Tutoriel : Découvrir et gérer l’informatique fantôme

Notes

Microsoft Defender for Cloud Apps fait désormais partie de Microsoft 365 Defender et est accessible via son portail à l’adresse suivante : https://security.microsoft.com. Microsoft 365 Defender met en corrélation les signaux de la suite Microsoft Defender entre les points de terminaison, les identités, la messagerie et les applications SaaS pour fournir des fonctionnalités de détection, d’investigation et de réponse puissantes au niveau des incidents. Il améliore votre efficacité opérationnelle avec une meilleure hiérarchisation et des temps de réponse plus courts qui protègent vos organization plus efficacement. Pour plus d’informations sur ces modifications, consultez Microsoft Defender for Cloud Apps dans Microsoft 365 Defender.

À la question « Combien d’applications cloud vos employés utilisent-ils ? », les administrateurs informatiques avancent en moyenne le nombre de 30 ou 40. Or, dans la réalité, ce sont plus de 1 000 applications distinctes qui sont utilisées par les employés d’une grande entreprise. L’informatique fantôme vous permet de savoir et d’identifier les applications utilisées et votre niveau de risque. 80 % des employés utilisent des applications non approuvées que personne n’a examinées et qui peuvent ne pas être conformes à vos stratégies de sécurité et de conformité. Et comme vos employés peuvent accéder à vos ressources et applications à partir de l’extérieur de votre réseau d’entreprise, il ne suffit plus d’avoir des règles et des stratégies sur vos pare-feu.

Dans ce tutoriel, vous allez apprendre à utiliser Cloud Discovery pour découvrir les applications utilisées, explorer les risques liés à ces applications, configurer des stratégies permettant d’identifier les nouvelles applications à risque utilisées et désapprouver ces applications de façon à les bloquer en mode natif à l’aide de votre appliance de proxy ou de pare-feu.

• Découvrir et identifier Shadow IT
• Évaluer et analyser
• Gérer vos applications
• Génération de rapports Shadow IT Discovery avancés
• Contrôler les applications approuvées

Comment découvrir et gérer le Shadow IT dans votre réseau

Utilisez ce processus pour déployer le Shadow IT Cloud Discovery dans votre organisation.

Phase 1 : Découvrir et identifier Shadow IT

1. Découvrir le Shadow IT : Déterminez quelle est la situation de votre organisation sur le plan de la sécurité en exécutant Cloud Discovery dans votre organisation et voyez ce qu’il se passe réellement dans votre réseau. Pour plus d’informations, voir Configurer Cloud Discovery. Pour cela, utilisez l’une des méthodes suivantes :

   • Soyez opérationnel rapidement avec Cloud Discovery en l’intégrant à Microsoft Defender pour point de terminaison. Cette intégration native vous permet de commencer immédiatement à collecter des données sur le trafic cloud pour l’ensemble de vos appareils Windows 10 et Windows 11 à l’intérieur et à l’extérieur de votre réseau.

   • Pour la couverture sur tous les appareils connectés à votre réseau, il est important de déployer le collecteur de journaux Defender for Cloud Apps sur vos pare-feu et d’autres proxys afin de collecter des données à partir de vos points de terminaison et de les envoyer à Defender for Cloud Apps à des fins d’analyse.

   • Intégrez Defender for Cloud Apps à votre proxy. Defender for Cloud Apps s’intègre en mode natif à certains proxys tiers, notamment Zscaler.

   Dans la mesure où les stratégies varient en fonction des groupes d’utilisateurs, des régions et des groupes de l’entreprise, vous pouvez créer un rapport Shadow IT dédié pour chacune de ces unités. Pour plus d’informations, consultez Créer des rapports continus personnalisés.

   Maintenant que Cloud Discovery s’exécute sur votre réseau, examinez les rapports générés en continu et consultez le tableau de bord Cloud Discovery pour obtenir une vision globale des applications qui sont actuellement utilisées dans votre organisation. Il est judicieux de les examiner par catégorie, car vous constaterez souvent que les applications non approuvées sont utilisées à des fins professionnelles légitimes qui n’ont pas été traitées par une application approuvée.

2. Identifier les niveaux de risque de vos applications : utilisez le catalogue Defender for Cloud Apps pour approfondir les risques impliqués dans chaque application découverte. Le catalogue d’applications Defender pour le cloud comprend plus de 31 000 applications évaluées à l’aide de plus de 90 facteurs de risque. Pour commencer, les informations générales sur l’application (origine géographique de l’application, nom de l’éditeur) peuvent donner des indications sur les risques, tout comme les mesures et les contrôles de sécurité (prise en charge du chiffrement au repos, présence d’un journal d’audit de l’activité des utilisateurs). Pour plus d’informations, consultez Utilisation des scores de risque d’application.

