Post on 16-Apr-2017
N° 1
N° 2
Philippe Beraud@philberd
Jean-Yves Grasset@jyvesgrasset
N° 3
Protéger votre patrimoine informationnel dans un monde hybride avec
Azure Information Protection
N° 4
Externe à l’entreprise,Non-réglementé,
environnement inconnu
APPAREILS GÉRÉSInternes à
l’entreprise
Pourquoi cherchez vous à protéger l’information ?
Avec ce nouveau défi• Vous avez un périmètre• Vous avez des appareils à gérer• Votre business nécessite de partager des
données sensibles hors de votre contrôle pour du B2B/B2C
VOTRE PÉRIMÈTREIntérieur entreprise
Enquête menée auprès de : 313 entreprises 17,000,000 utilisateurs 54,000 utilisateurs en moyenne
Réduire les fuites de données partagées avec d'autres (collaboration B2B)
Cloisonnement des données sensibles des utilisateurs non autorisésEmpêcher les employés malveillants de faire fuir des secrets
Se conformer à des exigences réglementaires
96%
94%89%
87%
Protection périmétrique
Identité, gestion des appareils, protection
DONNÉES HYBRIDES = NOUVELLE normalitéPlus difficile à protéger
N° 5
Microsoft Rights Management Un socle solide pour la protection de l’information
Protection persistanteContre les accès non authentifiés et non autorisés, une mauvaise utilisation ou le partage non autorisé par les utilisateurs légitimes
• Les informations appropriées (c.à.d. sensibles) sont chiffrées ainsi que la définition et l'application des droits d'usage (c.à.d. les permissions)
• La protection est facilement appliquée sans interrompre le cours normal des flux de travail• Par ex. Intégration DLP
Suivi de l'information et révocation• L’entreprise a accès à un suivi détaillé et des rapports pour voir ce qui se passe avec les données partagées
et obtenir ainsi plus de contrôle sur celles-ci : par ex. Révocation si nécessaire• Auteurs/Propriétaires des données, administrateurs de l’entreprise
<vous> avez besoin de partager <types de fichiers> entre vous et des partenaires, fournisseurs, concessionnaires, représentants, …
N° 6
Microsoft Rights Management Un socle solide pour la protection de l’information (suite)
Suivi de vos exigences de stratégie
La protection peut être appliquée automatiquement, semi
automatiquement ou manuellement
Les applications et services importants sont
adaptés et protègent tout type de fichier
Disponible avec les documents Office, PDF, Texte, et Images
Intégration simple (chemin) avec les applications tierces (application CAD,
messagerie web, librairies de documents, ERP, etc.)
Les RSSI peuvent “raisonner au niveau de
la donnée”Accès délégué aux données avec un
contrôle strict de votre clé
Protection en place, et en transmission
Les données sont protégées de manière persistante, à tout moment et quelle que soit la destination ou l’endroit de
stockage
Prise en compte des scénarios B2B et B2CLes données sont accessibles à vos
partenaires business* et vos clients**
Expérience utilisateur similaire et naturelle pour les appareils les
plus courantsExpérience utilisateur similaire et
naturelle pour vos appareils les plus courants
(Android, iOS & OS/X, différentes versions Linux , Windows (phone), etc.). L’apprentissage pour que l'utilisateur puisse protéger ou consommer les
données est minime*Dépend des choix d’implémentation**Office 365 Message Encryption pour les scénarios B2C
N° 7
Rights Management : PrincipesLes données sensibles ne sont jamais envoyées vers le service Rights Management
Authentification et autorisation
Récupération de la licence d’utilisation( UL)clé de contenu et droits d’usage
Droits d’usage +
#!@#!#!@#!°()&)(*&)@#!!
