5. AGENDA
| UN PEU D’HISTOIRE…
| EXCHANGE ONLINE PROTECTION
| SÉCURISER SA MESSAGERIE AVEC EOP? C’EST À DIRE?
| PROTECTION DES IDENTITÉS
| PROTECTION DES ACCÈS
| PROTECTION DES DONNÉES
| BONNES PRATIQUES
5
12. | SÉCURISER SA MESSAGERIE AVEC EOP? C’EST À DIRE?
SCENARIO TYPE D’ATTAQUE
1. MAIL CONTENANT UN LIEN MALICIEUX (PHISHING OU SPEAR PHISHING)
2. OUVERTURE DU LIEN MALICIEUX ET SAISIE DES IDENTIFIANTS
3. RÉCUPÉRATION DES IDENTIFIANT PAR L’ATTAQUANT
4. CONNEXION HTTPS A LA BOITE AUX LETTRES DE LA VICTIME ET CRÉATION D’UN TRANSFERT
AUTOMATIQUE VERS UNE BOITE EXTERNE
RÉCUPÉRATION DU CARNET D’ADRESSE EN //
5. CONNEXION EN POP A LA BOITE AUX LETTRES DE LA VICTIME ET RÉCUPÉRATION DE
L’INTÉGRALITÉ DES MAILS
13. | SÉCURISER SA MESSAGERIE AVEC EOP? C’EST À DIRE?
| PROTECTION DES IDENTITÉS
| FONCTIONNALITÉS AVANCÉES – ATP (OFFICE ATP)
| | ATP – SAFE LINKS
| | ATP – SAFE ATTACHMENTS
| | ATP – ADVANCED ANTI-PHISHING/ANTI-SPOOFING
14. | SÉCURISER SA MESSAGERIE AVEC EOP? C’EST À DIRE?
| PROTECTION DES IDENTITÉS
| FONCTIONNALITÉ AVANCÉES – ATP (OFFICE ATP)
| | ATP – SAFE LINKS
| PROTÈGE VOTRE ORGANISATION CONTRE LE VOL D’IDENTIFIANTS (PHISHING ET MALWARE)
| RÉÉCRITURE ET TEST DE L’URL REÇU CONTRE LES LIENS MALVEILLANTS
| POSSIBILITÉ DE METTRE EN LISTE BLANCHE OU LISTE NOIRE DES LIENS
| FONCTIONNE EN INTERNE COMME EN EXTERNE ET SUR TOUTES LES APPLIS OFFICE SUPPORTÉE
(WINDOWS, IOS, ANDROID)
15. | SÉCURISER SA MESSAGERIE AVEC EOP? C’EST À DIRE?
| PROTECTION DES IDENTITÉS
| FONCTIONNALITÉS AVANCÉES – ATP (OFFICE ATP)
| | ATP – SAFE LINKS
16. | SÉCURISER SA MESSAGERIE AVEC EOP? C’EST À DIRE?
| PROTECTION DES IDENTITÉS
| FONCTIONNALITÉS AVANCÉES – ATP (OFFICE ATP)
| | ATP – SAFE LINKS
17. | SÉCURISER SA MESSAGERIE AVEC EOP? C’EST À DIRE?
| PROTECTION DES IDENTITÉS
| FONCTIONNALITÉS AVANCÉES – ATP (OFFICE ATP)
| | ATP – SAFE LINKS
18. | SÉCURISER SA MESSAGERIE AVEC EOP? C’EST À DIRE?
| PROTECTION DES IDENTITÉS
| FONCTIONNALITÉS AVANCÉES – ATP (OFFICE ATP)
| | ATP – SAFE ATTACHMENTS
19. | SÉCURISER SA MESSAGERIE AVEC EOP? C’EST À DIRE?
| PROTECTION DES IDENTITÉS
| FONCTIONNALITÉS AVANCÉES – ATP (OFFICE ATP)
| | ATP – SAFE ATTACHMENTS
20. | SÉCURISER SA MESSAGERIE AVEC EOP? C’EST À DIRE?
