Application des principes Zero Trust à votre stratégie d’adoption
Microsoft 365 Copilot donne à vos utilisateurs finaux la possibilité de poser n’importe quelle question sur vos données et d’obtenir une réponse, mais il permet également aux acteurs malveillants de faire de même. C’est pourquoi une approche Zero Trust est essentielle à votre stratégie d’adoption Copilot.
Principes Zero Trust
Dans le monde actuel où les cyberattaques et les violations de données sont de plus en plus fréquentes, les modèles traditionnels de sécurité de défense du périmètre ne suffisent plus. Les organisations ont besoin d’une nouvelle approche qui ne suppose aucune confiance et vérifie chaque demande. Peu importe d’où il vient ou où il va. C’est l’essence du modèle Zero Trust, un élément essentiel d’un déploiement sécurisé de Microsoft 365 Copilot. Dans ce livre blanc, vous apprendrez à préparer votre environnement pour l’utilisation de Microsoft 365 Copilot, à appliquer les principes Zero Trust et à tirer pleinement parti du licensing M365 E5.
Le principe Zero Trust de vérification signifie explicitement que chaque demande d’accès ou de ressources doit être authentifiée et autorisée sur la base de tous les points de données disponibles, y compris:
L’identité
Appareils
Adresse
Réseau
Applications
Cela signifie également que la confiance ne doit pas être déduite d’interactions passées ou supposée sur la base de limites prédéfinies. Au lieu de cela, la confiance doit être évaluée et validée en continu tout au long de la session ou de la transaction. Pour appliquer ce principe à Microsoft 365 Copilot, assurez-vous que les méthodes modernes d’authentification à plusieurs facteurs (MFA) sont combinées à des politiques d’accès conditionnel. Cela permettra de vérifier les allégations d’identité des utilisateurs et la posture de sécurité actuelle de l’appareil. En tirant parti de la puissance de Microsoft EntraTM ID Protection, vous pouvez évaluer le niveau de risque de chaque utilisateur et tentative de connexion avec l’application de politiques d’accès conditionnel granulaires basées sur le rôle de l’utilisateur, l’emplacement, l’état de l’appareil et la sensibilité de l’application, ce qui vous aide à bloquer les accès non autorisés.
2
3
fr.insight.com
Validez toujours tous les points de données disponibles, y compris :
Identité et emplacement de l’utilisateur État de l’appareil Contexte de service ou de charge de travail Classification des données Anomalies
Vérifiez explicitement.
Pour sécuriser à la fois les données et la productivité, limitez l’accès des utilisateurs avec :
Utiliser l’accès à moindre privilège.
Accès juste à temps (JIT) Accès juste assez (JEA) Politiques adaptatives basées sur les risques Protection des données contre les vecteurs hors bande
Minimiser le rayon de dynamitage pour les ruptures et empêcher les mouvements latéraux en :
Présumer une violation.
Segmentation de l’accès par réseau, utilisateur, appareils et connaissance des applications Chiffrement de toutes les sessions de bout en bout Utilisation d’analyses pour la détection des menaces, la visibilité de la posture et l’amélioration des défenses
Explorez Ce Sujet
Un autre principe important pour sécuriser Microsoft 365 Copilot est d’utiliser toujours le modèle d’accès le moins privilégié. Cela signifie que les utilisateurs et les applications ne doivent avoir que le niveau minimal d’autorisations et de droits d’accès requis pour effectuer leurs tâches. En limitant l’exposition des données et ressources sensibles, le risque de compromission ou d’utilisation abusive est réduit. De plus, en cas de violation, l’impact et les dommages peuvent être contenus et atténués. Pour appliquer ce principe à Microsoft 365 Copilot, assurez-vous que le contrôle d’accès basé sur les rôles (RBAC) est mis en œuvre pour attribuer des rôles et des autorisations aux utilisateurs et aux applications en fonction de leurs responsabilités et de leurs besoins. En utilisant la RBAC, vous pouvez appliquer le principe de séparation des tâches, ce qui empêche les conflits d’intérêts et les actions non autorisées. Vous pouvez également utiliser Microsoft Entra Privileged Identity Management (PIM) pour gérer, surveiller et auditer l’utilisation des comptes et rôles à privilèges. PIM fournit des fonctionnalités telles que tels que l’accès juste à temps, l’accès limité dans le temps, les flux de travail d’approbation et les révisions d’accès pour s’assurer que les accès à privilèges ne sont accordés qu’en cas de besoin (et révoqués lorsqu’ils ne sont pas utilisés). Un troisième principe important pour sécuriser Microsoft 365 Copilot est de supposer une violation. Cela signifie que vous ne devez pas vous fier uniquement aux mesures de sécurité basées sur le périmètre, mais plutôt adopter une stratégie de défense en profondeur qui suppose que les attaquants ont peut-être déjà compromis votre réseau ou vos appareils. En supposant une violation, vous pouvez concevoir vos politiques et contrôles de sécurité pour protéger vos données et vos ressources à chaque niveau, de l’identité et du dispositif à l’application et au niveau des données. Vous pouvez également mettre en œuvre des fonctionnalités de surveillance proactive et de détection des menaces pour identifier et réagir à toute activité malveillante ou anomalie dans votre environnement.
