DSA, premier partenaire de Microsoft sur la Sécurité, sélectionné pour participer au Security Partner Airlift !

Du 20 au 23 mars, nos équipes sont présentes à Redmond sur cet évènement unique regroupant les partenaires clés de Microsoft dans le monde

Avec plus de 300 partenaires privilégiés venant du monde entier et plus de 70 sessions sur 4 jours, le Microsoft Security Partner Airlift est l’évènement majeur de l’année pour se tenir informé des dernières évolutions et tendances en ce qui concerne la sécurité des technologies Microsoft et les technologies de sécurité Microsoft.

L’idée est de pouvoir traverser l’ensemble des « streams » Microsoft (O365, EM+S, Windows 10, Azure & Windows Server) sous le spectre de la sécurité, et donc, de condenser sur un seul évènement tous des sujets relatifs à ce type d’enjeux. De par son positionnement unique sur le marché français, les équipes DSA ont pu être du voyage.

Voici un condensé de ce ces 4 jours de conférences !

Jour 1 – Lancement du Microsoft Security Partner Airlift

Voici un condensé de cette première journée…

Tout commence de bonne heure par une belle keynote portée par Julia White (Corporate Vice President). Elle part du constat de Microsoft – une démarche « Cloud first, mobile first » et quelques abaques sur de désormais « turbulent times », pour nous délivrer des messages forts. Ceux de la vision de Microsoft : changement de paradigme en se positionnant au-delà de la sécurité périmétrique (« business & opportunity »), « assume breach », une approche holistique et un travail sur les signaux qui s’appuie sur l’intelligence unique que possède Microsoft vis-à-vis de ces signaux. Une vidéo autour de l’Intelligent Security Graph est d’ailleurs jouée et vous pouvez la retrouver sur notre Twitter.

 

Garth Fort (General Manager – Cloud & Enterprise Marketing) enchaine ensuite avec la présentation d’une modélisation des principales fuites qui ont eu lieu ces derniers temps (Information Is Beautiful). Enfin, il traite des retours d’expériences technologiques et gère l’animation d’un débat avec deux intervenants autour du sujet « How to build a security practice » – Manoj Arora (Paladion, Executive Director) et Fawaad Khan (Ernst and Young, Managing Director).

 

Première session sur les tendances sécuritaires

Joseph Blankenship du Forrester (Senior Analyst) prend alors le relais pour la première session globale qui dresse un constat de l’ensemble des tendances sécuritaires de l’année passée et à venir. Il enchaîne ensuite avec des recommandations pour nos clients mais aussi pour nous-même acteurs du marché de la sécurité. Il n’oubliera pas au passage de rappeler que nous avons « the best jobs », que désormais la cybersécurité « has gone mainstream » mais aussi une conviction que nous partageons jusque dans notre acronyme : « security must show how it enables digital transformation ».

 

Sessions dédiées aux aspects de la sécurité

Place, dans un premier temps, à la pierre angulaire, l’essence même de toute stratégie de sécurité : l’Identité. C’est Nasos Kladakis (Sr. Product Marketing Manager Azure AD) qui s’y colle, avec un talent de showman remarquable. L’identité, c’est un sujet que nous ne maitrisons que trop bien chez DSA : de manière historique, mais aussi dans le cadre des nouvelles solutions Cloud de Microsoft. Autant dire que la plupart des slides n’étaient pas nouveau pour nous, mais le style fut très inspirant ! A noter une insistance marquée sur le positionnement unique que possède Microsoft à l’heure actuelle sur le marché avec le calcul du risque via Azure Identity Protection.

 

L’après-midi s’enchaine ensuite avec une autre session très remarquée : celle du Corporate Vice President & CISO de Microsoft, Bret Arsenault. Il nous présente sa démarche de sécurisation d’un SI qui compte près de 180.000 utilisateurs. Il nous compte ainsi le voyage de Microsoft vers le Cloud, l’inertie générée par le concept de « F.F.U.U.E.E. » (Fear, Fair, Understand, Urgent, Entitled, Exhausted), la nécessité d’avoir une logique de roadmap mais aussi de tâcher de travailler autour de frameworks (NIST ou autre). Il évoque ensuite certains choix forts de sécurité faits à l’égard des enjeux d’une société impliquant autant d’utilisateurs. Il conclut finalement par une traversée de cas d’usages typiques (phishing) pouvant être atténués par l’utilisation d’un ensemble de solutions : EOP, Device Guard and Virtual Secure Mode, Device Health Attestation, Azure MFA et Azure Security Center.

