Espace revendeurs et partenaires
Logo Open Host
RechercherLoupe Ticket Contactez-nous
Espace revendeurs et partenaires
Loupe

Activation des paramètres de sécurité par défaut

Sécurité Publié le 21 avril 2023 par Emilie Olek

Comme vous le savez peut-être, Microsoft activera prochainement les paramètres de sécurité par défaut (Security Defaults) sur les tenants (comptes d’entreprise) Office 365 jugés insuffisamment sécurisés. Il s’agit d’un ensemble de paramètres de sécurité qui visent à renforcer la protection de vos comptes et de votre organisation contre les attaques liées à l’identité, comme le spray de mots de passe, le rejeu et le phishing.

Les Security Defaults impliquent notamment l’utilisation de l’Authentification multifacteur (MFA) pour tous les utilisateurs et administrateurs de votre tenant. Pour rappel, le MFA est une méthode qui consiste à vérifier l’identité d’un utilisateur en lui demandant de fournir plusieurs éléments d’authentification : quelque chose qu’il sait (son mot de passe, un code PIN spécifique à son périphérique, etc..) et/ou quelque chose qu’il possède (son téléphone portable, son ordinateur professionnel, une clé de sécurité, etc.) et/ou quelque chose qu’il est (empreinte digitale, reconnaissance faciale, etc.)

La MFA est une étape importante pour sécuriser votre entreprise, car elle réduit considérablement le risque qu’un attaquant puisse accéder à vos comptes en utilisant un mot de passe volé ou deviné. Selon Microsoft, plus de 99,9% des attaques liées à l’identité sont bloquées par l’utilisation de la MFA.

Nous comprenons que l’activation des paramètres de sécurité peut susciter des questions ou des inquiétudes chez nos clients. C’est pourquoi nous vous proposons différentes options pour gérer cette transition :

Option A : Accepter les paramètres de sécurité par défaut pour bénéficier d’une sécurité renforcée sans surcoût

Cette option consiste à accepter les paramètres de sécurité par défaut proposés par Microsoft et à les appliquer à tous les utilisateurs et administrateurs de votre tenant. Cette option présente l’avantage d’être gratuite et facile à mettre en œuvre, mais elle implique également certaines contraintes :

  • Les utilisateurs doivent s’inscrire à la MFA en utilisant l’application Microsoft Authenticator ou toute application tierce utilisant OATH TOTP. Ils ont 14 jours pour le faire après leur première connexion réussie après l’activation des Security Defaults. Passé ce délai, ils ne pourront plus se connecter tant qu’ils n’auront pas complété leur inscription.
  • Les utilisateurs sont confrontés au MFA principalement lorsqu’ils se présentent sur un nouvel appareil ou une nouvelle application, mais plus souvent pour les rôles et les tâches critiques. Ils doivent alors approuver la connexion en appuyant sur une notification ou en utilisant la reconnaissance faciale ou d’empreintes digitales sur leur téléphone portable.
  • Les protocoles d’authentification obsolètes sont désactivés. Cela signifie que certaines applications ou périphériques qui utilisent ces protocoles (comme IMAP, POP3 ou SMTP) ne pourront plus se connecter à votre tenant. Vous devrez donc utiliser des applications modernes et sécurisées qui prennent en charge la MFA.

Si vous choisissez cette option, voici trois voies pour faciliter l’adoption des Security Defaults par vos employés :

  • A1 : Convaincre les utilisateurs qu’installer l’application Authenticator sur leur téléphone personnel ne constitue pas un risque pour leur vie privée. Vous pouvez leur expliquer que l’application Microsoft Authenticator ne collecte ni ne partage aucune donnée personnelle ou sensible avec Microsoft ou d’autres parties. L’application ne stocke que les informations nécessaires pour vérifier l’identité de l’utilisateur, comme son nom d’utilisateur, son adresse e-mail et son numéro de téléphone. L’application ne peut pas accéder aux autres applications ou données du téléphone de l’utilisateur.
  • A2 : Contourner l’utilisation d’Authenticator via un autre système d’OTP. Si vos employés ne veulent pas ou ne peuvent pas installer l’application Microsoft Authenticator sur leur téléphone portable, vous pouvez leur proposer d’utiliser une autre application de leur choix qui supporte le protocole OATH TOTP, comme Google Authenticator, Authy ou LastPass Authenticator. Ces applications génèrent des codes à usage unique (OTP) que les utilisateurs doivent saisir lorsqu’ils se connectent à leur compte.
  • A3 : Contourner l’utilisation d’Authenticator par la configuration du système OTP sur un logiciel accessible par l’utilisateur, comme le propose certains gestionnaires de mot de passe. Cette option présente des risques de sécurité mais peut permettre l’utilisation du MFA sans téléphone portable ou pour des comptes partagés qui ne permettent pas de configurer plusieurs OTP.