• • • • •
• • • •
• • •
Contents
2 - 3 Principes Zero Trust
4 - 5 Microsoft 365 Copilot : Architecture logique
6 - 6 Microsoft 365 Copilot pour : Architecture logique du service et du tenant
7 - 7 Index sémantique pour Microsoft 365 Copilot
8 - 9 Recommandations de sécurité et de protection de l’information
10 - 10 Conclusion
2 Principes Zero Trust
3 Microsoft 365 Copilot : Architecture logique
4 Microsoft 365 Copilot : Architecture logique du service et du tenant
4 Index sémantique pour Microsoft 365 Copilot
5 Recommandations de sécurité et de protection de l’information
6 Conclusion
Microsoft 365 Copilot : Architecture logique
En décrivant l’architecture logique de Microsoft 365 Copilot, nous pouvons examiner ses composants principaux et leur interaction. Le service Copilot est le composant qui traite les requêtes en langage naturel des utilisateurs et renvoie des réponses pertinentes. Le service Copilot s’appuie sur Microsoft® Graph, une API complète qui expose les données et les fonctionnalités de divers services cloud Microsoft. Microsoft Graph se connecte à votre locataire Microsoft 365®. Il s’agit du conteneur de données et de ressources de votre organisation, y compris les entités telles que les utilisateurs et les appareils, les fichiers et les dossiers, les sites d’équipe et les sites de communication, les boîtes aux lettres et les chats, les enregistrements et les applications. Vos données client restent dans les limites du service Microsoft 365. Vos prompts, réponses et données dans Microsoft Graph ne sont pas utilisées pour former les grands modèles linguistiques (LLM) de base que Copilot exploite. Vos données sont sécurisées sur la base des politiques de sécurité, de conformité et de confidentialité existantes déjà déployées par votre organisation.
4
5
Explore this topic
Another important principle for securing Copilot for Microsoft 365 is to always use the least privileged access model. This means that users and applications should only have the minimum level of permissions and access rights required to perform their tasks. By limiting the exposure of sensitive data and resources, the risk of compromise or misuse is reduced. Additionally, in the event of a breach, the impact and damage can be contained and mitigated. To apply this principle to Copilot for Microsoft 365, ensure that Role-Based Access Control (RBAC) is implemented to assign roles and permissions to users and applications based on their responsibilities and needs. By using RBAC, you can enforce the principle of separation of duties — which prevents conflicts of interest and unauthorised actions. You can also use Microsoft Entra Privileged Identity Management (PIM) to manage, monitor and audit the use of privileged accounts and roles. PIM provides features such as just-in-time access, time-bound access, approval workflows and access reviews to ensure that privileged access is granted only when needed (and revoked when not in use). A third important principle for securing Copilot for Microsoft 365 is to assume breach. This means that you should not rely on perimeter-based security measures alone — but rather adopt a defense-in-depth strategy that assumes that attackers may have already compromised your network or devices. By assuming breach, you can design your security policies and controls to protect your data and resources at every layer, from the identity and device level to the application and data level. You can also implement proactive monitoring and threat detection capabilities to identify and respond to any malicious activity or anomalies in your environment.