 

C’est au tour de Chris Hallum à prendre la parole pour nous parler de la sécurité des endpoints (« Cyber threats are a material risk to your business »).Il insiste sur les nouvelles solutions permettant de mieux protéger nos devices autour de trois axes : « prevent and isolate », « monitor and control » et « detect and respond ». Globalement toutes les fonctionnalités et solutions sont passées en revues : O365 ATP, Windows Defender SmartScreen, Windows Defender Application Guard, Windows Device Guard, O365 Protected View, Windows Defender Antivirus, Conditionnal Access with Intune et le triplet Windows Defender ATP / O365 ATP / Microsoft ATA.

 

Place maintenant aux applications et aux données !

Un binôme se présente devant nous : Alym Rayani (Director Office 365 Security and Compliance) et Adam Barron (Group Manager Enterprise Mobility +Security). Ils vont réaliser une traversée de plusieurs cas d’usages qui vont nous permettre de voir le potentiel d’un tel sujet autour de plusieurs axes. Il s’agit de portails dédiés dans O365, du Cloud App Security mais aussi d’une expérience intégrée dans les applications Office.

 

Nous finissons par une dernière session – dense – autour des infrastructures hybrides animée par Adwai Joshi (AJ) et Vinicius Apolinario. La sécurité sous tous les angles possibles y est abordée : chiffrement, technologies de sécurité autour de la virtualisation, réseau, gestion d’identités, sécurité des endpoints, gouvernance avec OMS & Azure Security Center sont de la partie.

 

Nous voilà rendus pour ce premier jour après 7h30 d’échanges formels (tout de même). Pour le second jour, il nous reste encore deux sessions globales avant d’attaquer les sessions spécifiques.

 

So far, so good…

 Jour 2 – Same player, play again.

Et c’est reparti pour une deuxième journée au Microsoft Partner Security Airlift. Comme expliqué précédemment, nous commençons par deux plénières avant d’enchainer les sessions spécifiques.

 

Deux plénières : Les nouveaux modèles de menaces & la Digital Crimes Unit

Kristina Laidler prend la parole en premier pour nous expliquer comment endiguer la progression rapide des nouveaux modèles de menaces. Elle s’appuie sur les différents leviers (techniques et opérationnels) que Microsoft propose autour des enjeux de cyberdéfense. Notamment, le Cyber Defense Operations Center  : celui-ci est en charge de la collecte, de l’analyse, du tri, du traitement et du développement de réponses automatisées à ces menaces.

 

C’est ensuite au tour de Donal Keating de prendre la parole pour nous raconter le quotidien de la Digital Crimes Unit (DCU) et de ses « digital detectives ». Cette équipe, composée de membres ayant eu parfois des expériences très spécifiques (forces spéciales, analystes sécurité, légal, etc.), travaille au quotidien dans la surveillance de la criminalité, son instruction judiciaire et son évolution. Trois grands thèmes sont abordés en exemple – et traduise une évolution – :

  • La surveillance des clés produits volées (identifier des éventuelles faiblesses dans la « supply chain »),
  • La protection des personnes (vulnérables) victimes de fraudes par le crime organisé
  • La réalisation d’outillages dédiés.

Il devient important dans le cadre de l’action de cette unité d’apporter une visualisation adaptée – dans un contexte judiciaire – par de la cartographie ainsi que d’autres dimensions (pays, secteur d’activité, etc.). Finalement, une visualisation 3D via HoloLens constitue le principal axe d’innovation évoqué en conclusion !

 

Place désormais aux sessions spécifiques

Tout commence par une piqure de rappel autour des dernières avancées en matière de features de sécurité de Windows 10 et une session sur le discours sécuritaire propre à O365. Les sessions restent assez généralistes et ne constituent qu’une entrée en matière sur des éléments que nous savons déjà.

 

Nous enchainons, ensuite, sur du métier d’un côté et du produit de l’autre. Une première session permettant de challenger l’organisation que possède DSA en tant que « security practice » par rapport aux retours de Microsoft en ce qui concerne la globalité de ses projets O365. Puis, nous avons participé à des discussions autour d’OMS et Azure Security Center. La matinée touche déjà à sa fin.