| PROTECTION DES IDENTITÉS
| FONCTIONNALITÉS AVANCÉES – ATP (OFFICE ATP)
| | ATP – ADVANCED ANTI-PHISHING/ANTI-SPOOFING
| PROTECTION AVANCÉE CONTRE LE SPOOFING ET L’IMPERSONATION DE DOMAINE, D’UTILISATEUR
| MAILBOX INTELLIGENCE
| PROTECTION JUSQU’A 60 UTILISATEURS PAR STRATÉGIE
| PROTECTION CONTRE LES ARNAQUES AUX PRÉSIDENTS PAR EXEMPLE
21. | SÉCURISER SA MESSAGERIE AVEC EOP? C’EST À DIRE?
| PROTECTION DES IDENTITÉS
| FONCTIONNALITÉS AVANCÉES – ATP (OFFICE ATP)
| | ATP – ADVANCED ANTI-PHISHING/ANTI-SPOOFING
22. | SÉCURISER SA MESSAGERIE AVEC EOP? C’EST À DIRE?
SOURCE : HTTPS://MHA.AZUREWEBSITES.NET/PAGES/MHA.HTML
24. | SÉCURISER SA MESSAGERIE AVEC EOP? C’EST À DIRE?
| AUGMENTER LE « SPAM SCORE »
HTTPS://DOCS.MICROSOFT.COM/FR-FR/OFFICE365/SECURITYCOMPLIANCE/ADVANCED-SPAM-FILTERING-ASF-OPTIONS
25. | SÉCURISER SA MESSAGERIE AVEC EOP? C’EST À DIRE?
| PROTECTION DES ACCÈS
| LEGACY PROTOCOL ?
| | CLIENT ACCESS RULES
| AU NIVEAU DU TENANT CRÉATION D’UNE STRATÉGIE BLOQUANT LE POP/IMAP
| | EXEMPLE:
NEW-CLIENTACCESSRULE -NAME "DISABLE POP/IMAP" -ACTION DENY -
ANYOFPROTOCOLS POP3,IMAP4
26. | SÉCURISER SA MESSAGERIE AVEC EOP? C’EST À DIRE?
| PROTECTION DES ACCÈS
| LEGACY PROTOCOL ?
| | BOITES AUX LETTRES
| DÉSACTIVATION DES PROTOCOLES AU NIVEAU DE LA BOITE DE L’UTILISATEUR;
| CRÉATION D’UNE TÂCHE PLANIFIÉE POUR CHAQUE NOUVELLE BOITE CRÉÉE;
| IL EST FORTEMENT DÉCONSEILLÉ DE MODIFIER LE MAILBOXPLAN
| | EXEMPLE:
SET-CASMAILBOX HAKIM.TAOUSSI -IMAPENABLED $FALSE -POPENABLED $FALSE -
SMTPCLIENTAUTHENTICATIONDISABLED $TRUE
27. | SÉCURISER SA MESSAGERIE AVEC EOP? C’EST À DIRE?
| PROTECTION DES ACCÈS
| LEGACY PROTOCOL ?
| | CONDITIONAL ACCESS (LICENCE AZURE P1 MINIMUM)
28. | SÉCURISER SA MESSAGERIE AVEC EOP? C’EST À DIRE?
| PROTECTION DES ACCÈS
| ET POUR LES AUTRES ACCÈS ?
| | AUTHENTIFICATION MODERN
| | AUTHENTIFICATION BASIC
| POUR RAPPEL LES « PROTOCOLS LEGACY » NE SUPPORTE PAS LE MFA
| IL EST RECOMMANDÉ DE DÉSACTIVER L’AUTHENTIFICATION BASIC
| ATTENTION AUX APPLICATIONS TIERCES QUI NE SUPPORTE PAS L’AUTHENTIFICATION
BASIC (APPLI MOBILE PROPRIÉTAIRE…)
BREAKING NEWS !!
MICROSOFT A ANNONCÉ LA FIN DE L’AUTHENTIFICATION BASIQUE POUR
L’ENSEMBLE DES PROTOCOLES ET ACCÈS (À L’EXCEPTION DU SMTP AUTH)
HTTPS://TECHCOMMUNITY.MICROSOFT.COM/T5/EXCHANGE-TEAM-BLOG/IMPROVING-SECURITY-TOGETHER/BA-P/805892
29. | SÉCURISER SA MESSAGERIE AVEC EOP? C’EST À DIRE?
| PROTECTION DES DONNÉES
| CONTRÔLER SES IDENTITÉS ET SES ACCÈS PERMET DE MINIMISER LE VOL DE DONNÉES
VIA LA MESSAGERIE
| MAIS QU’EN EST IL DES TRANSFERTS AUTOMATIQUES ?