#$¤&#{~#”@&@§*!\&&#
$&!§@[([###
Formule secrète du cola :• Eau• HFCS*• Colorant Brun#16
Le contenu reste protégé mais déchiffré avec les droits d'usage appliqués pour l'utilisateur authentifié
Le contenu est protégé par sa propre clé unique symétrique AES, qui est chiffrée avec la clé RSA de votre organisation
Formule secrète du cola :• Eau• HFCS*• Colorant Brun#16
Protection:Application Licence de
Publication(PL)
Contenu non protégé
Gabarit RMS, qui contient les droits d’usage et la clé de contenu, est ajouté au fichier en tant que « licence »
*High Fructose Corn Syrup
MICROSOFTRIGHTS
MANAGEMENT
N° 8
Composants de Microsoft Rights ManagementActive Directory Rights Management service (AD RMS) • Depuis Windows Server 2003 SP1• En tant que rôle service de Windows Server
Service Azure Right Management : une réécriture complète d’AD RMS pour l’ère du cloud• Pas seulement Windows, mais tous les appareils courants• Android, iOS & OS/X, différentes versions Linux, Windows (phone), etc.
• Nouveaux SDKs mobile et nouveaux flux REST en plus du flux SOAP pour Windows• Rétroporté sur AD RMS – Mobile device extension
• RMS Sharing app• Toolkit de migration de AD RMS vers Azure RMS• Etc.
N° 9
Rights Management building blocks & topology
AD RMS
Utilisateurs internes
Office 2016Office 2013
Exchange Server
SharePoint Server
Windows Server
FCI
VOTREINFRASTRUCTURE
AD
MDE
SDKs RMS, Application de partage RMS+ Autres applications intégrées
RMS
HSM
Disponibles dans plusieurs géographies NA, EU, AP, etc.
AZURE RMS
Authentification &
Collaboration
Azure Key VaultBYOK
Office 2016Office 2013Office 365 ProPlus
SDKs RMS, Application de partage RMS+ Autres applications intégrées RMS
VOTRE LOCATAIREAZURE AD+ Azure AD Connect
(Sync), service de fédération (AD FS)
Exchange Online
SharePoint Online
/One Drive
Entreprise
Connecteur RMS
Exchange Server
SharePoint Server
Windows Server
FCI
N° 10
Une fondation pour la collaboration B2BS’appuyant sur la fabrique de confiance Azure AD • Fournit la plate-forme d'identité et
d'autorisation• Après une première et unique fédération
avec Azure AD, vous pouvez alors collaborer en toute sécurité avec toutes les autres organisations fédérées• Synchro Minimum des propriétés AD (~13
attributs)• Vous pouvez utiliser le service de fédération
(AD FS, etc.) en interne pour l'authentification (ou laisser AD Azure faire le travail)
Entreprises activées Azure AD• Azure RMS non requis, simplement un locataire
(gratuit) Azure AD• Entreprises à demeure avec synchronisation
complète• Entreprises à demeure avec synchronisation
partielle• Entreprises entièrement dans le cloud• Organisations créées via une inscription ad-hoc
Approvisionnement Ad-hoc
... et la confiance s’étend à toutes les entreprises activées Azure AD
Authentification &
CollaborationVOTRE LOCATAIRE
AZURE AD
VOTREINFRASTRUCTURE
AD
LOCATAIRE AZURE AD
C.COM
LOCATAIRE AZURE AD
A.COM
AZURE RMS
BYOK(AKV)
Azure RMS non requis, simplement un locataire (gratuit) Azure AD
Pont
de co
nfian
ce
N° 11
Etude GartnerLe rôle de l’EDRM* dans une Sécurité orientée sur la donnée
G00275948
En Juin 2015 rapport de Mario Boer rapporte: • La gestion des droits numériques pour les entreprises est depuis longtemps dans le célèbre «creux de
désillusion» de Gartner
• Il a raison… et Microsoft est actif sur l’ensemble de ces domaines comme nous allons le voir tout de suite après.
• Nous appuyons fermement l'idée qu’une offre cloud EDRM fait cela beaucoup mieux, même si dans le nuage.
Disclaimer: Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner's research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose."
EDRM est une technologie mature pour la protection persistante des données au niveau de l’entreprise
Une stratégie de sécurité plus large centrée sur les données nécessite une combinaison d’EDRM avec d'autres technologies telles que la classification, DLP et d'audit et de protection centrés sur les données.
De nombreux fournisseurs offrent une solution de cloud pour remplacer les serveurs internes. […]. En outre, le service ne voit pas le corps du document, ce qui rend les déploiements d’EDRM dans le cloud intéressants même pour les organisations réticentes au cloud.
