Les événements sportifs sont la cible des cybermenaces

Microsoft a récemment publié la cinquième édition de sa revue Cyber Signals, qui met en lumière les menaces de sécurité informatiques qui pèsent sur les grands événements sportifs. Ce rapport s’appuie sur la télémétrie et les enseignements tirés suite au soutien apporté par Microsoft en matière de cybersécurité pendant la Coupe du monde de la FIFA 2022 au Quatar. 

Cybersécurité et événements sportifs : la chasse aux menaces est ouverte 

Les menaces de cybersécurité qui pèsent sur les grands événements et sites sportifs sont diverses et complexes. Elles nécessitent une vigilance constante et une collaboration entre les différentes parties prenantes. 

L’industrie mondiale du sport étant évaluée à plus de 600 milliards de dollars, les équipes, les associations sportives mondiales, les autorités locales, ainsi que les spectateurs, recèlent une mine d’informations précieuses pour les cyberattaquants ce qui les rend plus vulnérables aux attaques.  

Malheureusement, ces vulnérabilités se multiplient en raison du nombre d’appareils connectés et de réseaux interconnectés dans ces environnements. Les événements peuvent s’enchaîner rapidement avec de nouveaux partenaires et prestataires qui acquièrent un accès aux réseaux pour une période de temps spécifique. Cela donne également un faux sentiment de sécurité en faisant croire que les connexions « temporaires » présentent moins de risques. 

Les systèmes informatiques des lieux accueillant ces événements (stades, salles, complexes sportifs…) comprennent des centaines de vulnérabilités, connues ou non, qui permettent aux cyberattaquants de cibler des services essentiels tels que les plateformes d’inscription ou de billetterie, les systèmes de chronométrage ou de notation des matchs, la logistique, la gestion médicale et le suivi des patients, le suivi des incidents… 

Les informations personnelles identifiables des participants peuvent également être ciblées par le biais d’équipements numériques vulnérables, tels que les applications mobiles, les points d’accès Wi-Fi et les QR Codes contenant des URL malveillantes. 

Microsoft Defender Experts for Hunting a fourni un soutien en matière de cybersécurité pendant la Coupe du monde de la FIFA, au Quatar. Les équipes ont pu procéder à une première évaluation des risques, prenant en compte le profil des hackers, les tactiques et les techniques utilisées et d’autres informations de télémétrie. Ce sont plus de 634,4 millions de tentatives d’authentification (frauduleuses ou non) qui ont été analysées entre novembre et décembre 2022. 

La couverture s’est étendue à divers secteurs, y compris des sociétés impliquées dans les transports, les télécommunications, et d’autres fonctions essentielles. Plusieurs tentatives d’authentification infructueuses ont été enregistrées contre certains établissements de santé désignés comme unités de soins d’urgence pour l’événement. Les établissements de santé détenant des données médicales, ils constituaient des cibles de grande valeur. 

Chiffres clés

Ces données représentent le nombre total d’entités et de systèmes qui ont été surveillés 24/24 et 7/7 par les équipes de cybersécurité entre le 10 novembre et le 20 décembre 2022 : 

• 45 organisations protégées, qu’elles soient en lien direct avec la compétition ou non  
• 100 000 points d’accès protégés (terminaux, appareils…) 
• 144 000 identités protégées 
• 14.6 millions de flux d’emails 
• 634.4 millions de tentatives d’authentification 
• 4.35 millions de connexions réseaux  

« Vous ne pouvez pas défendre quelque chose que vous ne voyez pas

ou que vous ne comprenez pas ». 

Justin Turner, Principal Group Manager
Microsoft Security Research 

Action, réaction !

Pour se défendre contre ces attaques, les équipes sportives, les associations, et les infrastructures physiques doivent adopter des mesures de protection robustes. 

Une stratégie de sécurité multi-couche 

La mise en place d’une sécurité multicouche est une stratégie cruciale pour renforcer la défense des réseaux informatiques contre les menaces de cybersécurité. Cette approche consiste à superposer plusieurs mesures de sécurité pour créer une barrière de protection robuste contre les accès non autorisés : 

• Pare-feux:  ils agissent comme une barrière entre le réseau interne de l’organisation et Internet, en filtrant le trafic entrant et sortant pour détecter et bloquer les activités suspectes.  
• Systèmes de détection et de prévention des intrusions (IDS/IPS) : Ils surveillent en temps réel le trafic réseau à la recherche de comportements anormaux ou de traces de menaces connues. 
• Protocoles de chiffrement (SSL/TLS) : ils garantissent la confidentialité des données. Même si un attaquant parvient à accéder aux données, elles demeurent illisibles sans la clé de déchiffrement appropriée.  

Des audits de sécurité et des évaluations des vulnérabilités doivent être effectués régulièrement afin d’identifier et de corriger les faiblesses de l’infrastructure du réseau.  

Un accès juste à temps (JIT) et juste suffisant (JEA) 

Cette stratégie consiste à accorder aux utilisateurs les permissions minimums requises pour accomplir leurs tâches et au moment où elles en ont besoin. 

L’accès excessif peut être dangereux. Si un utilisateur se voit accorder des privilèges dont il n’a pas besoin, cela peut conduire à des erreurs humaines, à des fuites de données accidentelles ou même à des actions malveillantes.  

En limitant les accès, les parties prenantes réduisent ces risques. 

La formation et l’éducation des parties prenantes 

ll est important d’organiser des séances de formation et de sensibilisation régulières pour les employés et les parties prenantes à ces événements, afin de les tenir informés des dernières menaces de cybersécurité et des meilleures pratiques pour les éviter. 

La sensibilisation à la sécurité devrait faire partie intégrante de la culture de l’entreprise ou de l’événement, car elle joue un rôle fondamental dans la prévention des incidents de sécurité et la protection des données sensibles.  

Voici quelques-unes de nos recommandations : 

• Être capable de reconnaître un email de phishing : les attaques de phishing consistent à tromper les utilisateurs en se faisant passer pour des entités de confiance (banque, opérateur téléphonique, compagnie d’assurance, etc.) pour obtenir des informations sensibles.  
• Utiliser l’authentification multifacteur (MFA) : le MFA est une méthode d’authentification forte qui exige que l’utilisateur fournisse au moins deux facteurs de vérification (empreinte digitale, code PIN, reconnaissance faciale, etc.) pour prouver son identité. 
• Éviter les liens et ou les téléchargements suspects qui peuvent contenir des logiciels malveillants. 

Le rapport est disponible ici : https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RW185Dg

En réponse aux préoccupations soulevées par la Commission européenne, Microsoft apporte des modifications importantes aux licences et à la disponibilité de Microsoft 365 et Microsoft Teams en Europe.  

À partir du 1er octobre 2023, Microsoft introduira : 

• Une nouvelle gamme d’abonnements Microsoft 365 et Office 365 qui n’incluent pas Teams 
• Une nouvelle offre Teams autonome pour les clients de la gamme Entreprise * 

Ces changements n’auront pas d’impact sur les abonnements que vous avez déjà souscrit.  

Les tarifs ci-dessous correspondent aux prix par utilisateur/mois avec un engagement annuel.

Les changements apportés aux licences Microsoft de la gamme Entreprise 

À partir du 1er octobre, les licences Office 365 E1, Office 365 E3, Office 365 E5, Microsoft 365 E3 et Microsoft 365 E5 incluant Teams ne seront plus disponibles pour les nouveaux abonnements. 