PAR DÉFAUT SUR LES TENANTS
REPRÉSENTE ENVIRON 99% DES FUITES DE DONNÉES POTENTIELLES
| FONCTIONNALITÉ AVANCÉE AVEC DLP ET AIP
31. | BONNES PRATIQUES
| COMMUNICATION & SENSIBILISATION
| NE PAS HÉSITER A APPELER LE SUPPORT
| LES EXCHANGE TRANSPORT RULES PEUVENT ÊTRE TRÈS UTILES
| AUTHENTIFICATION DES ÉMETTEURS
| SPF
| DKIM
| DMARC
32. | BONNES PRATIQUES
| AUTHENTIFICATION DES ÉMETTEURS
| SPF
| PERMET DE LUTTER CONTRE LE SPOOFING
| EOP VÉRIFIE SYSTÉMATIQUEMENT SI UN RECORD SPF EST PRÉSENT
| ATTENTION A BIEN ÉVALUER LE RISQUE AVANT LA CONFIGURATION DU SPF
33. | BONNES PRATIQUES
| AUTHENTIFICATION DES ÉMETTEURS
| DKIM
| RENFORCE LA LUTTE CONTRE L’USURPATION
| AJOUTE UNE SIGNATURE NUMÉRIQUE DANS LE HEADER DU MESSAGE
| | CLÉ PRIVE POUR CHIFFRER LE HEADER DU MESSAGE SORTANT
| | CLÉ PUBLIQUE PUBLIE DANS LE DNS POUR LE DÉCHIFFREMENT PAR LE DESTINATAIRE
| DKIM PLUS EFFICACE QUE LE SPF
| RECOMMANDÉ D’UTILISER DKIM EN PLUS DU SPF
| EOP PREND EN CHARGE LA VALIDATION DKIM DE TOUS LES MESSAGES ENTRANTS
| EOP SIGNE TOUS LES MESSAGES SORTANTS (MÊME SI CLIENT N’A PAS CONFIGURÉ)
34. | BONNES PRATIQUES
| AUTHENTIFICATION DES ÉMETTEURS
| DMARC
| AIDE A LA PROTECTION CONTRE LE PHISHING
| RENFORT CONTRE LA DÉTECTION DE SPOOFING
| | CHAMP RFC5322.FROM REMPLACÉ PAR UNE ADRESSE MAIL AVEC UN AUTRE DOMAINE
| | CE CHAMP DOIT MATCHER AVEC LA SIGNATURE DKIM (D=DOMAIN.COM) OU LE CHAMP RFC5321.MAILFROM
| COUPLE AVEC SPF/DKIM
| | LORSQUE SPF/DKIM EN ÉCHECS, DMARC SPÉCIFIE L’ACTION À MENER SUR LE MESSAGE
| A METTRE EN PLACE COMME UN PROJET À PART ENTIÈRE
35. | ET APRÉS?
| AUTOMATED INVESTIGATION AND RESPONSE (AIR)
| ALERTS
| A POTENTIALLY MALICIOUS URL CLICK WAS DETECTED
| EMAIL REPORTED BY USER AS PHISH
| EMAIL MESSAGES CONTAINING MALWARE REMOVED AFTER DELIVERY
| EMAIL MESSAGES CONTAINING PHISH URLS REMOVED AFTER DELIVERY
| SECURITY PLAYBOOKS
| USER-REPORTED PHISH MESSAGE
| URL CLICK VERDICT CHANGE
| MALWARE DETECTED POST-DELIVERY (MALWARE ZAP)
| PHISH DETECTED POST-DELIVERY ZAP (PHISH ZAP)
43. | CONCLUSION
| EOP AVEC OFFICE ATP PERMET DE MIEUX SE PROTÉGER
| LA COMMUNICATION ET LA SENSIBILISATION DES UTILISATEURS EST IMPORTANTE
| ASSOCIER LES AUTRES SOLUTIONS ATP (AZURE ATP, WINDOWS ATP) POUR MAXIMISER LA SÉCURISATION DE VOS DONNÉES
______________________________________________
IL N’Y A PAS DE RISQUE ZÉRO !
DES FAILLES EXISTERONT TOUJOURS !
ESSAYONS DE RÉDUIRE AU MAXIMUM LA SURFACE D’ATTAQUE