   • Dans le portail Microsoft 365 Defender, sous Cloud Apps, sélectionnez Cloud Discovery. Accédez ensuite à l’onglet Applications découvertes. Filtrez la liste des applications découvertes dans votre organization en fonction des facteurs de risque qui vous préoccupent. Par exemple, vous pouvez utiliser des filtres avancés pour rechercher toutes les applications dont le score de risque est inférieur à 8.

   • Vous pouvez explorer l’application pour en savoir plus sur sa conformité en sélectionnant le nom de l’application, puis en sélectionnant l’onglet Informations pour afficher des détails sur les facteurs de risque de sécurité de l’application.

Phase 2 : Évaluer et analyser

1. Évaluer la conformité : Vérifiez si les applications sont certifiées conformes aux standards de votre organisation, comme HIPAA, SOC2, RGPD.

   • Dans le portail Microsoft 365 Defender, sous Cloud Apps, sélectionnez Cloud Discovery. Accédez ensuite à l’onglet Applications découvertes. Filtrez la liste des applications découvertes dans votre organization en fonction des facteurs de risque de conformité qui vous intéressent. Par exemple, utilisez la requête suggérée pour filtrer les applications non conformes.

   • Vous pouvez explorer l’application pour en savoir plus sur sa conformité en sélectionnant le nom de l’application, puis en sélectionnant l’onglet Informations pour afficher des détails sur les facteurs de risque de conformité de l’application.

2. Analyser l’utilisation : Maintenant que vous êtes décidé à autoriser l’utilisation de l’application dans votre organisation, vous devez déterminer qui l’utilise et de quelle façon. Si une utilisation limitée dans votre organisation n’est pas de nature à vous inquiéter, peut-être souhaiterez-vous être notifié d’une utilisation croissante de l’application de façon à la bloquer, le cas échéant.

   • Dans le portail Microsoft 365 Defender, sous Cloud Apps, sélectionnez Cloud Discovery. Accédez ensuite à l’onglet Applications découvertes , puis descendez en sélectionnant l’application spécifique que vous souhaitez examiner. L’onglet Utilisation vous permet de savoir combien d’utilisateurs actifs utilisent l’application et combien de trafic elle génère. Cela peut déjà vous donner une bonne image de ce qui se passe avec l’application. Ensuite, si vous souhaitez voir qui utilise spécifiquement l’application, vous pouvez explorer plus en détail en sélectionnant Nombre total d’utilisateurs actifs. Cette étape importante peut vous livrer des informations intéressantes. Par exemple, si vous découvrez que les utilisateurs d’une même application font tous partie du service Marketing, vous pourrez en déduire qu’elle correspond à un besoin, et si elle présente un risque, vous pourrez leur proposer une solution alternative avant de bloquer l’application.

   • Explorez encore plus en détail lors de l’examen de l’utilisation des applications découvertes. Affichez les sous-domaines et les ressources pour en savoir plus sur les activités spécifiques, l’accès aux données et l’utilisation des ressources dans vos services cloud. Pour plus d’informations, consultez Examen approfondi des applications découvertes et Découvrir les ressources et les applications personnalisées.

3. Identifier d’autres applications : utilisez le catalogue d’applications cloud pour identifier les applications plus sûres qui obtiennent des fonctionnalités métier similaires à celles des applications à risque détectées, mais qui sont conformes à la stratégie de votre organization. Pour ce faire, vous pouvez utiliser les filtres avancés afin de rechercher des applications de la même catégorie qui répondent à vos différents contrôles de sécurité.

Phase 3 : Gérer vos applications

• Gérer les applications cloud : Defender for Cloud Apps vous aide à gérer l’utilisation des applications dans votre organization. Une fois que vous aurez identifié les différentes caractéristiques et les différents comportements qui ont cours dans votre organisation, vous pourrez créer de nouvelles balises d’application personnalisées afin de classifier chaque application en fonction de son statut ou de sa justification métier. Ces balises pourront ensuite être utilisées à des fins de supervision spécifiques, par exemple, pour identifier un trafic important à destination d’applications marquées comme étant des applications de stockage cloud risquées. Les étiquettes d’application peuvent être gérées sous Paramètres Balises>d’application CloudDiscovery> CloudApps>. Ces balises peuvent servir par la suite à filtrer les pages Cloud Discovery et à créer des stratégies à partir de celles-ci.