1 – Si vous possédez déjà l’un de ces abonnements, vous ne serez pas impactés par ces changements et vous pourrez continuer à utiliser, ajouter, et même renouveler ces abonnements à votre contrat actuel, comme d’habitude.  

2 – Si vous ne possédez pas l’un de ces abonnements mais que vous souhaitez y souscrire après le 1er octobre, vous devrez souscrire à deux nouvelles références d’abonnements : 

• Un abonnement Microsoft 365 ou Office 365 (sans Teams) 
• Un abonnement (add-on) Microsoft Teams à 5 € 

💡Si vous êtes dans le deuxième cas et que vous pensez avoir besoin de l’une de ces licences à l’avenir, nous vous encourageons vivement à acheter une licence dès maintenant afin de continuer à profiter du modèle actuel après le 1er octobre. 

Tarifs des licences Microsoft de la gamme Entreprise

Nouvelles offres sans Teams (à partir du 1er octobre 2023)	Prix
Office 365 E1 EEA (sans Teams)	7,40€
Office 365 E3 EEA (sans Teams)	23,10€
Office 365 E5 EEA (sans Teams)	39,50€
Microsoft 365 E3 EEA (sans Teams)	35,70€
Microsoft 365 E5 EEA (sans Teams)	57,70€
Microsoft Teams EEA	5,00€

Si vous avez un devis en cours, nous vous invitons donc à le retourner signé le plus rapidement possible, pour ne pas être impacté par les changements du 1er octobre 2023. 

Les changements apportés aux licences Microsoft 365 Business et aux licences Microsoft 365 Frontline 

Les abonnements Microsoft 365 Business Basic, Microsoft 365 Business Standard, Microsoft 365 Business Premium (gamme Business/PME), ainsi que les abonnements Microsoft 365 F1, Office 365 F3 et Microsoft 365 F3 resteront disponibles et coexisteront avec la nouvelle gamme. 

Vous aurez donc le choix entre les licences existantes avec Teams inclus ou les nouvelles versions de ces licences sans Teams (affublées du terme EEA** dans le nom de la licence). 

Tarifs des licences Microsoft 365 Business

Offres existantes avec Teams	Prix	Nouvelles offres sans Teams (à partir du 1er octobre 2023)	Prix
Microsoft 365 Business Basic	5,60€	Microsoft 365 Business Basic EEA (sans Teams)	4,60€
Microsoft 365 Business Standard	11,70€	Microsoft 365 Business Standard EEA (sans Teams)	9,70€
Microsoft 365 Business Premium	20,60€	Microsoft 365 Business Premium EEA (sans Teams)	18,60€

Tarifs des licences Microsoft 365 Frontline*

Offres existantes avec Teams	Prix	Nouvelles offres sans Teams (à partir du 1er octobre 2023)	Prix
Microsoft 365 F1	2,10€	Microsoft 365 Business Basic EEA (sans Teams)	1,60€
Office 365 F3	3,70€	Microsoft 365 Business Standard EEA (sans Teams)	3,20€
Microsoft 365 F3	7,50€	Microsoft 365 Business Premium EEA (sans Teams)	7,00€

 
* Pour rappel il existe 5 gammes d’abonnement Microsoft 365 : Entreprise (pour plus de 300 utilisateurs), Business (moins de 300 utilisateurs), Académique, ONG, Gouvernement.

** European Economic Area (Espace économique européen)

AVD, c’est quoi ?

Azure Virtual Desktop (anciennement Windows Virtual Desktop) est une solution de bureau distant proposée par Microsoft sur son Cloud Azure. Il offre plusieurs avantages tels que :  

• Accès à distance : les utilisateurs finaux accèdent à leur environnement de bureau virtuel et à leurs applications métiers qu’ils soient sur site, en télétravail ou en déplacement, depuis n’importe quel appareil compatible avec un navigateur web ou une application cliente.  
• Mise à l’échelle : AVD est conçu pour être ajustable, ce qui permet aux entreprises de s’adapter facilement à l’évolution des besoins en matière de ressources informatiques (“Autoscale scaling plan”) 
• Sécurité : Azure Virtual Desktop utilise les dernières technologies de sécurité pour protéger les données et les applications des utilisateurs. Les mises à jour sont effectuées automatiquement. 
• Démarrage à la connexion (“Start on connect”) : La VM est éteinte par défaut et démarre lorsque que quelqu’un se connecte au service AVD. 
• Intégration avec d’autres services Azure : Azure Virtual Desktop est intégré à d’autres services Azure, tels qu’Azure Active Directory, pour une gestion simplifiée des utilisateurs et des appareils. 
• Utilisation d’applications Office 365 et OneDrive sur un environnement Windows Client multisession. Elles remontent automatiquement.

Le saviez-vous ?
Avec le déploiement d’une machine virtuelle Windows 11 multisession, chaque utilisateur dispose de son propre environnement virtuel isolé, ce qui garantit la sécurité et la confidentialité de ses données. 

Quels sont les prérequis ?

AVD est une solution robuste et très simple à mettre en place pour les petites, les moyennes et les grandes entreprises. 

Voici quelques prérequis à connaître : 

• Un tenant Microsoft 365 auquel Openhost viendra rattacher un abonnement Azure. AVD est un service cloud qui s’appuie sur l’infrastructure Azure, il est donc essentiel d’avoir un abonnement Azure pour commencer. 
   
• Une connexion internet stable, des appareils clients compatibles et des Licences Microsoft 365 Business Premium ou Microsoft 365 E3 minimum. 

Un projet ? Une question ? On s’appelle pour en parler !

Téléchargez gratuitement notre infographie récapitulative sur Azure Virtual Desktop.

Vos serveurs deviennent vieillissants, ainsi que vos postes de travail ? 

Avant d’envisager de réinvestir dans de nouveaux équipements informatiques, la solution se trouve peut-être dans le Cloud ! 

En tant qu’expert du Cloud en France depuis plus de 10 ans, Openhost vous propose des offres d’hébergement au sein de ses propres infrastructures ou sur le Cloud public Microsoft Azure. 

Dans cet article, nous mettons en lumière 10 bonnes raisons d’envisager Azure pour y migrer vos applications.

Poursuivez votre lecture pour en savoir plus ! 

Qu’est-ce que Microsoft Azure ?

Microsoft Azure est une plateforme Cloud qui permet aux entreprises de déployer, gérer et développer une large gamme d’applications et de services. Elle intègre aussi des services d’infrastructure (IaaS) pour exécuter et provisionner des machines virtuelles. 

En d’autres termes, Azure offre aux organisations tout ce dont elles ont besoin pour moderniser tout ou partie de leur système d’information : des serveurs virtuels, du stockage, des bases de données, des services d’IA, des outils de développement et bien plus encore. Ces ressources sont disponibles à la demande et facturées en fonction de leur utilisation réelle, ce qui permet aux entreprises de payer uniquement pour ce qu’elles consomment. 

En sélectionnant les services d’Azure qui correspondent à leurs activités, telles que le développement, le déploiement et la gestion d’applications, les entreprises peuvent donc économiser sur les coûts et supprimer les contraintes associées à la gestion d’une infrastructure physique. 

Pourquoi héberger vos applications métiers dans Azure ? 

Microsoft Azure offre de nombreux avantages pour l’hébergement de vos logiciels et applications métiers. Découvrez 10 bonnes raisons de vous tourner vers cette solution :

• Haute disponibilité : Azure propose des services hautement disponibles répartis sur plusieurs régions géographiques et zones de disponibilité. Cela permet à vos applications de continuer à fonctionner sans interruption, pour assurer la continuité de vos activités, même en cas d’incident. 
   
