Augmenter sa capacité de détection sur les outils Microsoft 365

Capacité de détection Microsoft 365

Interview d'un administrateur système

CONTEXTE

L’entreprise interviewée, de taille intermédiaire, est le leader français de la distribution multicanale dans le secteur du BTP. Le groupe dispose de plus de 400 points de ventes en France et à l’étranger, et compte plus de 2500 utilisateurs.

En 2020, cette entreprise a subi une cyberattaque. Un hacker étranger a infiltré le système en usurpant l’identité d’un Directeur financier et en accédant à la messagerie Microsoft 365. Il a tenté de détourner des fonds en demandant des virements aux clients ou en modifiant le RIB du groupe. Il a aussi compromis d’autres comptes Microsoft 365 en utilisant des règles de messagerie et des droits d’accès.

ENJEUX

La sécurité des données a été affectée à cause d'un manque de visibilité sur l’environnement Microsoft 365. Après la migration, l’équipe IT de l’entreprise n'avait pas de réel suivi de l'activité dans l’environnement (logs d’accès, objets de configuration,..) ce qui a rendu les analyses longues et la détection difficile. 

Il fallait donc pallier à ce manque d’expertise, de temps et d’outils appropriés pour superviser Microsoft 365 en améliorant la capacité de détection des menaces sur les données (opérations illégitimes, dangereuses, les erreurs humaines..)

AUGMENTER LA SECURITE DES DONNEES SUR M365 AVEC IDECSI

Le groupe industriel a choisi la solution IDECSI pour la protection des données cloud Microsoft 365 de ses 2500 utilisateurs, grâce notamment à son expertise sur l’environnement, à l’ergonomie de sa plateforme, la gestion de la donnée, le suivi des alertes et son système de détection avancé. 

→ La solution a été déployée en moins de 3 mois pour éviter toute autre tentative d’attaque sur l’environnement Microsoft 365 du groupe.

L’entreprise s’est appuyé sur 3 grands piliers de la solution IDECSI pour répondre à sa problématique de capacité de détection :

• Un outil de supervision pour gagner en efficacité sur les analyses M365

La plateforme admin, Advanced Monitoring permet à l’entreprise d’avoir une vue centralisée de tous les logs d’accès et les objets de configuration du tenant Microsoft 365 et de pouvoir détecter rapidement les comportements anormaux (ex : règles de messageries, connexion géographique douteuse,…). Les équipes sécurité peuvent également effectuer des audits et programmer des revues de droits d’accès.

1. Un système de détection avancé avec un alerting temps réel

La plateforme IDECSI s’appuie sur un monitoring avancé des meta données et de modèles de menaces préconfigurées Microsoft 365. Chaque changement est tracé, historisé et remonté au service hotline, qui traite les alertes émises par la plateforme. Le service hotline notifie ensuite les utilisateurs concernés pour valider la légitimité ou non des actions. 
Grâce à cet alerting en temps réel, L’entreprise a pu mettre des processus en place pour engager les utilisateurs dans la sécurité de leurs données (ex : changement de mot de passe sur la messagerie) et de pouvoir bloquer un compte lorsqu’une suspicion est avérée.

• Réduire le temps de remédiation en impliquant les utilisateurs

Chez l’entreprise, chaque utilisateur détient un tableau de bord personnel de sécurité MyDataSecurity pour avoir une vue centralisée des permissions de leur compte et pour vérifier que tout est correct. Le tableau de bord évolue et s’enrichit grâce au comportement de l’utilisateur (ex : pays de connexion habituel). Pour l’administrateur système, la remédiation par l’utilisateur sur la légitimité de ses permissions permet un meilleur engagement dans la gestion des données, et d’alléger le travail du service hotline sur le traitement des données. 
(ex : demande de changement de mot de passe à un utilisateur, sans réponse les accès sont bloqués par les équipes sécurité).