 

Nous concluons les plénières avec Ann Johnson (Vice President, WorldWide CyberSecurity), qui développe un discours autour de la philosophie qui pilote les investissements et la construction des services de Microsoft. La rapidité d’exécution, les synergies entre les produits et la complétude de la vision sont les maîtres mots ici. Un partenaire (Optiv) est alors invité et nous compte son histoire : la construction d’un acteur majeur de la sécurité aux États-Unis. Celle qui évolue dans un contexte d’accompagnement des RSSIs où l’immensité du nombre d’éditeurs spécialistes de la sécurité peu vite devenir déroutant. Là encore, Microsoft se positionne comme un acteur majeur du marché de la sécurité ayant une couverture exceptionnelle sur l’ensemble des sujets.

 

C’est de nouveau l’heure pour de nouvelles sessions spécifiques. Une première session lab autour de la sécurité dans Windows Server 2016 dans le cadre d’une session nommée « Breach Resistance ». Credential Guatd, Device Guard & Mimikatz sont au programme… Ces fonctionnalités sont relativement simples à mettre en œuvre et offrent une bonne protection face à des attaques de type « pass the hash » ou par des malwares. Elles sont en outre intégrées par défaut dans Windows Server 2016. Il ne faut donc pas s’en priver ! D’autres fonctionnalités de sécurité intégrées dans Windows Server 2016 comme le « Just-in-time » et le « Just-enough-administration » ou les « shielded VM » feront l’objet d’autres séances.

 

Pendant ce temps, deux sessions sont suivies de l’autre côté. Tout d’abord, Microsoft présente sa compréhension du sujet de la GDPR. Puis sa vision de la manière dont ses partenaires devraient accompagner les DSI. Et enfin une première démonstration des capacités d’Advance Data Governance (O365 plan E3 ou E5). Il est ensuite question de tout autre chose : Windows Hello for Business & Windows Hello. Les différentes typologies – ainsi que les prérequis associés – envisageables dans le cadre de Windows Hello for Business sont abordées, et ce, dans la version Creators Update à venir. Des sessions qui nous ont parues intéressantes et pour lesquelles il nous semble important d’échanger avec toutes les personnes dans les DSI qui souhaitent se mettre en bascule dans le cadre de technologies de sécurité plus modernes ainsi que des nouveaux enjeux règlementaires.

 

Dernières sessions, nous y sommes presque… Nous concluons la journée par un challenge de notre offre #Security4Office365 avec une session dédiée aux approches – selon Microsoft – permettant de sécuriser un tenant O365. Nous participons égalmeent à une session traitant de la protection contre les ransomwares dans Windows 10. Là encore, Microsoft permet d’agir en protection (smart screen dans Edge, la containerisation d’application grâce la sécurité basée sur la virtualisation), sur la détection de malware ou ransonware par Windows Defender. Et de même, d’intervenir après une attaque grâce à Windows Defender Advanced Threat Protection pour connaitre l’étendue des dégâts sur son système d’information et d’identifier le patient 0 de l’infection.

 

Nous voilà rendu pour ce deuxième jour. Demain nous nous sommes préparés un programme autour de la stratégie/gouvernance sécurité, de la protection de la donnée ainsi que de la détection et la réponse aux menaces (produits et centre de services dédiés). Encore une riche journée en prévision !

Jour 3 – Journée sessions spécifiques autour de la stratégie, besoins clients, sécurité Office 365 et tant d’autre …

Troisième journée pour nous au Microsoft Partner Security Airlift : nous changeons de bâtiment pour enchainer les sessions spécifiques toute la journée. Nous ferons une petite entorse à cet enchainement en début d’après-midi (pour la bonne cause, rassurez-vous). La répartition est claire : stratégie, besoins clients plus toutes les sessions autour des sujets relatifs aux fonctionnalités de sécurité O365, d’Intune, Microsoft ATA ainsi qu’AIP.

Début des hostilités : Stratégie O365 et Advanced Security Management au programme !

Côté stratégie/O365, les deux premières sessions – non techniques – constituent essentiellement un débat, une prise de conscience, afin de s’assurer que les partenaires soient les plus alignés possibles sur les besoins des DSI. Vient ensuite une session dédiée à Advanced Security Management, tout y passe : recouvrement fonctionnel, éléments d’architecture, similitudes technologiques avec Cloud App Security, cas d’usages (moteur d’alerte, découverte des applications de productivité et contrôle des applications) sont évoqués et démontrés.