• Accessibilité à distance : Votre logiciel métier est accessible à distance, de manière sécurisée où que vous soyez et depuis n’importe quel appareil connecté à Internet. Il vous suffit de vous authentifier sur votre session de bureau distant, ici Azure Virtual Desktop. 
   
• Sécurité : Microsoft investit massivement dans la sécurité de ses services Azure. Vous bénéficiez ainsi de mécanismes de protection avancés, tels que la détection des menaces, la protection anti-DDoS* et le chiffrement des données au repos et en transit. 

• Conformité : Azure est conforme à de nombreuses normes de sécurité et réglementations de l’industrie, ce qui est crucial pour les entreprises soumises à des contraintes réglementaires. 

• Optimisation des coûts : Azure propose un modèle de paiement à l’utilisation, ce qui signifie que vous ne payez que pour les ressources que vous consommez réellement. Une fois votre application migrée, vous pouvez contacter nos équipes pour suivre, analyser et optimiser en temps réel vos dépenses liées au Cloud. 
   
• Intégration avec l’écosystème Microsoft : Azure, étant une plateforme Cloud Microsoft, garantit une intégration homogène avec vos outils existants tels que Windows, SQL Server, Dynamics et SharePoint. Il facilite la migration de ces applications vers le Cloud, tout en minimisant les interruptions de service. 
   
• Adaptabilité : L’hébergement de votre applicatif métier dans le Cloud Azure est basé sur un modèle éprouvé qui répond aux préconisations de la plupart des éditeurs de logiciels. Vous n’avez aucune mauvaise surprise s’il ne s’agit pas d’un logiciel Microsoft. 
   
• Facilité de migration : Azure propose des outils spécifiques pour faciliter le processus de migration de vos applications comme Azure Migrate, qui vous guidera pas à pas, à travers le processus de migration. 
   
• Innovation constante : Microsoft investit massivement dans le développement de nouvelles fonctionnalités et capacités pour Azure. En choisissant Azure, vous bénéficiez d’un accès immédiat à ces innovations, vous permettant de rester à la pointe de la technologie. 

• Support et service client : Nos équipes vous proposent un excellent support technique et un service client réactif pour vous aider à résoudre rapidement et efficacement les problèmes que vous pourriez rencontrer, et donc, minimiser les temps d’arrêt potentiels. 
  

Héberger ses applications dans le cloud Azure : une solution adaptée à tous types d’entreprises 

Microsoft Azure est capable de s’adapter aux contraintes spécifiques de chaque organisation pour l’aider à améliorer ses performances globales, quels que soient sa taille et son secteur d’activité. 

La finance, le BTP, la santé, le sport, l’aéronautique, pour n’en nommer que quelques-uns, sont tous des utilisateurs actifs de nos solutions cloud. 
Sage, EBP, Ciel, autres logiciels ou applicatifs techniques, y compris les applications Windev… En quelques minutes seulement, il est possible de déployer vos applications métiers dans le cloud Azure. 

Cette plateforme Cloud constitue donc un choix judicieux pour les entreprises cherchant à améliorer leur efficacité opérationnelle, à se concentrer sur l’innovation et à garantir une bonne expérience utilisateur à grande échelle. 

« En tant qu’éditeur de logiciels, toutes nos applications étaient installées en local sur les ordinateurs de nos clients. En passant par Microsoft Azure, notre objectif était de centraliser et de devenir autonome sur l’installation, l’exploitation et la maintenance de nos applications. […] Nos clients sont très sensibles à la sécurité des données hébergées et ce point a été pour nous primordial. Azure propose un niveau de sécurité élevé, il est évolutif et transparent sur ses mises à jour. […] Openhost a assuré la surveillance de nos applications et de nos matériels en temps réel, nous permettant ainsi de nous concentrer sur le développement de nos applications.« 

J. Benard, Responsable Informatique de la société C.Q.O. (Conseil Qualité Odotonlogique)

*Une attaque DDoS (Distributed Denial of Service) est une tentative malveillante visant à submerger un serveur, un réseau ou une application en saturant ses ressources avec un grand nombre de requêtes ou de données, rendant ainsi le service inaccessible aux utilisateurs légitimes.

Microsoft a récemment publié la quatrième édition de sa revue Cyber Signals, mettant en évidence une augmentation du nombre de tentatives de fraude par courrier électronique en entreprise.  

Ce rapport comprend des informations sur les tactiques employées par les attaquants, mais aussi des recommandations sur la manière dont les entreprises peuvent se défendre contre ces attaques.  

Dans cet article, nous utiliserons le terme BEC (Business Email Compromise) pour désigner la compromission de la messagerie électronique en entreprise. 

Le phishing (hameçonnage) est une méthodologie courante pour parvenir à une BEC qui incite l’internaute à communiquer ses données personnelles et/ou bancaires en se faisant passer pour un tiers de confiance.  

La montée en puissances des attaques BEC

Contrairement aux attaques visant à exploiter les vulnérabilités des appareils ou des applications non corrigées, les attaques BEC cherchent à exploiter le trafic quotidien de courriers électroniques et d’autres messages pour inciter les victimes à fournir des informations financières ou à prendre des mesures directes comme envoyer des fonds sans le savoir sur des sites frauduleux.  

Contrairement à une attaque de ransomware « bruyante » avec des messages d’extorsion perturbateurs, les opérateurs de BEC jouent un jeu de confiance discret en utilisant des délais et une urgence artificiels pour inciter les destinataires, qui peuvent être distraits ou habitués à ce type de demandes urgentes. Au lieu d’utiliser de nouveaux logiciels malveillants, les attaquants BEC alignent leurs tactiques sur des outils améliorant l’échelle, la crédibilité et le taux de réussite des messages malveillants dans les boîtes de réception. 

Microsoft observe une augmentation de 38 % de la cybercriminalité en tant que service ciblant les e-mails professionnels entre 2019 et 2022. 

L’un de ces services est BulletProftLink, une plateforme permettant de créer des campagnes de phishing à grande échelle grâce à des modèles et des services automatisés. Les attaquants achètent des adresses IP résidentielles, leur permettant de masquer leur origine géographique et d’échapper à la détection “Impossible Travel” (voyage impossible). Ce principe de sécurité permet de détecter la compromission d’un compte utilisateur. Si le même utilisateur se connecte à partir de deux pays différents et que la durée entre ces connexions ne peut être atteinte par un voyage aérien conventionnel, il s’agit d’un voyage impossible. 

Les attaques BEC réussies coûtent des centaines de millions de dollars par an aux entreprises. Bien que les implications financières soient importantes, les dommages à plus long terme peuvent inclure le vol d’identité si des informations personnelles identifiables (PII) sont compromises, ou la perte de données confidentielles si des informations sensibles ou relevant de la propriété intellectuelle sont exposées. 

Les principales cibles des tentatives d’attaques BEC sont : 

• Les cadres et autres dirigeants, 

• Les responsables financiers, 
• Le personnel des ressources humaines ayant accès aux dossiers des employés tels que les numéros de sécurité sociale, les déclarations d’impôts ou d’autres informations personnelles…. 

…En commençant bien souvent par le bas de l’échelle pour remonter progressivement, créer un organigramme de la société avec les informations recueillis, et par ce biais, crédibiliser encore plus les attaques sur les cibles finales. 