Utilisateurs et appareils
Applications Microsoft 365
Copilote et connexes Composantes :
Organisation (exemple de données)
Index sémantique pour Copilot
Cartographie vos données et vos relations Fournit des informations personnalisées, pertinentes et exploitables
• •
Microsoft CSP
Microsoft 365 Copilot
Microsoft 365 Copilot : Architecture logique du service et du tenant
Votre tenant se trouve à l’intérieur des limites du service Microsoft 365, où l’engagement de Microsoft en matière de sécurité, de conformité, d’emplacement des données et de confidentialité est respecté. Copilot est un service partagé comme de nombreux autres services de Microsoft 365. La communication entre votre tenant et les composants Copilot est cryptée.
6
7
Appareils et utilisateurs
Applications sur les appareils
Index sémantique pour Microsoft 365 Copilot
L’indice sémantique pour Copilot identifie les relations et les connexions de vos données utilisateur et d’entreprise. Avec Copilot et Microsoft Graph, il crée une carte sophistiquée de toutes les données et de tous les contenus de votre organisation pour permettre à Copilot de fournir des réponses personnalisées, pertinentes et exploitables. L’indice sémantique fait partie du service Microsoft 365 et est créé automatiquement.
L’index sémantique catalogue les fichiers textuels dans SharePoint® qui sont partagés avec deux personnes ou plus. Au niveau utilisateur, l’index sémantique catalogue tous les e-mails. Il indexe également tous les fichiers textuels dans le OneDrive® d’un utilisateur qui ont été partagés, avec lesquels il a interagi (même par l’utilisateur lui-même) ou commentés.
Word documents (.doc/.docx) PowerPoint® (.pptx) PDF Web pages (.html/.aspx) OneNote® (.one)
Ce qui est actuellement indexé :
Types de fichiers actuellement supportés :
Services Microsoft CSP
Votre tenant Microsoft 365
Vos données client : Fichiers, boîtes aux lettres, données de chat, vidéos, etc.
Boîtes aux lettres Exchange
Microsoft Teams
Fichiers OneDrive
Fichiers et listes SharePoint
LLM
Abonnement au service Azure OpenAI pour Microsoft 365
Composants de Microsoft 365 Copilot
Corrèle les relations et comprend les autorisations avec Microsoft Graph
Limite du service Microsoft 365
Correlates Relationships and Understands Permissions with Microsoft Graph
Current supported file types include:
Semantic Index catalogs text-based files in SharePoint® that are shared with two or more people. At the user level, Semantic Index catalogs all email. It also indexes all text-based files in a user’s OneDrive® that have been shared, interacted with (even just by the user) or commented on.
What is currently indexed:
Recommandations de sécurité et de protection de l’information
M365 E5 est la solution cloud la plus complète et la plus sécurisée pour les entreprises qui souhaitent donner à leurs collaborateurs, clients et partenaires le meilleur de Microsoft. E5 offre plusieurs avantages par rapport à E3 en termes d’identité et d’accès, d’applications Microsoft, d’appareils, de protection contre les menaces, de données organisationnelles, d’équipes et d’invités externes.
8
9
>>
M365 E5 inclut Azure® Active Directory® Premium P2, qui fournit des fonctionnalités avancées de gestion des identités et des accès telles que la protection des identités, la gestion des identités à privilèges, l’accès conditionnel et le management des performances. Ces fonctionnalités aident les entreprises à prévenir les compromissions d’identité, à gérer les comptes à privilèges, à appliquer des politiques d’accès granulaires et à prendre des décisions d’accès d’audit.
Identité et accès
La protection de données
Changements organisationnels
Équipes et invités externes
Vous devrez peut-être partager des informations sensibles avec des personnes extérieures à votre organisation. Utilisez ces ressources :
Partager avec des personnes extérieures à votre organisation
Utilisez ces ressources pour configurer votre environnement afin de collaborer avec des personnes extérieures à votre organisation :
Collaborer avec des personnes extérieures à votre organisation
Appliquez les meilleures pratiques pour partager des fichiers et des dossiers avec des utilisateurs non authentifiés. Limitez l’exposition accidentelle aux fichiers lorsque vous les partagez avec des personnes extérieures à votre organisation. Créez un environnement de partage d’invités sécurisé.
Collaborez sur des documents - partagez des fichiers ou des dossiers individuels. Collaborez sur un site - collaborez avec des invités sur un site SharePoint. Collaborez en équipe - collaborez avec les invités dans une équipe. Collaborer avec des participants externes sur un canal - collaborer avec des personnes extérieures à l’organisation sur un canal partagé.