• Gérer les applications découvertes à l’aide d’Azure Active Directory (Azure AD) Gallery : Defender for Cloud Apps utilise également son intégration native à Azure AD pour vous permettre de gérer vos applications découvertes dans la galerie Azure AD. Pour les applications qui figurent déjà dans la galerie Azure AD, vous pouvez appliquer l’authentification unique et gérer l’application avec Azure AD. Pour ce faire, sur la ligne où l’application appropriée s’affiche, choisissez les trois points à la fin de la ligne, puis Gérer l’application avec Azure AD.

  

• Surveillance continue : maintenant que vous avez examiné les applications de manière approfondie, vous pouvez définir des stratégies qui surveillent les applications et fournissent un contrôle si nécessaire.

Le moment est venu de créer des stratégies qui vous alerteront automatiquement dès que des événements préoccupants se produiront. Par exemple, vous pouvez créer une stratégie de découverte d’applications qui vous permet de savoir quand il y a un pic de téléchargements ou de trafic à partir d’une application qui vous préoccupe. Pour cela, vous devez activer les fonctions Comportement anormal par des utilisateurs découverts, Vérification de conformité des applications de stockage cloud et Nouvelle application à risques. Vous devez également définir la stratégie pour vous avertir par e-mail. Pour plus d’informations, consultez Informations de référence sur les modèles de stratégie, plus d’informations sur les stratégies Cloud Discovery et Configurer des stratégies de découverte d’applications.

Accédez à la page d’alertes et utilisez le filtre Type de stratégie pour examiner les alertes de découverte d’application. Pour les applications qui ont été mises en correspondance par vos stratégies de découverte d’application, il est recommandé d’effectuer une investigation avancée pour en savoir plus sur la justification métier de l’utilisation de l’application, par exemple, en contactant les utilisateurs de l’application. Répétez ensuite les étapes de la Phase 2 pour évaluer le risque de l’application. Décidez ensuite des prochaines étapes concernant l’application, que vous approuviez son utilisation future ou que vous décidiez de la bloquer la prochaine fois qu’un utilisateur y accédera. Auquel cas, vous devrez la marquer comme étant non approuvée pour qu’elle puisse être bloquée par le pare-feu, le proxy ou la passerelle web sécurisée de votre organisation. Pour plus d’informations, consultez Intégrer avec Microsoft Defender pour point de terminaison, Intégrer à Zscaler, Intégrer avec iboss et Bloquer les applications en exportant un script de bloc.

Phase 4 : Génération de rapports Shadow IT Discovery avancés

En plus des options de création de rapports disponibles dans Defender for Cloud Apps, vous pouvez intégrer des journaux Cloud Discovery dans Microsoft Sentinel pour une investigation et une analyse plus approfondies. Une fois les données dans Microsoft Sentinel, vous pouvez les afficher dans des tableaux de bord, exécuter des requêtes à l’aide du langage de requête Kusto, exporter des requêtes vers Microsoft Power BI, les intégrer à d’autres sources et créer des alertes personnalisées. Pour plus d’informations, consultez Intégration de Microsoft Sentinel.

Phase 5 : Contrôler les applications approuvées

1. Pour activer le contrôle d’application via des API, connectez les applications via l’API pour la surveillance continue.

2. Protégez les applications à l’aide du contrôle d’application par accès conditionnel.

La nature des applications cloud signifie qu’elles sont mises à jour quotidiennement et que de nouvelles applications apparaissent tout le temps. Pour cette raison, les employés utilisent en permanence de nouvelles applications et il est important de continuer à suivre, examiner et mettre à jour vos stratégies, en vérifiant les applications que vos utilisateurs utilisent, ainsi que leurs modèles d’utilisation et de comportement. Vous pouvez toujours accéder au tableau de bord Cloud Discovery pour identifier les nouvelles applications utilisées et suivre les instructions fournies dans cet article encore une fois pour veiller à la protection de votre organisation et de vos données.

Étapes suivantes

Meilleures pratiques pour la protection de votre organisation

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou une assistance concernant votre produit, veuillez ouvrir un ticket de support.

En savoir plus

• Essayez notre guide interactif : Découvrir et gérer l’utilisation des applications cloud avec Microsoft Defender for Cloud Apps