Gestion des incidents de sécurité Microsoft : préparation
Formation et vérification des antécédents
Chaque employé travaillant sur Microsoft services en ligne reçoit une formation sur les incidents de sécurité et les procédures de réponse appropriées à son rôle. Chaque employé Microsoft reçoit une formation lors de son adhésion, et une formation de rappel annuelle chaque année par la suite. La formation est conçue pour fournir à l’employé une compréhension de base de l’approche de Microsoft en matière de sécurité afin qu’à la fin de la formation, tous les employés comprennent :
- Définition d’un incident de sécurité
- La responsabilité de tous les employés de signaler les incidents de sécurité
- Comment faire remonter un incident de sécurité potentiel à l’équipe de réponse de sécurité Microsoft appropriée
- Comment les équipes de réponse aux incidents de sécurité Microsoft répondent aux incidents de sécurité
- Préoccupations particulières concernant la confidentialité, en particulier la confidentialité des clients
- Où trouver des informations supplémentaires sur la sécurité et la confidentialité, et les contacts d’escalade
- Tout autre domaine de sécurité pertinent (selon les besoins)
Les employés appropriés reçoivent une formation de rappel sur la sécurité chaque année. La formation annuelle de remise à jour se concentre sur les éléments suivants :
- Toute modification apportée aux procédures opérationnelles standard au cours de l’année précédente
- La responsabilité de tout le monde de signaler les incidents de sécurité, et comment le faire
- Où trouver des informations supplémentaires sur la sécurité et la confidentialité, et les contacts d’escalade
- Tout autre domaine axé sur la sécurité qui peut être pertinent chaque année
Chaque employé travaillant sur Microsoft services en ligne est soumis à une case activée d’expérience appropriée et approfondie qui inclut les études, l’emploi, les antécédents criminels et d’autres informations spécifiques du candidat par États-Unis réglementations telles que health Insurance Portability and Accountability Act (HIPAA), International Traffic in Arms Regulations (ITAR), Federal Risk and Authorization Management Program (FedRAMP), etc.
Les vérifications d’arrière-plan sont obligatoires pour tous les employés travaillant dans l’ingénierie Microsoft. Certains environnements de service en ligne Microsoft et certains rôles d’opérateur peuvent également nécessiter des empreintes digitales complètes, des exigences de citoyenneté, des exigences d’autorisation gouvernementale et d’autres contrôles plus stricts. En outre, certains rôles et équipes de service peuvent suivre une formation spécialisée en matière de sécurité si nécessaire. Enfin, les membres de l’équipe de sécurité bénéficient eux-mêmes d’une formation spécialisée et d’une participation à des conférences qui se rapportent directement à la sécurité. Cette formation varie selon les besoins de l’équipe et de l’employé, mais inclut des éléments tels que des conférences sectorielles, des conférences internes sur la sécurité Microsoft et des cours de formation externes par le biais de fournisseurs de formation de sécurité connus dans le secteur. Nous avons également des articles dédiés à la formation sur la sécurité publiés tout au long de l’année pour la communauté de sécurité de Microsoft et spécialisés dans Microsoft services en ligne régulièrement.
Test d’intrusion & évaluation
Microsoft collabore avec différents organismes du secteur et des experts en sécurité pour comprendre les nouvelles menaces et les tendances en constante évolution. Microsoft évalue en permanence ses propres systèmes pour détecter les vulnérabilités et conclut des contrats avec divers experts externes indépendants qui font de même.
Les tests effectués pour le renforcement du service dans Microsoft services en ligne peuvent être regroupés en quatre catégories générales :
- Tests de sécurité automatisés : Le personnel interne et externe analyse régulièrement les environnements de service en ligne Microsoft en fonction des pratiques microsoft SDL, des 10 principaux risques d’Open Web Application Security Project (OWASP) et des menaces émergentes signalées par différents organismes du secteur.
- Évaluations des vulnérabilités : Les engagements formels avec des testeurs tiers indépendants valident régulièrement si les contrôles logiques clés fonctionnent efficacement pour répondre aux obligations de service de différents organismes de réglementation. Les évaluations sont effectuées par le personnel certifié CREST (Council of Registered Ethical Security Testers) et sont basées sur les 10 principaux risques de l’OWASP et d’autres menaces applicables aux services. Toutes les menaces détectées sont suivies jusqu’à la fermeture.
- Test continu des vulnérabilités du système : Microsoft effectue des tests réguliers dans lesquels les équipes tentent de violer le système à l’aide de menaces émergentes, de menaces fusionnées et/ou de menaces persistantes avancées, tandis que d’autres équipes tentent de bloquer ces tentatives de violation.
- Programme de primes aux bogues Microsoft Online Services : ce programme utilise une stratégie d’autorisation d’évaluations des vulnérabilités limitées provenant du client sur Microsoft services en ligne. Pour plus d’informations, consultez Conditions relatives aux primes aux bogues de Microsoft Online Services.