Presque toutes les formes d’attaques BEC sont en augmentation. Les principales tendances en matière d’attaques BEC ciblées sont le leurre (des faux mails d’organismes connus), les fiches de paie, les factures, les cartes cadeaux et les informations commerciales. 

Chiffres clés

• Entre avril 2022 et avril 2023, Microsoft Defender a détecté et enquêté sur 35 millions de tentatives BEC avec une moyenne de 156 000 tentatives par jour. 
   
• 416 678, ce sont le nombre de tentatives d’hameçonnage par URL qui ont été démantelées entre mai 2022 et avril 2023 par la Microsoft Digital Crimes Unit (DCU). 

“Pour s’introduire dans une boîte aux lettres, un peu d’hameçonnage, d’ingénierie sociale et de la détermination suffisent.” 

Simeon Kakpovi , Threat Intelligence Analyst 

Action, réaction !

Maintenant que vous êtes incollables sur les attaques BEC, nous vous proposons quelques bonnes pratiques faciles à mettre en place dans votre entreprise pour vous protéger. 

Utiliser une solution de messagerie sécurisée 

Les solutions de messagerie professionnelles basées sur le Cloud, comme Microsoft Exchange Online, vous offrent une protection avancée contre le phishing et une analyse des virus et des logiciels malveillants pour empêcher tout accès non autorisé à vos données.  

Pour aller plus loin, Microsoft Defender pour Office 365 analyse les emails entrants et sortants pour détecter les menaces potentielles, telles que les liens malveillants, les pièces jointes dangereuses et les noms de domaines douteux. Les fichiers entrants et sortants sont automatiquement analysés pour détecter les logiciels malveillants, tels qu’un Cheval de Troie ou un virus. Les fichiers suspects sont bloqués pour réduire la surface d’attaque.   

Mettre en place l’authentification multifacteur (MFA) 

Avec le MFA, vous rendez votre messagerie électronique plus difficile à compromettre en exigeant un code PIN ou une empreinte digitale pour se connecter, en plus du mot de passe. 

Les comptes de messagerie dotés de l’authentification multifacteur sont plus résistants au risque de compromission des informations d’identification et aux tentatives de connexion par force brute (tester différentes combinaisons), quelle que soit la tactique utilisée par les attaquants.  

Nous insistons sur l’importance d’associer le MFA avec d’autres mesures de défense pour renforcer votre politique de sécurité. 

Sécuriser ses identités pour empêcher les déplacements latéraux 

La protection des identités est un pilier essentiel de la lutte contre le BEC. Vous devez contrôler l’accès aux applications et aux données en vous basant sur une approche Zero Trust : 

• Vérifier explicitement : chaque connexion doit être authentifiée et autorisée en prenant en compte le contexte. 
• Donner le minimum de privilège : l’accès est limité en attribuant les privilèges justes à temps (JIT) et justes suffisants (JEA). 
• Supposer une violation : la généralisation de la supervision permet d’obtenir une visibilité transversale, de détecter précocement les menaces et d’améliorer les défenses.  

Former ses collaborateurs  

Vous devez apprendre à vos employés à repérer les emails frauduleux et les tentatives de phishing et les sensibiliser aux risques et aux coûts associés aux attaques BEC réussies. Il vaut mieux prendre le temps de passer un coup de téléphone pour vérifier qu’une information est légitime plutôt que de cliquer quelque part, ce qui pourrait avoir de graves conséquences.  

Quelques tips pour éviter le phishing : 

➡️ Vérifier que l’adresse email de l’expéditeur corresponde au nom de l’expéditeur 
➡️ Vérifier que les coordonnées présentes dans le mail correspondent à l’expéditeur (adresse, numéro de téléphone…) 
➡️ Ne pas ouvrir de pièce jointe de personnes inconnues si vous avez un doute 
➡️ Si le mail contient des c@ractEre*s inva/lides? Il y a de fortes chances que ce soit un spam ou même du phishing 

Pour aller plus loin, Microsoft Defender pour Office Plan 2 vous permet de lancer des scénarios d’attaques réalistes dans votre entreprise pour vous aider à détecter, hiérarchiser, et corriger les risques de cyberattaque en condition réelle. 

Contactez-nous 

Un projet ? Une question ? 

Si cet article a fait émerger dans votre entreprise un besoin ou une problématique métier, ou si vous avez simplement envie de nous parler, appelez nous pour discuter au 0251831839. 

Le rapport est disponible ici : https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RW14o4H

Si certains de vos abonnements Office 365 ont été créés à des dates différentes, il est fort probable qu’ils aient également des dates de renouvellement différentes. Par exemple, vous avez ajouté des outils spécifiques à certains collaborateurs ou des add-on de téléphonie, de sécurité ou de Business Intelligence.
Afin de ne pas avoir à gérer plusieurs dates de renouvellement au cours de l’année, vous avez la possibilité d’aligner vos abonnements sur une même date anniversaire.

On vous explique comment procéder à l’alignement de tout ou partie des dates anniversaires de vos abonnements Office 365.

Si vous avez des questions supplémentaires, n’hésitez pas à nous contacter !

Pourquoi aligner les dates de fin de vos abonnements ?

• Gestion des modules complémentaires (add-on) : vous pouvez arrêter/renouveler l’abonnement d’un add-on en même temps que l’abonnement auquel il s’applique. Ceci évite de conserver, et donc d’être facturé, pour un add-on seul qui n’est plus utilisé. 
• Alignement avec l’année fiscale : les dates de renouvellement de vos abonnements peuvent être alignées sur la date de début de votre exercice fiscal. 
• Facturation simplifiée : tous vos abonnements se renouvellent en même temps à la même date ce qui limite le nombre de factures à traiter dans l’année. 
• Flexibilité pour les dates de fin : chaque groupe d’abonnements peut avoir sa propre date de fin. Pour des besoins spécifiques, vous pouvez regrouper certains abonnements ensemble au travers d’une date de renouvellement spécifique. 

Quelles sont les règles à respecter pour aligner les dates ? 

L’alignement des dates de fin de vos abonnements peut être activée lorsqu’une licence est créée ou lorsqu’elle est renouvelée, selon les modalités du tableau suivant : 

Ce que vous devez retenir : 

• Vos abonnements ayant un engagement mensuel peuvent aligner leurs dates anniversaires sur n’importe quel autre abonnement (qu’il s’agisse d’un engagement NCE de 1 mois, 1 an ou 3 ans). Seul le jour et le mois seront pris en compte. 
   
• Vos abonnements ayant un engagement de 1 an ou 3 ans peuvent aligner leurs dates anniversaires sur un autre abonnement ayant un engagement de 1 an ou 3 ans mais jamais avec un abonnement à engagement mensuel. 

Concrètement, comment ça marche ?

L’alignement d’un abonnement va simplement créer une facturation intermédiaire calculée au prorata temporis du nombre de jours nécessaire pour prolonger l’abonnement jusqu’à la nouvelle date anniversaire choisie. 

Vous n’avez pas la possibilité d’effectuer cette opération en autonomie, les équipes d’Openhost le font pour vous. Il vous suffit de nous contacter par téléphone au 02 51 831 839.

Exemple : Supposons que nous sommes en juin 2023 et voyons comment deux situations peuvent se présenter afin d’envisager un alignement de date anniversaire. 