 

Sessions autour de la « Security & Compliance » d’O365

Le reste des sessions O365 vont se dérouler dans le portail « Security & Compliance » d’O365. Elles permettront de travailler autour de sujets relatifs à la confidentialité et au règlementaire. Plus précisément : O365 Data Leak Prevention, Data Governance/Advanced Data Governance et la gestion de l’audit & des logs. Les concepts autour de l’accompagnement utilisateur (sensitive types, policies, policy tips & monitoring) mais surtout la gestion règlementaire portée par des politiques de rétention et de suppression (manuelles ou automatiques en fonction des plans O365) sont évoqués. Les cas particuliers autour de la définition de « sensitive types » clients ou l’intégration avec des données de fournisseurs tiers sont aussi abordées. Reste à clarifier le positionnement de ces sujets en termes de plan O365 (E3, E5) mais aussi des différences entre les modèles de classification DLP, Data Governance & AIP. Bref, pas mal d’échanges fort instructif !

 

Côté technique, Debraj Ghosh, Sr. Product Marketing Manager in the Office Business Group, présente le nouveau portail “Threat Intelligence” qui permet de couvrir deux aspects fondamentaux.

  • Avoir une vue consolidée des malwares, des tentatives de phishing, des utilisateurs visés, etc.
  • Obtenir des informations détaillées sur les différents malwares.

Microsoft nous fait ainsi bénéficier de son fameux Intelligent Security Graph en vue de prendre des mesures vis-à-vis d’un utilisateur particulièrement ciblé ou d’une campagne de phishing en cours.

Deux sessions sous NDA autour d’Intune et d’Azure Information protection permettent de rencontrer les équipes produits et d’en savoir plus sur les fonctionnalités à venir sur les prochains mois. Rien ne doit transpirer – malheureusement – mais tout cela est prometteur !

 

Deux sessions sur Microsoft Advanced Threat Analytics nous permettent de confronter nos savoirs sur son déploiement, son dimensionnement, etc. Et ce, dans un contexte de PoC ou de production. Le produit est manipulé sous l’œil attentif de Nicholas DiCola, Principal PM Manager with Cloud + Enterprise Security’s Customer Experience Team.

 

Une session autour d’Azure Information Protection nous permet de travailler sur nos cas de démonstration. Rien de révolutionnaire pour le coup. Il s’agit avant tout de montrer les possibilités du produit, les cas d’usage ainsi que les besoins couverts. Il est surtout important de retenir que la démonstration de valeur reste facile pour nos clients car il est possible d’obtenir une version d’essai d’EM+S E5 sur 90 jours pour 250 utilisateurs, et ce, sans impacter les utilisateurs tant que le client AIP n’est pas installé.

 

La journée se finit de manière un peu plus abrupte que les jours précédents, sans échanges avec les autres participants. Nous n’apprendrons pas plus sur ce qui se fait au niveau des autres pays aujourd’hui…

 Jour 4 – Clap de fin pour le Microsoft Partner Security Airlift.

Cette fois-ci 2 types de session : les sessions matinales autour de Cloud App Security et les sessions de l’après-midi autour d’Intune. Malheureusement, nous ne pourrons participer qu’aux sessions du matin.

 

Cloud App Security (CAS) est la réponse de Microsoft au sujet émergent des CASB (Cloud Access Security Broker). Cette solution permet de répondre à plusieurs cas d’usages.

  • La surveillance des utilisateurs et des fichiers dans le cloud, au-delà des frontières des services de Microsoft.
  • Des fonctionnalités de DLP par la recherche de données sensibles dans le Cloud.
  • Le contrôle des documents partagés avec l’extérieur ainsi qu’un contrôle applicatif contextuel quand les APIs des services SaaS le permettent.

 

Nous avons pu au travers de ces sessions se focaliser sur la protection de l’information et en particulier sur quatre éléments :

  • La détection d’anomalies.
  • La définition de politiques spécifiques.
  • L’analyse du contenu partagé avec l’extérieur (ou non).
  • Les mécanismes de remédiation.

 

CAS sera toujours soumis aux API fournies par les fournisseurs de services du marché (Salesforce, Box, ServiceNow, etc.) et permettra ainsi d’avoir une vision unifiée du contenu dans le Cloud et ses risques potentiels. Il s’agissait aussi pour nous de voir des fonctionnalités en prévisualisation, notamment sur les accès conditionnels.

 

Et c’est ici que se terminent nos aventures au Microsoft Partners Security Airlift … A l’année prochaine !