des alertes, l'investigation, le triage et la notification. Ainsi, les entreprises peuvent externaliser la gestion de larges portions de leur environnement Microsoft et établir un Centre opérationnel de sécurité (SOC) fonctionnant 24 heures sur 24 et 7 jours sur 7 pour surveiller les alertes.
Microsoft et Orange adoptent tous deux un modèle de tarification par utilisateur. En combinant leurs offres, les entreprises bénéficient des outils et de la sécurité indispensables aux entreprises modernes, ainsi que d’une administration assurée par des experts qualifiés, 24 heures sur 24, 7 jours sur 7 et 365 jours par an.
Ainsi, Microsoft 365 E5 offre une combinaison d'applications de productivité de premier plan, disponibles sur de nombreuses plateformes, accompagnées des outils nécessaires pour garantir leur sécurité. Comparée à une approche utilisant des solutions « Best of Breed », l'approche par plateforme se révèle plus avantageuse en termes de coûts de mise en œuvre, d'évolutivité des licences et d'intégration. C'est le moyen le plus simple de tenir les promesses de l'informatique dématérialisée : travailler n'importe où, n'importe quand, en toute sécurité, tout en étant plus économique que d'autres approches.
Auteur : Tom Bond, Consultant en Cybersécurité chez Orange Cyberdefense