Cas n°1 : Je possède déjà un abonnement Microsoft 365 Business Premium 
En prévision du renouvellement de mon abonnement Microsoft 365 Business Premium le 12 juillet 2023, je souhaite prendre contact avec Openhost pour aligner sa date anniversaire avec mon abonnement Office 365 E3, qui sera renouvelé le 26 février 2024. 

Cas n°2 : Je ne possède pas d’abonnement Microsoft 365 Business Premium 
En prévision de l’arrivée d’un nouveau collaborateur le 12 juillet 2023, je souhaite souscrire à un nouvel abonnement Microsoft 365 Business Premium. Je souhaite prendre contact avec Openhost pour aligner sa date anniversaire avec mes abonnements Office 365 E3, ayant une date anniversaire de renouvellement au 26 février 2024. 

Peu importe, le cas dans lequel vous vous situez, la procédure est la même.  

À partir du 13 juillet 2023, vous serez facturé une première fois au prorata temporis du nombre de jours nécessaires pour caler votre abonnement Microsoft 365 Business Premium jusqu’à la nouvelle date souhaitée, ici le 26 février 2024. 

À partir du 26 février 2024, vous entrerez dans votre nouvelle période de facturation d’un an. 

Un an plus tard, le 26 février 2025, vos deux abonnements se renouvelleront en même temps. 

Aligner les dates de fin de deux abonnements qui possèdent le même type d’engagement initial

Si vous souhaitez aligner les dates anniversaires de deux abonnements possédant la même durée d’engagement initiale (1 mois, 1 an ou 3 ans), la règle est simple : les deux dates de fin correspondent exactement (jour/mois/année). 

La première période de l’abonnement à aligner sera donc forcément plus courte et les frais vous seront facturés au prorata. 

Sur les schémas ci-dessous, on représente : 

• En bleu : un abonnement existant dont la date anniversaire nous convient (ligne bleue) 
• En rouge : un abonnement existant ou un nouvel abonnement, avec sa date de renouvellement par défaut (ligne rouge haut), puis, alignée avec l’abonnement en bleu (ligne rouge bas) 

Cas n°1 : Aligner un abonnement à engagement mensuel avec un abonnement à engagement mensuel

Cas n°2 : Aligner un abonnement à engagement annuel avec un abonnement à engagement annuel

Cas n°3 : Aligner un abonnement à engagement 3 ans avec un abonnement existant à engagement 3 ans 

Aligner les dates de fin de deux abonnements qui ne possèdent pas le même type d’engagement initial

Si vous souhaitez aligner les dates anniversaires de deux abonnements possédant des durées d’engagement différentes, ce sont uniquement le jour et le mois de fin d’engagement qui seront pris en compte et pas l’année, pour des raisons évidentes. 

La première période de l’abonnement à aligner sera donc forcément plus courte et les frais vous seront facturés au prorata. 

Sur les schémas ci-dessous, on représente : 

• En bleu : un abonnement existant dont la date anniversaire nous convient (ligne bleue) 
• En rouge : un abonnement existant ou un nouvel abonnement, avec sa date de renouvellement par défaut (ligne rouge haut), puis, alignée avec l’abonnement en bleu (ligne rouge bas) 

Cas n°1 : Aligner un abonnement à engagement annuel avec un abonnement à engagement 3 ans

Quand on souhaite aligner un abonnement à engagement annuel avec un abonnement à engagement sur 3 ans (en bleu), c’est le jour et le mois de fin de l’abonnement existant (ici le 9 novembre) qui sont pris en compte pour son début et sa fin. 

La date anniversaire de l’abonnement à engagement annuel (en rouge) sera donc le 9 novembre de chaque année. Il commencera le “prochain” 9 novembre du calendrier. 

Cas n°2 : Aligner un abonnement à engagement 3 ans avec un abonnement existant à engagement annuel 

Cette situation est l’inverse de la précédente. 

Quand un abonnement à engagement 3 ans est aligné avec un abonnement à engagement annuel, c’est le jour et le mois de fin de l’abonnement avec engagement annuel (ici le 9 novembre) qui sont pris en compte pour la date de fin du nouvel abonnement avec engagement 3 ans, de sorte qu’il dure entre 2 et 3 ans pour sa première période (facturé au prorata). 

Cas n°3 : Aligner un abonnement à engagement mensuel avec un abonnement à engagement annuel ou un engagement sur 3 ans 

Quand un abonnement à engagement mensuel est aligné avec un abonnement à engagement sur 1 an ou sur 3 ans, c’est le numéro du jour de fin de l’abonnement existant (ici le 9) qui est pris en compte pour son début et sa fin. 

La première période du nouvel abonnement sera donc forcément plus courte et les frais vous seront facturés au prorata. 

Choisir une date anniversaire personnalisée

La plupart du temps, un nouvel abonnement ou un renouvellement d’abonnement est aligné sur un abonnement existant. 

Cependant, vous avez la possibilité d’aligner un abonnement au 1er du mois de la date de fin de l’abonnement. Par exemple, mon abonnement annuel se termine le 12 avril 2023. Je peux m’aligner sur le 1er avril 2023. Ma date de nouvellement suivante sera donc le 1er avril 2024. 

L’année fiscale commençant généralement le 1er d’un mois, cela peut s’avérer plutôt pratique. 

Contactez-nous si vous avez des questions supplémentaires
(ou simplement pour nous dire bonjour) !

La gestion de projet est un élément clé dans le succès de votre entreprise. En effet, vos projets sont souvent des initiatives ambitieuses qui visent à atteindre des objectifs spécifiques tels que le développement d’un nouveau logiciel, la mise en place d’un système d’information, le déploiement d’une nouvelle infrastructure… Sans une gestion de projet efficace, ces initiatives peuvent rapidement déraper, entraînant des retards, des dépassements de budget, une baisse de la qualité des livrables voir un désengagement ou une démotivation de vos équipes. 

En mettant en place des processus et des outils adaptés, vous vous assurez du bon déroulement de votre projet et vous augmentez ses chances de réussite. C’est pour répondre à cette problématique que Microsoft a développé Microsoft Project, une solution éprouvée depuis plus de 30 ans. 

Que vous soyez une PME à la recherche d’une solution économique pour gérer vos projets ou une grande entreprise avec des besoins avancés en gestion de projet, Openhost vous aide à y voir plus clair dans l’offre de Microsoft pour la gestion de projet, grâce à un comparatif des licences Microsoft Project Plan 1, Plan 3 et Plan 5. 

Suivez le guide ! 

Pourquoi choisir Microsoft Project ?

Microsoft Project (également appelé MSP) est une solution de gestion de projet disponible en 3 plans différents pour répondre au mieux aux différents besoins des entreprises. Elle offre une gamme de fonctionnalités robustes pour la gestion de projet, y compris en mode Agile, ce qui en fait un choix populaire pour les entreprises qui recherchent une solution complète. Microsoft Project permet de : 

• Planifier des tâches, 
• Optimiser l’utilisation des ressources, 
• Réduire les risques, 
• Améliorer la communication entre les parties prenantes, 
• Respecter les délais et les budgets, 
• Assurer la qualité des livrables.  

Microsoft Project n’est pas fourni avec les autres logiciels Office comme Word, Excel ou encore Outlook, mais, vous l’aurez compris, son utilisation est fortement recommandée pour rester organisé. 

Comment choisir la licence Microsoft Project la plus adaptée à mes besoins métiers ?