Option B : Investir dans la flexibilité du Conditional Access, soit en upgradant les licences vers Microsoft 365 Business Premium, soit en ajoutant une licence Azure AD Premium P1

Cette option consiste à désactiver les paramètres de sécurité par défaut et à utiliser les politiques d’accès conditionnel à la place. Le Conditional Access est une fonctionnalité qui vous permet de personnaliser et de contrôler les conditions d’accès à votre tenant Office 365. Vous pouvez par exemple définir des règles basées sur le rôle, le groupe, l’appareil, l’emplacement ou le risque de l’utilisateur. Cette option présente l’avantage d’être plus flexible et adaptée à vos besoins spécifiques, mais elle implique également un coût supplémentaire :

  • Pour utiliser le Conditional Access, vous devez disposer d’une licence Azure AD Premium P1 ou d’un abonnement Microsoft 365 Business Premium qui inclut cette licence. Le prix de la licence Azure AD Premium P1 est de 5,60 € par utilisateur et par mois. Le prix de l’abonnement Microsoft 365 Business Premium est de 20,60€ par utilisateur et par mois. Vous pouvez comparer les différentes offres en cliquant ici.
  • Pour configurer le Conditional Access, vous devez avoir des connaissances techniques sur les concepts et les outils d’Azure Active Directory. Vous devrez également tester et valider vos politiques avant de les appliquer à votre organisation. Vous pouvez consulter la documentation officielle en cliquant ici.

Openhost propose des prestation clés en main pour la mise en œuvre du Conditionnal Access dans votre entreprise, contactez notre service clients.

Si vous choisissez cette voie, voici quelques exemples de politiques que vous pouvez utiliser pour faciliter l’adoption du MFA par vos employés :

  • B1 : Se servir des options plus nombreuses pour faciliter l’adoption du MFA. Avec le Conditional Access, vous pouvez offrir à vos employés plus de choix pour s’authentifier avec le MFA. Vous pouvez leur permettre d’utiliser des codes SMS, des appels vocaux ou des clés de sécurité FIDO2 en plus de l’application Microsoft Authenticator ou d’une application OATH TOTP. Il est également possible d’exclure certains comptes d’applications qui ne supportent pas encore le MFA.
  • B2 : Exclure l’adresse IP des locaux de l’entreprise du MFA, ce qui bloquera les utilisateurs et les attaquants depuis les autres emplacements. Avec le Conditional Access, vous pouvez définir des plages d’adresses IP publique approuvées à partir desquelles vos employés peuvent se connecter sans MFA. Cela peut être utile si vous voulez limiter le MFA aux connexions depuis des réseaux externes ou non sécurisés. Vous pouvez également bloquer l’accès depuis certaines régions géographiques ou certains pays pour réduire le risque d’attaques.
  • B3  : Utiliser Windows Hello for Business comme un complément ou une alternative aux méthodes de MFA traditionnelles. Windows Hello for Business est une fonctionnalité qui vous permet de vous connecter à votre compte sans mot de passe, en utilisant la reconnaissance faciale, l’empreinte digitale ou le code PIN. Cette option est plus conviviale et plus efficace que les mots de passe, mais elle nécessite un appareil compatible avec Windows 10 ou Windows 11 et doté d’un capteur biométrique ou d’un clavier numérique. L’utilisation d’un PC portable professionnel configuré avec Windows Hello for Business peut permettre aux utilisateurs d’accéder de manière sécurisée aux ressources de l’entreprise sans avoir recours à l’application Microsoft Authenticator.