* Enterprise Digital Rights Management
N° 12
Quelques acquisitions Microsoft en d'année dernière ...Adallom• Microsoft acquiert Adallom pour faire avancer l'identité et de la sécurité dans le nuage• Maintenant Microsoft Cloud App Security (MCAS)/Office 365 Advanced Security Management• Une solution pour découvrir, sans agent, toutes les applications cloud dans votre réseau• Identifie plus de 13.000 applications SaaS comme Salesforce, Box, Dropbox, ServiceNow, Ariba, etc. et bien sûr Office
365• Contrôles granulaires pour façonner votre environnement cloud• Politiques par défaut ou personnalisées pour le partage de données, et la prévention des pertes de données
(DLP)
Secure Islands• Microsoft a acquis Secure Islands, un leader dans les technologies de protection de données• Un ensemble de technologies de classification, de protection et de prévention des pertes de données pour
pratiquement tout type de fichier, ce qui permet de protéger les données à chaque étape du cycle de vie de l'information depuis sa création.
• Technologies qui renforcent les capacités de protection des données disponibles aujourd'hui avec Azure RMS/ AD RMS, voir l'annexe du livre blanc Protect and control your key information assets through information classification
N° 13
Fournir une plate-forme de protection des données holistique, agile, complète et flexible pour les entreprises d'aujourd'huiIntégration des capacités fonctionnelles de Secure Islands dans Azure RMS(et MCAS)…
…pour fournir une architecture flexible capable de répondre aux exigences de protection et de conformité les plus rigoureuses• Ces nouvelles capacités, écrites à partir de zéro et basées sur la fonctionnalité IQProtector, combinées à la
classification des données dans Windows (Server), Office 365, et les politiques MCAS fourniront à nos clients une solution de protection des données les plus complètes de l'industrie• Axées sur la classification, la labélisation et la définition et application de politiques (également une autre fonctionnalité
dans la suite Secure Islands)Classification Labélisation Protection
• A la création de la donnée• Manuel et automatique – tant que
possible
• Labels persistants• La sensibilisation des
utilisateurs au moyen de labels visuels
• Chiffrement avec Microsoft Rights Management
• DLP et actions de conformité• Les pistes d’audit pour suivre
les donnéesOrchestration
N° 14
Azure Information ProtectionIntégration avec les Microsoft Office apps• Via un plug-in (version courante) : Microsoft Azure Information Protection • Sera intégré dans le SDK RMS (Azure IP SDK) dans le futur pour bénéficier à toutes les applications intégrées
(enlightened)• Classification des données basées sur la sensibilité et ajout de labels - manuellement ou automatiquement -
au moment de la création ou de la modification. • Chiffrement des données sensibles et définition des droits d'usage en cas de besoin.• Application simple de la protection sans interrompre le cours normal du travail.
Tirer parti des politiques pour l'ensemble des contrôles à appliquer• Vous pouvez définir un ensemble de politiques à travers le portail Azure Information Protection• Les politiques définissent si un modèle RMS doit être appliqué• Chiffrement des données + droits d’usage pour les personnes concernées
• Les politiques appliquées à l'information par Azure Information Protection peuvent être appliquées automatiquement aux données ou en tant que recommandation que les utilisateurs décident d’appliquer ou non.
Suivi de l’utilisation de l'information et révocation des données si nécessaire• Vous avez accès à un suivi détaillé et des rapports pour voir ce qui se passe avec les données partagées
pour encore plus de contrôle
N° 15
Classification de l’informationClassification automatique basée sur le contenu• Les politiques appliquées à l'information par
Azure Information Protection peuvent être automatiquement appliquées aux données ou comme une recommandation pour les utilisateurs de l'appliquer aux données
• Vous pouvez remplacer une classification et éventuellement être tenus d’en fournir la justification
Classification de contenu initiée par l’utilisateur• A l'inverse, avec Azure Information Protection, un
utilisateur peut choisir d’appliquer lui-même un label au document, donc une classification. Cela lui permet d'appliquer des marques visuelles et de contrôler qui a accès au contenu par le biais des gabarits RMS selon la définition de la politique.