Il existe 3 plans différents dans l’offre MS Project pour les entreprises : 

• Microsoft Project Plan 1 
• Microsoft Project Plan 3 
• Microsoft Project Plan 5 

Les offres Project s’adressent aussi bien aux petites qu’aux grandes entreprises. Le choix de vos licences doit donc prendre en compte les besoins de vos collaborateurs ainsi que les fonctionnalités souhaitées.  

Par exemple, si vous souhaitez que l’un de vos collaborateurs puisse bénéficier des fonctionnalités d’analyse et d’optimisation du portefeuille, vous devrez obligatoirement opter pour une licence Microsoft Project Plan 5. À l’inverse, si vous n’en avez pas l’utilité, le plan inférieur vous conviendra parfaitement. 

En comparant les fonctionnalités incluses dans chaque licence, il est possible de déterminer celle qui conviendra le mieux aux besoins de votre entreprise en matière de gestion de projet. 

Microsoft Project Plan 1

La licence Microsoft Project Plan 1 est le point d’entrée de l’offre Project pour les entreprises. Elle est conçue pour les utilisateurs qui ont besoin des fonctionnalités de base pour gérer leurs projets. 

Cette licence inclut les fonctionnalités suivantes : 

• Création de projets ; 
• Choix de l’affichage : mode grille, tableau ou calendrier (Diagramme de Gantt) : 
• Planification des tâches ; 
• Collaboration et communication depuis Microsoft Teams* ; 
• Intégration à Microsoft 365* (Teams, OneDrive et SharePoint) ; 
• Visualisation de rapports et de tableaux de bord ; 
• Rapports intégrés : suivi de progression de vos projets, de vos ressources, de vos programmes et de vos portefeuilles. 

* Les applications Microsoft 365 et Office, telles que Microsoft Teams, OneDrive Entreprise et SharePoint Online sont vendues séparément. 

Microsoft Project Plan 1 inclut Project pour le web et Project Online Essentials. 

Attention, le Plan 1 ne permet pas l’installation de l’application Project sur vos appareils (smartphone, pc, tablette). Une connexion internet constante et sécurisée est donc nécessaire pour y accéder. 

Malgré ses fonctionnalités limitées, Microsoft Project Plan 1 reste une option intéressante pour les petites entreprises avec un budget maitrisé. Elle est disponible au prix de 9,40 € par utilisateur et pas mois (avec un engagement annuel). 

Microsoft Project Plan 3

Microsoft Project Plan 3 s’adresse aux entreprises qui ont des besoins avancés en matière de gestion de projet, et notamment en gestion des ressources. Elle inclut l’ensemble des fonctionnalités du Plan 1 ainsi que :  

• Planification des projets, suivi de leur avancement et gestion de la planification et des coûts ; 
• Gestion des ressources : constituez une équipe, sollicitez les ressources utiles et affectez les tâches associées à ces ressources ; 

• Client de bureau : chaque licence vous permet d’installer l’application de bureau Project Online entièrement à jour sur 5 appareils simultanés. 
   

Microsoft Project Plan 3 inclut Project pour le web, Project Online et le client de bureau Microsoft Project Online. 

Elle est disponible au prix de 28,10 € par utilisateur et pas mois (avec un engagement annuel). 

Microsoft Project Plan 5

Microsoft Project Plan 5 est la licence la plus complète de Microsoft Project. Elle est conçue pour les entreprises qui ont qui ont besoin d’une solution de gestion de projet robuste et personnalisable. Elle inclut l’ensemble des fonctionnalités du Plan 3 ainsi que : 

• Analyse et optimisation du portefeuille : imaginez différents scénarios pour déterminer la meilleure approche ; 
• Gestion de la demande : notez et évaluez les idées de projet de l’ensemble de votre entreprise grâce à un processus standardisé ;  
• Planification et gestion des ressources : consultez et comparez la manière dont les ressources sont utilisées dans chaque projet pour optimiser les affectations. 

Microsoft Project Plan 5 inclut Project pour le web, Project Online et le client de bureau Microsoft Project Online. 

Elle est disponible au prix de 51,50 € par utilisateur et pas mois (avec un engagement annuel). 

Récapitulatif du comparatif entre les licences Microsoft Project

Comme tous les produits Microsoft, Project a l’avantage de s’intégrer facilement aux autres produits de l’univers Microsoft. Cet article comparatif nous a permis d’analyser en détail les trois plans proposés par Microsoft Project.  Retrouvez ci-dessous un tableau récapitulatif des différentes fonctionnalités comprises dans chacun d’eux !

Chacun de ces plans présente des fonctionnalités qui répondent à des besoins spécifiques en matière de gestion de projets. Pour faire votre choix, vous devrez prendre en compte la taille de votre équipe, la complexité de vos projets, votre budget mais aussi les fonctionnalités que vous jugerez indispensables. 

Quoi qu’il en soit, le choix vous appartient et nous sommes là pour vous aider, à mener à bien vos projets à l’aide de Microsoft Project ! 

Important

Depuis août 2023, le produit « Azure Active Directory » a été remplacé par « Microsoft Entra ID ». Toutes les licences et fonctionnalités restent inchangées.

En savoir plus

Si vous travaillez sur un environnement Active Directory depuis plusieurs années, il y a de fortes chances que vous vous soyez déjà demandé comment récupérer la date de dernière connexion de vos utilisateurs. Si vous avez tenté de faire un export au format CSV avec la commande suivante et que cela n’a pas abouti, alors vous êtes au bon endroit :

Get-ADUser -Properties lastlogondate -Filter * | Export-csv  

Dans un environnement Cloud Microsoft 365, il s’agit d’une information plus complexe à exporter.  Aujourd’hui nous faisons le point sur la méthode à utiliser pour l’obtenir.

Objectif : créer une application Azure AD qui va exécuter un code Powershell.

Prérequis

L’accès aux propriétés utilisées dans le script suivant est conditionné à Azure AD Premium P1 et supérieur. 

Créer une application Azure Active Directory

• Étape 1 : Ouvrir le portail Azure
  
• Étape 2 : Dans le menu d’administration Azure AD, cliquer sur « Enregistrement d’applications » (« App registrations »)
  
• Étape 3 : Cliquer sur « Nouvel enregistrement » (« New registration »)

• Étape 4 : Donner un nom à l’application et cliquer sur « Enregistrer » (« Register »)

• Étape 5 : Une fois l’application créée, prenez note de son ID (que vous pourrez retrouver à tout moment sur la page principale de l’application dans le menu « Vue d’ensemble » (« Overview »). Cet identifiant jouera le rôle du login pour identifier l’application.

• Étape 6 : Cliquer sur « Certificats & secrets » (« Certificates & secrets ») puis sur « Nouveau secret » (« New client secrets »)

• Étape 7 : Récupérer la valeur du secret. Il jouera le rôle du mot de passe.

Attention, veillez à bien conserver le secret car il ne sera pas récupérable ensuite. Si vous le perdez, pas d’inquiétude, il vous suffira d’en créer un nouveau.

Ajouter les permissions nécessaires

Maintenant que l’application Azure Active Directory est crée, il faut lui accorder les permissions nécessaires à l’export des informations souhaitées.

• Étape 1 : Cliquer sur « Permissions API » (« API permissions »)
  
• Étape 2 : Cliquer sur « Ajouter une permission » (« Add a permission »)

• Étape 3 : Choisir « Permissions d’application » (« Application permissions »)
  
• Étape 4 : Donner les permissions User.Read.All et AuditLog.Read.All

• Étape 5 : Donner le consentement administateur

Le consentement est donné lorsque le statuts est en vert.