Les équipes d’ingénierie microsoft services en ligne publient régulièrement divers documents de conformité. Plusieurs de ces documents sont disponibles dans le cadre d’un accord de non-divulgation du portail d’approbation Microsoft Cloud Service ou de la zone Service Assurance du portail de conformité Microsoft Purview
Simulation d’attaque
Microsoft s’engage dans des exercices de simulation d’attaque en cours et des tests d’intrusion sur site en direct de nos plans de sécurité et de réponse dans le but d’améliorer la détection et la capacité de réponse. Microsoft simule régulièrement des violations réelles, effectue une surveillance continue de la sécurité et pratique la réponse aux incidents de sécurité pour valider et améliorer la sécurité de Microsoft services en ligne.
Microsoft exécute une stratégie de sécurité de violation de l’hypothèse à l’aide de deux équipes principales :
Équipes rouges
Les équipes Microsoft Red sont des groupes de personnel à temps plein au sein de Microsoft qui se concentrent sur la violation de l’infrastructure, de la plateforme et des propres locataires et applications de Microsoft. Ils sont l’adversaire dédié (un groupe de pirates informatiques éthiques) effectuant des attaques ciblées et persistantes contre services en ligne (mais pas les applications ou les données des clients). Ils fournissent une validation continue du « spectre complet » (par exemple, des contrôles techniques, une stratégie papier, une réponse humaine, etc.) des fonctionnalités de réponse aux incidents de service.
Équipes bleues
Les équipes Microsoft Blue sont composées d’ensembles dédiés de répondeurs de sécurité et de membres issus des équipes de réponse aux incidents de sécurité, d’ingénierie et d’exploitation. Ils sont indépendants et fonctionnent séparément des équipes rouges. Les équipes Blue suivent les processus de sécurité établis et utilisent les outils et technologies les plus récents pour détecter les attaques et les tentatives d’intrusion et y répondre. Tout comme les attaques réelles, les équipes Bleues ne savent pas quand ou comment les attaques de l’équipe Rouge se produisent, ni quelles méthodes peuvent être utilisées. Leur travail, qu’il s’agisse d’une attaque d’équipe rouge ou d’une attaque réelle, consiste à détecter et à répondre à tous les incidents de sécurité. Pour cette raison, les équipes Bleues sont continuellement sur appel et doivent réagir aux violations de l’équipe Rouge de la même façon qu’elles le feraient pour tout autre adversaire.
Les équipes Microsoft séparent les équipes rouges à temps plein et les équipes bleues de Microsoft dans différentes divisions qui effectuent des opérations à la fois sur les services et au sein de ceux-ci. Appelé Red Teaming, l’approche consiste à tester les systèmes et les opérations des services Microsoft en utilisant les mêmes tactiques, techniques et procédures que les adversaires réels, par rapport à l’infrastructure de production en direct, sans connaître les équipes d’ingénierie ou d’exploitation de l’infrastructure et de la plateforme. Cela teste les fonctionnalités de détection et de réponse de sécurité, et permet d’identifier les vulnérabilités de production, les erreurs de configuration, les hypothèses non valides ou d’autres problèmes de sécurité de manière contrôlée. Chaque violation de l’équipe Rouge est suivie d’une divulgation complète entre l’équipe Rouge et l’équipe Bleue, y compris les équipes de service, afin d’identifier les lacunes, de traiter les résultats et d’améliorer considérablement la réponse aux violations.
Remarque
Aucune donnée client n’est ciblée pendant les exercices Red Teaming ou d’intrusion de site en direct. Les tests sont effectués sur l’infrastructure et les plateformes Microsoft 365 et Azure, ainsi que sur les propres locataires, applications et données de Microsoft. Les locataires, les applications et les données des clients hébergés dans Azure, Dynamics 365 ou Microsoft 365 ne sont jamais ciblés conformément aux règles d’engagement convenues.
Exercices conjoints
Parfois, les équipes Microsoft Blue et Red mènent des opérations conjointes où la relation au cours de l’opération est plus partenaire que contradictoire avec un ensemble sélectionné d’employés de chaque équipe. Ces exercices sont bien coordonnés entre les équipes pour obtenir un ensemble de résultats plus ciblé grâce à une collaboration en temps réel entre les pirates informatiques éthiques et les intervenants. Ces exercices « équipe violette » sont hautement adaptés pour chaque opération afin de maximiser les opportunités, mais le partage d’informations et le partenariat à bande passante élevée sont fondamentaux pour chaque opération.
Articles connexes
- Gestion des incidents de sécurité Microsoft
- Gestion des incidents de sécurité Microsoft : détection et analyse
- Gestion des incidents de sécurité Microsoft : confinement, éradication et récupération
- Gestion des incidents de sécurité Microsoft : activité post-incident
- Comment enregistrer un ticket de support d’événement de sécurité
- Notification de violation Azure et Dynamics 365 dans le cadre du RGPD