Configurez les stratégies d’accès conditionnel communes :
MFA requise pour les administrateurs. MFA requise pour tous les utilisateurs. Bloquer l’authentification
Pour les identités hybrides, appliquez la protection par mot de passe Microsoft Entra sur site pour les services de domaine Active Directory.
Configurez les stratégies recommandées pour Zero Trust :
Exiger la MFA lorsque le risque de connexion est moyen ou élevé. Demander aux utilisateurs à haut risque de modifier leur mot de passe. Configurer PIM.
Microsoft Azure: E5 inclut Office 365® E5, qui fournit des applications de productivité et de collaboration haut de gamme telles que Word, Excel®, PowerPoint, Outlook®, OneNote, Teams®, SharePoint, OneDrive, Yammer® et Stream. De plus, M365 E5 inclut des fonctionnalités avancées telles que Power BI® Pro, Power Apps, Power Automate®, Forms, Planner, To Do et Sway®. Ces fonctionnalités permettent aux utilisateurs de créer, d’analyser, d’automatiser et de partager des données et des insights dans toute l’organisation.
Mise en œuvre des politiques de protection des applications (APP) Intune : Avec APP, Intune® crée un mur entre les données de votre organisation et les données personnelles. Les stratégies garantissent que les données d’entreprise dans les applications que vous spécifiez ne peuvent pas être copiées et collées dans d’autres applications sur l’appareil, même si l’appareil n’est pas managés.
M365 E5 inclut Windows® 10 Enterprise E5, qui fournit le système d’exploitation le plus sécurisé et le plus flexible pour les appareils d’entreprise. Windows 10 Enterprise E5 inclut des fonctionnalités telles que Windows Defender Advanced Threat Protection, Windows Defender Application Guard, Windows Defender Credential Guard, Windows Defender Device Guard et Windows Defender Exploit Guard. Ces fonctionnalités protègent les appareils contre les malwares, les rançongiciels, le phishing, les attaques du jour zéro et d’autres menaces avancées.
Gérer les appareils :
Inscrivez les appareils au management. Définissez des stratégies de conformité. Nécessite des appareils sains et conformes. Déployer les profils d’appareils.
Monitor device risk and compliance to security baselines:
Integrate Intune with Defender for Endpoint to monitor device risk as a condition for access. For Windows devices, monitor compliance of these devices to security baselines.
M365 E5 inclut Microsoft 365 Defender, une plateforme de sécurité intégrée qui exploite l’IA et l’apprentissage automatique pour détecter, enquêter et répondre aux menaces sur les terminaux, la messagerie, l’identité et les applications cloud. Microsoft 365 Defender comprend Microsoft Defender pour les terminaux, Microsoft Defender pour Office 365, Microsoft Defender pour les identités et Microsoft Defender pour les applications Cloud. Ces fonctionnalités offrent des capacités de visibilité, de prévention, de détection, de réponse et de chasse pour toute la surface d’attaque.
Configurez Exchange Online Protection et la protection des terminaux.
Déployez Microsoft 365 Defender.
Pour une protection plus complète contre les menaces, déployez Microsoft 365 Defender, notamment :
Défenseur de l’identité Defender pour Office 365 Defender pour terminal Defender pour les applications Cloud
M365 E5 inclut Microsoft 365 Compliance, une solution complète qui aide les entreprises à se conformer à diverses réglementations et standards tels que le RGPD, HIPAA, PCI DSS, ISO 27 001 et NIST. La conformité de Microsoft 365 inclut des fonctionnalités telles que la prévention des pertes de données, la protection des informations, la gestion des enregistrements, l’eDiscovery, l’audit et le gestionnaire de conformité. Ces fonctionnalités aident les entreprises à découvrir, classer, protéger, conserver et gérer leurs données sensibles sur les appareils, les applications et les services cloud.
Développez votre schéma de classification et commencez à utiliser les étiquettes de sensibilité et d’autres politiques :
Étendez les politiques à plus de données et commencez à utiliser l’automatisation avec les politiques de protection des données :
L’étiquetage de sensibilité s’étend pour protéger davantage de contenu et plus de méthodes d’étiquetage. Étiquetez les sites SharePoint et Teams en utilisant des étiquettes de conteneur et en étiquetant automatiquement les éléments.