Éditer un script PowerShell

Vous pouvez copier-coller directement le script ci-dessous dans votre éditeur PowerShell. Il vous permettra de :

• Récupérer un jeton d’accès (« access token »)
• Récupérer les informations souhaitées
• Faire un export CSV

## Define context variables here
$TenantID = "<Insert TenantID here>"
$ApplicationID = "<Insert application ID here>"
$ApplicationSecret = "<Insert application secret here>"  

## Acquire Access Token using defined variables
$AccessTokenRequest = @{   
   URI  = "https://login.microsoftonline.com/${TenantID}/oauth2/v2.0/token"
   Body = @{
       'scope' = "https://graph.microsoft.com/.default"
       'client_id' = $ApplicationID
       'client_secret' = $ApplicationSecret
       'grant_type' = 'client_credentials'
   }
}
$AccessToken = (Invoke-RestMethod -Method 'POST' @AccessTokenRequest).access_token

## Form request headers with the acquired $AccessToken
$Headers = @{
   'Content-Type'  = 'applicationjson'
   'Authorization'  = "Bearer ${AccessToken}"
}
## Define API Url
$ApiUrl = "https://graph.microsoft.com/beta/users? `$select=displayName,userPrincipalName,signInActivity,userType,assignedLicenses"

$Result = @()

## Perform pagination if next page link is returned (odata.nextlink).
While ($Null -ne $ApiUrl) {
   $Response =  Invoke-RestMethod -Headers $Headers -Method 'GET' -Uri $ApiUrl

   If ($Response.value) {
       $Users = $Response.value

       ForEach($User in $Users) {
       $Result += New-Object PSObject -Property $(
                [Ordered]@{
                    'DisplayName' = $User.displayName
                    'UserPrincipalName' = $User.userPrincipalName
                    'LastSignInDateTime' = If ($User.signInActivity.lastSignInDateTime) { [DateTime]$User.signInActivity.lastSignInDateTime } Else { $Null }
                    'LastNonInteractiveSignInDateTime' = If ($User.signInActivity.lastNonInteractiveSignInDateTime) { [DateTime]$User.signInActivity.lastNonInteractiveSignInDateTime } Else { $Null }
                    'IsLicensed' = If ($User.assignedLicenses.Count -ne 0) { $True } Else { $False }
                    'IsGuestUser' = If ($User.userType -eq 'Guest') { $True } else { $False }
                }
            )
        }
    }
    $ApiUrl = $Response.'@odata.nextlink'
}

$Result | Export-CSV "C:TempLastLoginDateReport.CSV" -Encoding 'Unicode' -Delimiter ';' -NoTypeInformation

Tout d’abord, vous devez déclarer les différentes variables récupérées sur l’application Azure Active Directory et sur le portail Azure ($TenantID, $ApplicationID, $ApplicationSecret).

Grâce à ces variables, nous pouvons authentifier l’application Azure AD et récupérer un jeton d’accès (« Access Token« ) qui sera utilisé dans les différences requêtes.

Ensuite, nous allons déclarer les variables qui composent les $Headers de la requête REST et l’URL de l’API Graph ($ApiURL). Attention, n’oubliez pas d’initialiser la variable $Resultat en Array.

Il ne vous reste plus qu’à exécuter le code. Les résultats sont stockés dans la variable $Result. Sur un grand nombre d’utilisateur, la requête peut prendre plusieurs minutes.

Vous avez la possibilité personnaliser votre export CSV grâce à la commande Where-Object :

• Récupérer les utilisateurs qui disposent d’une licence et qui ne se sont pas connectés depuis plus de 90 jours :

$Result | Where-Object { ($_.LastSignInDateTime -gt (get-date).AddDays(-90)) -and ($_.ISLicensed -eq $true) }

• Récupérer les utilisateurs invités qui ne se sont pas connectés depuis 180 jours :

$Result | Where-Object { ($_.LastSignInDateTime -gt (get-date).AddDays(-180)) -and ($_.ISGuestUser -eq $true) }

• Récupérer les utilisateurs avec un UPN en contoso.com :

$Result | Where UserprincipalName -match « contoso.com »

Il ne reste qu’à exporter en CSV !

$Result | Export-CSV « C:TempLastLoginDateReport.CSV » -Encoding ‘Unicode’ -Delimiter ‘;’ -NoTypeInformation

Si vous n’êtes pas à l’aise avec l’idée de personnaliser votre export sur PowerShell, vous pouvez tout à fait l’exporter en CSV (sans utiliser la commande Where-Object) et filtrer les résultats directement dans Excel.

Et comme d’accoutumé, vous pouvez nous contacter pour solliciter un avis ou une prestation de nos experts. Nous possédons énormément de script que nous pouvons déployer sur votre tenant Azure/Office 365… profitez-en !

Comme vous le savez peut-être, Microsoft activera prochainement les paramètres de sécurité par défaut (Security Defaults) sur les tenants (comptes d’entreprise) Office 365 jugés insuffisamment sécurisés. Il s’agit d’un ensemble de paramètres de sécurité qui visent à renforcer la protection de vos comptes et de votre organisation contre les attaques liées à l’identité, comme le spray de mots de passe, le rejeu et le phishing.

Les Security Defaults impliquent notamment l’utilisation de l’Authentification multifacteur (MFA) pour tous les utilisateurs et administrateurs de votre tenant. Pour rappel, le MFA est une méthode qui consiste à vérifier l’identité d’un utilisateur en lui demandant de fournir plusieurs éléments d’authentification : quelque chose qu’il sait (son mot de passe, un code PIN spécifique à son périphérique, etc..) et/ou quelque chose qu’il possède (son téléphone portable, son ordinateur professionnel, une clé de sécurité, etc.) et/ou quelque chose qu’il est (empreinte digitale, reconnaissance faciale, etc.)

La MFA est une étape importante pour sécuriser votre entreprise, car elle réduit considérablement le risque qu’un attaquant puisse accéder à vos comptes en utilisant un mot de passe volé ou deviné. Selon Microsoft, plus de 99,9% des attaques liées à l’identité sont bloquées par l’utilisation de la MFA.

Nous comprenons que l’activation des paramètres de sécurité peut susciter des questions ou des inquiétudes chez nos clients. C’est pourquoi nous vous proposons différentes options pour gérer cette transition :

Option A : Accepter les paramètres de sécurité par défaut pour bénéficier d’une sécurité renforcée sans surcoût

Cette option consiste à accepter les paramètres de sécurité par défaut proposés par Microsoft et à les appliquer à tous les utilisateurs et administrateurs de votre tenant. Cette option présente l’avantage d’être gratuite et facile à mettre en œuvre, mais elle implique également certaines contraintes :

• Les utilisateurs doivent s’inscrire à la MFA en utilisant l’application Microsoft Authenticator ou toute application tierce utilisant OATH TOTP. Ils ont 14 jours pour le faire après leur première connexion réussie après l’activation des Security Defaults. Passé ce délai, ils ne pourront plus se connecter tant qu’ils n’auront pas complété leur inscription.
• Les utilisateurs sont confrontés au MFA principalement lorsqu’ils se présentent sur un nouvel appareil ou une nouvelle application, mais plus souvent pour les rôles et les tâches critiques. Ils doivent alors approuver la connexion en appuyant sur une notification ou en utilisant la reconnaissance faciale ou d’empreintes digitales sur leur téléphone portable.
• Les protocoles d’authentification obsolètes sont désactivés. Cela signifie que certaines applications ou périphériques qui utilisent ces protocoles (comme IMAP, POP3 ou SMTP) ne pourront plus se connecter à votre tenant. Vous devrez donc utiliser des applications modernes et sécurisées qui prennent en charge la MFA.

