Sécuriser tous les locataires et leurs ressources (Secure Future Initiative)

Nom du pilier : Protéger les locataires et isoler les systèmes de production
Nom du modèle : Sécuriser tous les locataires et leurs ressources

Pour réduire les risques de sécurité des locataires non suivis et le manque de visibilité, Microsoft a implémenté le modèle Sécuriser tous les locataires et leurs ressources. Cela garantit une gouvernance et une sécurité complètes sur tous les locataires, en s’alignant sur les principes de confiance zéro.

Contexte et problème

La première étape de la sécurité du locataire est la découverte. Sans inventaire complet, la sécurité et la gouvernance ne peuvent pas réussir. De nombreuses organisations n’ont pas de visibilité sur les locataires actifs, hérités et fantômes, laissant des environnements non suivis vulnérables à l’exploitation.

Microsoft a fortement investi dans l’identification et le catalogage de tous les locataires dans ses environnements. Cela inclut la production, les environnements de test de productivité et les locataires éphémères. Sans une découverte et une gouvernance robustes du cycle de vie, même les locataires à faible risque peuvent devenir une infrastructure fantôme, non supervisée, non mise à jour et exploitable en tant que points de pivot pour les attaquants.

Les principaux risques sont les suivants :

Déplacement latéral de la non-production vers les locataires de production.
Locataires obsolètes ou inactifs sans référentiels de sécurité ni contrôles de cycle de vie.
Secrets partagés et configurations incorrectes permettant la réutilisation des informations d’identification entre les locataires.

Solution

Dans le cadre de l’initiative SFI (Secure Future Initiative), Microsoft a implémenté l’objectif sécurisé de tous les locataires et de leurs ressources en appliquant des bases de référence de locataire, en régissant la gestion du cycle de vie et en standardisant les protections dans ses environnements cloud.

Bibliothèque de journalisation de sécurité standardisée : garantit une capture cohérente des données entre les services, ce qui réduit les lacunes d’observabilité.
Collecte centralisée des journaux : les comptes d’enquêteurs spécialisés fournissent un accès unifié aux journaux interservices, ce qui simplifie la corrélation et accélère les enquêtes.
Rétention des journaux étendus : les journaux d’audit conservés jusqu’à deux ans dans les services Microsoft, afin de permettre une enquête légale approfondie sur les schémas d’attaque à long terme.
Analyse avancée de la détection : l’intégration des modèles de Machine Learning et d’IA améliore la détection des techniques d’attaque complexes et réduit les faux positifs.
Journalisation des clients étendue : Microsoft a augmenté la rétention des journaux d’audit standard pour les clients Microsoft 365 à 180 jours, avec des options de rétention plus longues.

L’approche de Microsoft comprend :

Bases de référence de sécurité : modèles de sécurité de locataire préconfigurés pour garantir la cohérence et accélérer le renforcement.
Classification des locataires et gouvernance du cycle de vie : catégorisation des locataires à des fins (production, productivité, auxiliaire, éphémère) et application des contrôles par défaut en conséquence.
Application de l’accès conditionnel : gouvernance de l’authentification et de l’autorisation à grande échelle, y compris les locataires éphémères et les comptes non gérés.
Stations de travail d’administration sécurisées (SAW) : appareils isolés matériellement qui séparent l'accès privilégié de l'accès productivité.
Supervision et analytique : Données de sécurité centralisées par le biais des journaux d’audit, du degré de sécurisation Microsoft et de l’intégration de Defender.
Gestion des secrets et isolation des informations d’identification : prévention des secrets partagés entre les locataires et application de l’authentification multifacteur résistante au hameçonnage.
Prévention du mouvement latéral : Empêche le mouvement latéral en isolant les locataires de production des locataires non-production.
Locataires anciens et inactifs : Désaffectation des locataires anciens et inactifs par le biais d'audits du cycle de vie.
Visibilité de la posture : Amélioration de la visibilité de la posture avec Secure Score à travers la flotte de locataires.
Sprawl de locataire : Réduction de la dispersion des locataires et imposition de contrôles stricts sur la création de nouveaux locataires.

Ces étapes garantissent que tous les locataires, quel que soit l’objectif ou l’origine, sont visibles, régis et protégés conformément aux principes de confiance zéro.

