Bernard Ourghanlian a débuté cette session par un panorama des tendances technologiques pour les années à venir. Pour lui, les drivers seront la mobilité, le Cloud, l’irruption du Big Data et l’utilisation des réseaux sociaux.

Face à ces tendances, il a rappelé qu’il y a de très nombreuses menaces avec des adversaires de mieux en mieux équipés qui ont parfois le sponsoring d’Etats. Ils utilisent des outils d’attaques de plus en plus performants et automatisés. Selon lui, depuis quatre ans, il n’y a pas eu une seule journée sans laquelle les équipes de Microsoft n’ont pas eu à aider un client à se sortir d’une attaque violente avec souvent des exfiltrations de données.

Du côté des défenseurs, les entreprises ne sont pas préparées à des attaques visant aux vols des mots de passe et Login de l’ensemble des collaborateurs. Les attaquants ont un avantage car ils savent où ils vont attaquer. En conséquence, les entreprises essaient de défendre l’ensemble de leur SI ce qui est très compliqué voire impossible...

Bernard Ourghanlian a expliqué que de très nombreuses attaques ne sont pas médiatisées du fait des préoccupations de nuisance sur la réputation des entreprises attaquées. De ce fait, il n’y a pas de partage de connaissance sur les procédés utilisés par les pirates informatiques. Il a rappelé une fois de plus que le modèle de sécurité traditionnel des SI est caduc. Il faut donc se concentrer sur les éléments les plus importants à protéger plutôt que d’essayer de tout protéger. Il faut donc faire de l’analyse de risques.

Cette analyse de risque est devenue l’élément central de la stratégie de sécurité de Microsoft.

Windows XP une architecture de sécurité obsolète ?

Pour lui, Windows XP va être arrêté car son architecture n’est plus adaptée au modèle de sécurité actuel. Cette obsolescence semble discutable du point de vue des millions d’utilisateurs qui vont devoir investir rapidement dans de nouveaux ordinateurs sous peine de risquer de se faire pirater. Pour les grandes entreprises le tableau n’est pas moins réjouissants car elles vont devoir payez une « Taxe Microsoft » faute de pouvoir changer leur milliers de postes suffisamment rapidement…. Et donc avant le fameux 8 avril. Cette stratégie a sans doute pour objectif d’imposer Windows 8 qui ne fait pas l’unanimité à ce jour dans le monde de l’entreprise du fait de son instabilité avec par exemple le retour aux fameux « Ecran Bleu » qu’on avait pas vu depuis les années 2003… On voit d’ailleurs aujourd’hui de nombreuses entreprises passer plutôt à Windows7 quitte à devoir dans quelques années devoir repayer des licences… Au final, tout le monde va devoir payer un tribut à Microsoft.

la sécurité doit tout autoriser grâce à une politique de gestion des identités et des accès drastiques

Microsoft milite pour une informatique de confiance incluant la sécurité, le respect de la vie privée, la fiabilité et un engagement sur la compatibilité. Il y a de forte tension entre les innovations métiers et les besoins en termes de Cybersecurité. Il faut être dans une logique où la sécurité doit « permettre de faire ». Il faut établir un pont entre les innovations et les nouveaux usages et la sécurité. Il est donc nécessaire par exemple tirer parti du Big Data pour améliorer la sécurité, étendre le Cloud en protégeant les données. Il est important de connecter les gens et accélérer la collaboration sécurisée. Enfin, au niveau de la mobilité, il préconise de laisser les utilisateurs choisir leur terminaux mais d’intégrer la sécurité par un système de management et un meilleur contrôle.

Concernant les réseaux sociaux, ils proposent de les autoriser mais en sécurisant les usages par une stratégie de conformité et une politique de sécurité. Bien sûr dans ce schéma, il faut mettre un système de protection des données et de contrôle d’accès. Il est aussi nécessaire de mettre en place une politique de gestion des identités sociales.

Au niveau du Cloud, là encore, il faut un système de gestions des identités associé à un système de contrôle d’accès dynamique. Enfin, il conseille de procéder à des audits réguliers.

Enfin, le Big Data est une immense opportunité en matière de sécurité.

La sécurité passe par la centralisation

Il a illustré son propos par un exemple d’utilisateurs qui souhaitent comme dans toute entreprise utiliser leur device mobile, aller sur les réseaux sociaux et le Cloud. Dans cette configuration, son conseil est d’avoir un SI centralisé. Dans ce contexte, les utilisateurs pourront utiliser leur propre device.

Il recommande d’utiliser un système de SSO, pour un accès indépendant de la localisation, lié à de la fédération des identités. Il a présenté Windows Azure qui permet de gérer les identités à l’échelle du Cloud. Ainsi, les utilisateurs bénéficient d’un SSO unique pour toutes les ressources internes, les applications de Windows Azure, Office 365 et des applications tierces.

En ce qui concerne la gestion des accès, les utilisateurs peuvent enregistrer les appareils ce qui leur permet un accès cohérent aux applications et données. L’IT pourra donc donner l’accès aux ressources de l’entreprise avec un contrôle d’accès basé sur l’identité de l’utilisateur et son device. En parallèle, Microsoft propose d’évaluer dynamiquement le contexte d’accès aux ressources de l’entreprise en fonction du lieu de la situation de la connexion (lieu, type de device utilisés....). Il a aussi présenté MFA, l’authentification multi-facteur de Windows Azure qui vient de sortir et qui propose une authentification multi-facteur lié à un challenge questions/réponse pour accéder aux ressources de l’entreprise.

Il a présenté aussi les nouvelles fonctionnalités de sécurité intégrer dans Windows Phone 8 avec un VPN, l’intégration des solutions MDM du marché, le chiffrement des données....

Il a par ailleurs recommandé de mettre en place un système de classification automatique et de protection des données. Avec la mobilité, il est de plus en plus difficile d’interdire aux utilisateurs d’avoir un accès aux données sensibles. Aujourd’hui, Microsoft a sorti une solution de classification des données avec un contrôle d’accès dynamique : RMS Right Management Services. Bien sûr, pour le déployer il est nécessaire de dialoguer avec les métiers. L’objectif de cette solution est de favoriser la collaboration entre les usagers.

Il a terminé son intervention sur la gestion de la sécurité. Il a rappelé qu’il est indispensable de matcher les systèmes, il faut de façon impérative avoir une politique de gestion des mots de passe drastiques. Pour lui, avoir des milliers de comptes à privilèges n’a pas de sens ! Il a rappelé que dans le monde entier, chez Microsoft il n’y a que 12 personnes qui ont des pouvoirs d’administrateurs…