Si vous choisissez cette option, voici trois voies pour faciliter l’adoption des Security Defaults par vos employés :

• A1 : Convaincre les utilisateurs qu’installer l’application Authenticator sur leur téléphone personnel ne constitue pas un risque pour leur vie privée. Vous pouvez leur expliquer que l’application Microsoft Authenticator ne collecte ni ne partage aucune donnée personnelle ou sensible avec Microsoft ou d’autres parties. L’application ne stocke que les informations nécessaires pour vérifier l’identité de l’utilisateur, comme son nom d’utilisateur, son adresse e-mail et son numéro de téléphone. L’application ne peut pas accéder aux autres applications ou données du téléphone de l’utilisateur.
• A2 : Contourner l’utilisation d’Authenticator via un autre système d’OTP. Si vos employés ne veulent pas ou ne peuvent pas installer l’application Microsoft Authenticator sur leur téléphone portable, vous pouvez leur proposer d’utiliser une autre application de leur choix qui supporte le protocole OATH TOTP, comme Google Authenticator, Authy ou LastPass Authenticator. Ces applications génèrent des codes à usage unique (OTP) que les utilisateurs doivent saisir lorsqu’ils se connectent à leur compte.
• A3 : Contourner l’utilisation d’Authenticator par la configuration du système OTP sur un logiciel accessible par l’utilisateur, comme le propose certains gestionnaires de mot de passe. Cette option présente des risques de sécurité mais peut permettre l’utilisation du MFA sans téléphone portable ou pour des comptes partagés qui ne permettent pas de configurer plusieurs OTP.

Option B : Investir dans la flexibilité du Conditional Access, soit en upgradant les licences vers Microsoft 365 Business Premium, soit en ajoutant une licence Azure AD Premium P1

Cette option consiste à désactiver les paramètres de sécurité par défaut et à utiliser les politiques d’accès conditionnel à la place. Le Conditional Access est une fonctionnalité qui vous permet de personnaliser et de contrôler les conditions d’accès à votre tenant Office 365. Vous pouvez par exemple définir des règles basées sur le rôle, le groupe, l’appareil, l’emplacement ou le risque de l’utilisateur. Cette option présente l’avantage d’être plus flexible et adaptée à vos besoins spécifiques, mais elle implique également un coût supplémentaire :

• Pour utiliser le Conditional Access, vous devez disposer d’une licence Azure AD Premium P1 ou d’un abonnement Microsoft 365 Business Premium qui inclut cette licence. Le prix de la licence Azure AD Premium P1 est de 5,60 € par utilisateur et par mois. Le prix de l’abonnement Microsoft 365 Business Premium est de 20,60€ par utilisateur et par mois. Vous pouvez comparer les différentes offres en cliquant ici.
• Pour configurer le Conditional Access, vous devez avoir des connaissances techniques sur les concepts et les outils d’Azure Active Directory. Vous devrez également tester et valider vos politiques avant de les appliquer à votre organisation. Vous pouvez consulter la documentation officielle en cliquant ici.

Openhost propose des prestation clés en main pour la mise en œuvre du Conditionnal Access dans votre entreprise, contactez notre service clients.

Si vous choisissez cette voie, voici quelques exemples de politiques que vous pouvez utiliser pour faciliter l’adoption du MFA par vos employés :

• B1 : Se servir des options plus nombreuses pour faciliter l’adoption du MFA. Avec le Conditional Access, vous pouvez offrir à vos employés plus de choix pour s’authentifier avec le MFA. Vous pouvez leur permettre d’utiliser des codes SMS, des appels vocaux ou des clés de sécurité FIDO2 en plus de l’application Microsoft Authenticator ou d’une application OATH TOTP. Il est également possible d’exclure certains comptes d’applications qui ne supportent pas encore le MFA.
• B2 : Exclure l’adresse IP des locaux de l’entreprise du MFA, ce qui bloquera les utilisateurs et les attaquants depuis les autres emplacements. Avec le Conditional Access, vous pouvez définir des plages d’adresses IP publique approuvées à partir desquelles vos employés peuvent se connecter sans MFA. Cela peut être utile si vous voulez limiter le MFA aux connexions depuis des réseaux externes ou non sécurisés. Vous pouvez également bloquer l’accès depuis certaines régions géographiques ou certains pays pour réduire le risque d’attaques.
• B3  : Utiliser Windows Hello for Business comme un complément ou une alternative aux méthodes de MFA traditionnelles. Windows Hello for Business est une fonctionnalité qui vous permet de vous connecter à votre compte sans mot de passe, en utilisant la reconnaissance faciale, l’empreinte digitale ou le code PIN. Cette option est plus conviviale et plus efficace que les mots de passe, mais elle nécessite un appareil compatible avec Windows 10 ou Windows 11 et doté d’un capteur biométrique ou d’un clavier numérique. L’utilisation d’un PC portable professionnel configuré avec Windows Hello for Business peut permettre aux utilisateurs d’accéder de manière sécurisée aux ressources de l’entreprise sans avoir recours à l’application Microsoft Authenticator.

Option C : Prendre le risque de ne pas appliquer une politique globale de MFA en ne conservant ni les paramètres de sécurité par défaut ni l’accès conditionnel

Cette option consiste à désactiver les paramètres de sécurité par défaut et à ne pas utiliser l’accès conditionnel. Cette option présente l’avantage d’être gratuite et sans contrainte pour vos employés, mais elle implique également un risque élevé pour la sécurité de votre organisation :

• C1 : Activer individuellement le MFA pour chaque compte utilisateur, avec tous les risques (oubli, mauvaise configuration, etc.) que cela comporte. Si vous choisissez cette option, vous devrez gérer manuellement le MFA pour chaque utilisateur et administrateur de votre tenant. Vous devrez également vous assurer que tous vos utilisateurs s’inscrivent au MFA dans les délais impartis et qu’ils utilisent des méthodes d’authentification sécurisées. Vous devrez également surveiller régulièrement l’état du MFA dans votre organisation et résoudre les éventuels problèmes rencontrés par vos utilisateurs.
• C2 : Continuer sans activer le MFA, s’exposer à un risque significativement plus élevé d’incidents de sécurité comparativement aux entreprises l’utilisant, et prendre en compte que Microsoft et Openhost pourraient se prévaloir de cette négligence pour, respectivement, vous refuser les garanties contractuelles (SLA) ou facturer un supplément en cas d’assistance technique urgente lors d’un incident de sécurité. En choisissant cette option, vous mettez votre organisation en danger face à une très forte probabilité de compromission de vos comptes et données par des pirates, ainsi qu’à des interruptions de service de plusieurs jours le temps de renforcer la sécurité de l’environnement Office 365. D’après une étude de Microsoft, 99,9% des compromissions de comptes n’auraient pas eu lieu si le MFA avait été utilisé.

Nous espérons que cet article vous a éclairé sur les options qui s’offrent à vous pour gérer l’activation prochaine des paramètres par défaut sur votre tenant Office 365. Nous restons à votre disposition pour toute question ou demande d’accompagnement. N’hésitez pas à nous contacter par e-mail ou par téléphone.