Office 2016Office 2013Office 365 ProPlus
AZUREINFORMATIONPROTECTION
SECRET
CONFIDENTIELINTERNE
NON RESTREINT
PERSONNEL
Admin IT/RSSI positionne la politique,
les gabarits , et règles
Les labels (ensemble de clés et valeurs), sont ajoutés comme de multiples entrées de métadonnées aux fichiers (à l’intérieur des fichiers et dans le système de fichiers)Les labels sont en texte clair afin que d'autres systèmes comme un moteur de DLP puissent le lire
Authentification VOTRE LOCATAIREAZURE AD
1. Authentification
2. Récupération des politiques (se produit chaque fois qu’une instance Office est démarrée)
3. Récupère les certificats et modèles RMS , l’URL du service
URL est référencé dans la politique
N° 16
DémoUne nouvelle expérience utilisateurDans les applications Office
N° 17
Classification de l’informationClassification et labels par défaut
Label name Label Description ActionPersonal For personal use only. This data will not be monitored by the business.
Personal information must not include any business-related data. Remove protection
Public This information is public and can be used by everyone inside or outside the business. Remove protection
Internal This information includes a wide spectrum of internal business data that can be used by all employees and can be shared with authorized customers and business partners. Examples for internal information are company policies and most internal communications.
Remove protectionDocument footer: Sensitivity: Internal
Confidential This data includes sensitive business information. Exposing this data to unauthorized users may cause damage to the business. Examples for Confidential information are employee information, individual customer projects or contracts and sales account data.
Footer – “Sensitivity: Confidential”
Secret This data includes highly sensitive information for the business. It is recommended to protect this data. Exposing Secret data to unauthorized users may cause serious damage to the business. Examples for Secret information are personal identification information, customer records, source code, and pre-announced financial reports.
Footer – “Sensitivity: Secret”
Secret – All company
This data includes sensitive business information - permitted for all company employees.
Secret – My Group
This data includes sensitive business information - permitted for employee groups only.
N° 18
DémoUne tour de contrôleDans le portail Microsoft Azure
N° 19
Attentes typiques de la part des clients soumis à des exigences de sécurité réglementaires
• ATTENTE : Pour les données “secrètes”, RMS PDP/PEP et les clés et les journaux sont en interne• ATTENTE : Pour les données “secrètes”, les fonctionnalités RMS peuvent être utilisées sans aucune
connexion au service cloud
• ATTENTE : Pour les données “secrètes”, la consommation de données n’est pas révélée mais le B2B reste possible
• ATTENTE : B2B via une confiance point-à-point est possible dans le cloud (partenaires spécifiques, connus et nommés)
• ATTENTE : B2C via une confiance point-à-point en utilisant un service de type ‘Guest Broker’ (clients connus)
• ATTENTE : B2B/B2C via la fabrique de confiance universelle Azure AD (pour les entreprises ad ’hoc, utilisateurs, et utilisation OTP)
• Pourquoi : Conformité réglementaire. Confort du gestionnaire de risques. Raccourcissement du temps de décision.