Option C : Prendre le risque de ne pas appliquer une politique globale de MFA en ne conservant ni les paramètres de sécurité par défaut ni l’accès conditionnel

Cette option consiste à désactiver les paramètres de sécurité par défaut et à ne pas utiliser l’accès conditionnel. Cette option présente l’avantage d’être gratuite et sans contrainte pour vos employés, mais elle implique également un risque élevé pour la sécurité de votre organisation :

  • C1 : Activer individuellement le MFA pour chaque compte utilisateur, avec tous les risques (oubli, mauvaise configuration, etc.) que cela comporte. Si vous choisissez cette option, vous devrez gérer manuellement le MFA pour chaque utilisateur et administrateur de votre tenant. Vous devrez également vous assurer que tous vos utilisateurs s’inscrivent au MFA dans les délais impartis et qu’ils utilisent des méthodes d’authentification sécurisées. Vous devrez également surveiller régulièrement l’état du MFA dans votre organisation et résoudre les éventuels problèmes rencontrés par vos utilisateurs.
  • C2 : Continuer sans activer le MFA, s’exposer à un risque significativement plus élevé d’incidents de sécurité comparativement aux entreprises l’utilisant, et prendre en compte que Microsoft et Openhost pourraient se prévaloir de cette négligence pour, respectivement, vous refuser les garanties contractuelles (SLA) ou facturer un supplément en cas d’assistance technique urgente lors d’un incident de sécurité. En choisissant cette option, vous mettez votre organisation en danger face à une très forte probabilité de compromission de vos comptes et données par des pirates, ainsi qu’à des interruptions de service de plusieurs jours le temps de renforcer la sécurité de l’environnement Office 365. D’après une étude de Microsoft, 99,9% des compromissions de comptes n’auraient pas eu lieu si le MFA avait été utilisé.

Nous espérons que cet article vous a éclairé sur les options qui s’offrent à vous pour gérer l’activation prochaine des paramètres par défaut sur votre tenant Office 365. Nous restons à votre disposition pour toute question ou demande d’accompagnement. N’hésitez pas à nous contacter par e-mail ou par téléphone.

Autres actualités

Microsoft Defender for Business : la nouvelle solution de sécurité pour les PME
Office 365 - Sécurité Publié le 1 novembre 2021 par Emilie Olek

Microsoft Defender for Business : la nouvelle solution de sécurité pour les PME

Microsoft a dévoilé récemment une nouvelle solution de sécurité baptisée Microsoft Defender for Business, spécialement conçue pour les petites et les moyennes entreprises. Microsoft Defender for Business a pour objectif de protéger vos terminaux contre les attaques informatiques et les activités malveillantes qui pourraient endommager [...]

Lire la suite
La migration vers SharePoint 2016 offerte avec Openhost
Sharepoint Publié le 12 septembre 2016 par Emilie Olek

La migration vers SharePoint 2016 offerte avec Openhost

Une plateforme documentaire optimisée Openhost annonce officiellement l’arrivée de l’outil SharePoint 2016 sur ses infrastructures d’hébergement. Deux éléments sont à retenir :  La disponibilité des gammes Standard et Entreprise sur nos serveurs mutualisés et dédiés – unique en France  La migration des données vers la nouvelle plateforme est offerte Pour tout abonnement, la migration de données vers SharePoint 2016 […]

Lire la suite
Microsoft Teams intègre Skype pour la téléphonie
Office 365 - Téléphonie et vidéoconférence Publié le 14 décembre 2017 par Emilie Olek

Microsoft Teams intègre Skype pour la téléphonie

Comme annoncé il y a quelques mois avec les nouveautés Microsoft Office 2019, le client Skype for Business devrait progressivement s’effacer au profit de la plateforme Microsoft Teams. Le déploiement du Phone System sous Teams est désormais lancé et les fonctionnalités Cloud PBX sont donc accessibles à certains utilisateurs Office 365. Microsoft Teams s’intègre avec […]

Lire la suite
Voir tous les articles