Instructions

Les organisations peuvent adopter un modèle similaire à l’aide des pratiques actionnables suivantes :

Cas d’utilisation	Action recommandée	Resource
Contrôles de sécurité de base de référence	Appliquez les paramètres de sécurité Microsoft par défaut à tous les locataires, puis étendez-les avec les bases de référence Microsoft 365 Lighthouse pour renforcer l’échelle de l’entreprise.	Configurer les valeurs par défaut de sécurité pour l’ID Microsoft Entra Vue d’ensemble de l’utilisation des bases de référence Microsoft 365 Lighthouse pour déployer des configurations de locataire standard Stratégies d’architecture pour établir une base de référence de sécurité
Accès conditionnel	Déployer des stratégies d’accès conditionnel de référence : bloquer l’authentification héritée, exiger l’authentification multifacteur pour tous les utilisateurs et appliquer la conformité des appareils pour les rôles privilégiés. Développez avec des stratégies basées sur les risques et prenant en compte l’emplacement.	Modèles de stratégie d’accès conditionnel – ID Microsoft Entra Planifier votre déploiement d’accès conditionnel Microsoft Entra Meilleures pratiques pour sécuriser avec l’ID Microsoft Entra
Gestion des accès privilégiés	Utilisez Privileged Identity Management (PIM) pour l'accès à la demande (JIT) et l'accès minimal requis (JEA) afin de minimiser les privilèges administrateur permanents.	Planifier un déploiement Privileged Identity Management Activer les rôles Microsoft Entra dans PIM – Microsoft Entra ID Governance
Isolation du locataire	Séparez les locataires de production et de non-production. Éliminez les comptes d’administrateur partagés et les inscriptions d’applications dans les environnements. Appliquez des bases de référence d’accès conditionnel distinctes par type de locataire.	Isolation des ressources avec plusieurs locataires sécurisée par Microsoft Entra ID Restreindre l’accès entrant et sortant entre locataires – Power Platform
Surveillance et détection des menaces	Combinez Microsoft Defender pour Identity (signaux AD locaux) avec Microsoft Entra ID Protection (signaux de risque basés sur le cloud). Centraliser la surveillance pour détecter le mouvement latéral, le vol de jetons et le comportement de connexion anormal.	Vue d’ensemble du déploiement de Microsoft Defender pour Identity Qu’est-ce que Microsoft Entra ID Protection ? Que sont les détections de risques ? – Microsoft Entra ID Protection

Avantages

Renforcement normalisé : Les bases de référence de sécurité garantissent que tous les locataires respectent les seuils de protection minimaux.
Surface d’attaque réduite : Les instances héritées, invisibles et inutilisées sont systématiquement retirées.
Gouvernance améliorée : L’inventaire central et la classification prennent en charge la conformité et la supervision continues.
Accès contrôlé : L’accès conditionnel, le contrôle d’accès en fonction du rôle (RBAC) et l’authentification multifacteur (MFA) protègent les identités et limitent les risques de partage externe.
Détection et réponse améliorées : Les données et journaux de sécurité intégrés offrent une visibilité sur tous les locataires.

Compromis

L’implémentation de cette approche nécessite :

La prise en charge centralisée des stratégies du cycle de vie des locataires.
Investissement dans l’automatisation (application de politiques par défaut, workflows d’expiration).
Réarchitecture possible des modèles d'accès (par exemple, séparation des environnements de production et non-production). L’adoption de SAW introduit la complexité et le coût des appareils initiaux.
Formation et mesures d'application nécessaires pour éliminer les locataires clandestins et la réutilisation des identifiants.

Facteurs de réussite clés

Pour suivre la réussite, mesurez les éléments suivants :

Pourcentage de locataires avec des bases de référence de sécurité appliquées
Nombre de locataires anciens ou fantômes démantelés
Couverture des rapports de conformité et d’inventaire centralisés
Pourcentage d’identités avec une authentification à facteurs multiples activée
Amélioration du Score de Sécurité à travers les métriques de Microsoft Secure Score
Volume de tentatives d’authentification héritées bloquées ou d’événements de partage non autorisés

Résumé

La sécurisation de tous les locataires et de leurs ressources est fondamentale pour les piliers SFI de Microsoft : Secure by Design, Secure by Default et Secure Operations.

Avec les stratégies de base, la gouvernance du cycle de vie et la supervision continue, les organisations peuvent réduire les risques, appliquer des protections cohérentes et empêcher l’infrastructure fantôme de compromettre la sécurité. À grande échelle, cela garantit que chaque identité, point d’accès et locataire est sécurisé par conception.

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2025-10-06