• ATTENTE : Pour certains pays, permettre que les clés soient stockées dans un centre de données local « légal » ou sur site
Les données secrètes ne peuvent pas être vues par le cloud même si elles y sont stockées
Partage sécurisé et extensible avec tous les partenaires / utilisateurs importants
Les données chiffrées peuvent encore nécessiter que les clés restent dans le pays
N° 20
HYOK (Hold Your Own Key) / Serveur mixte (suite)
Vous aider à aller vers le cloud mais tout en protégeant vos « joyaux de la couronne »
Authentification &
CollaborationVOTRE LOCATAIRE
AZURE ADC.COM
(LOCATAIRE AZURE AD)
BYOK(AKV)
Pont de confiance
Classification ConfidentielUtilisateurs internes
HSM
AZUREINFORMATIONPROTECTION
Classification SecretAD RMS
A.COM
VOTRE INFRASTRUCTUR
EAD
• Se conformer à la réglementation de l'industrie / État (gardien des clés)
Configuration manuelle dans le portail (PAS de connexion entre AD RMS et le portail)
N° 21
Exchange Online
SharePoint Online /
One Drive Entreprise
Intégration avec Microsoft Cloud App Security
AZUREINFORMATIONPROTECTION
“VOS" APPLICATIONS & APIS+Dans des clouds
“VOS" APPAREILSAndroid, iOS, Windows, etc.COBO, COPE/BYOD
Connecteur API Cloud App Security
Mode proxy dit “In-session Control“ (optionnel)
…CLOUD APP
SECURITY
N° 22
Notre vision pour la classification et la protection dans le cycle de vie des données
Aujourd’hui Court/moyen Terme Moyen/long Terme
Assurer la conformité et s’intégrer avec Office 365• Labellisation manuelle,
automatique et recommandée depuis les apps Office
• Application du marquage de contenu et si besoin de la protection basée sur RMS
• Gestion en tant que Service• Actions Microsoft Cloud App
Security (MCAS) et DLP basées sur les labels
• HYOK (Hold Your Own Key) / Serveur mixte
Se développer dans le cloud• Microsoft Cloud App Security
(MCAS) labellise et protège les données dans le cloud
• Support de types de fichiers multiples - Labélise et protège les données au repos par le biais d’un scanner réseau
• Capacités d’analyse et rapports sur la création de la donnée et son usage
Classifier, Labéliser et Protéger partout
• Encore plus de plateformes pour produire des labels : Mobile ET Web
• Favoriser l’écosystème ISV pour classifier, labéliser et protéger la donnée
• Classification automatique des données pour plus de sources de création (par ex. Par emplacement web / par application)
N° 23
Les offres Azure Information Protection aujourd’huiDeux éditions différentes• Premium P1 (“Azure Rights Management Premium” actuel devient “Azure Information Protection Premium
P1”). Premium P1 est disponible dans le cadre de Enterprise Mobility + Security E3 • Premium P2 (c.à.d.. Premium P1 + classification automatique au-dessus de la classification manuelle,
labellisation et tout le reste inclus dans Premium P1, HYOK, CLP avec Microsoft Cloud App Security. Premium P2 est disponible dans le cadre de Enterprise Mobility + Security E5
N° 24
Gagner votre confiance avec une culture de la transparence• Nous opérons nos services avec des standards
éthiques élevées qui procurent la transparence sur la façon dont nous concevons nos solutions et protégeons vos données.
• Qui a accès à vos données ? Où sont-elles ? Que fait Microsoft pour les protéger ? Comment pouvez-vous vérifier que Microsoft respecte ses engagements ?• Autant de questions qui trouvent leur réponse
sur le Centre de confiance Microsoft
Sécurité – Confidentialité – Conformité - Transparence
Pour aller plus loin avec le Centre de confiance Microsoft
trust verbe |\ˈtrəst\
www.microsoft.com/fr-fr/trustcenter
N° 25
Pour aller au-delàUne collection de livres blancs sur le sujet• aka.ms/classify• aka.ms/rmspapers
Des webinaires à retrouver sur ;-)• Protéger vos applications cloud avec Microsoft Cloud App Security• Protéger vos données d’entreprise avec Windows Information Protection (ex. EDP)• Introduction à Azure Key Vault
Et plus spécifiquement un cours• Azure Key Vault en pratique
N° 26
Pour aller au-delà dans un monde en évolution constante…Active Information Protection sur Twitter• Les annonces Azure Information Protection en 140 caractères voir moins ;-)• https://twitter.com/TheRMSGuy
Blog d’équipe Enterprise Mobility + Security• Les derniers développements dans le monde des solutions Microsoft sur la mobilité d’entreprise et la
sécurité, et plus spécifiquement sur Azure Information Protection• https://blogs.technet.microsoft.com/enterprisemobility/
Blog d’équipe Azure Key Vault• L’information sur Azure Key Vault • https://blogs.technet.microsoft.com/kv
Documentation Azure Information Protection• https://docs.microsoft.com/en-us/rights-management/information-protection/what-is-information-protection• https://docs.microsoft.com/en-us/rights-management/
N° 27N° 27
N° 28
@microsoftfrance @Technet_France @msdev_fr@philberd | @jyvesgrasset
N° 28
N° 29N° 29