Appliquer des règles de prévention de la perte de données Créer des politiques de rétention. Utilisez l’explorateur contextuel (pour examiner les résultats).
Découvrir et identifier les données commerciales sensibles.
Développer un schéma de classification et de protection.
Testez et pilotez le schéma avec des données dans Microsoft 365.
Déployez le schéma de classification et de protection des données dans Microsoft 365.
Étendez le schéma aux données dans d’autres applications SaaS.
Adoption technique de la protection des informations
Phases d’adoption pour un déploiement en production complète
M365 E5 inclut Microsoft Teams, qui est la plateforme de travail d’équipe et de communication de Microsoft 365. Teams permet aux utilisateurs de chatter, d’appeler, de rencontrer et de collaborer avec leurs collègues et leurs invités externes de manière sécurisée et conforme. Teams s’intègre également à d’autres applications et services Microsoft et tiers pour offrir une expérience utilisateur harmonieuse. De plus, M365 E5 inclut des fonctionnalités telles que le système téléphonique Teams, le plan d’appel Teams, l’audioconférence Teams et les événements Teams Live. Ces fonctionnalités permettent aux utilisateurs de passer et de recevoir des appels téléphoniques, d’organiser et de rejoindre des conférences audio et de diffuser et d’enregistrer des événements en direct depuis Teams.
Protection maximale
Tout d’abord, identifiez les équipes ou les projets qui justifient une protection hautement sensible. Configurez les protections pour ce niveau. De nombreuses entreprises ne disposent pas de données qui nécessitent ce niveau de protection.
Mettez en place un partage de fichiers sécurisé et une collaboration avec Microsoft Teams en le configurant avec une protection appropriée – de référence, sensible et hautement sensible.
Very Few Teams
Protection sensible
Some Teams
Ensuite, identifiez les équipes ou les projets qui justifient une protection sensible et appliquez cette protection.
Protection de référence
La plupart des équipes
Enfin, assurez-vous que toutes les équipes et tous les projets sont au minimum configurés pour la protection de référence.
Applying Zero Trust Principles to Your Adoption Strategy
Conclusion
Microsoft 365 E5 est la solution cloud la plus complète et la plus sécurisée pour les clients clientèle entreprise. Il offre des fonctionnalités avancées pour le management des identités et des accès, le travail d’équipe et communication, protection et gouvernance des données, protection et réponse aux menaces, business intelligence et analyses. Par rapport à Microsoft 365 E3, qui fournit des fonctionnalités de productivité et de sécurité de base, Microsoft 365 E5 offre une valeur ajoutée et une protection supplémentaire pour votre entreprise.
L’étiquetage de sensibilité pour les sites SharePoint et Teams, qui vous permet de classer et de protéger votre contenu en fonction de sa sensibilité et d’appliquer des politiques telles que le chiffrement, le contrôle d’accès et la rétention Étiquetage automatique des éléments, qui utilise l’apprentissage automatique pour détecter les informations sensibles dans vos documents et vos e-mails et appliquer les étiquettes et les politiques de protection appropriées Système téléphonique Teams, plan d’appels, audioconférence et événements en direct, qui vous permettent d’effectuer et de recevoir des appels téléphoniques, d’organiser et de rejoindre des audioconférences et de diffuser et d’enregistrer des événements en direct à partir de Teams, avec une sécurité et une conformité de niveau professionnel Defender pour Office 365, qui protège vos e-mails, votre collaboration et votre stockage dans le Cloud contre les menaces avancées telles que le phishing, les rançongiciels et le Business Email Compromise (BEC) Defender for Endpoint, qui fournit la détection et la réponse aux terminaux (EDR), le management des menaces et des vulnérabilités, la réduction de la surface d’attaque et l’analyse et la correction automatisées pour vos appareils Defender for Identity, qui surveille et protège votre infrastructure d’identité contre les attaques basées sur l’identité telles que le vol d’identifiants, l’escalade des privilèges et les mouvements latéraux • Microsoft Entra ID P2, qui améliore votre gestion des identités et des accès grâce à des fonctionnalités telles que la protection des identités, la gestion des identités à privilèges, l’examen des accès et le management des droits Power BI Pro, qui vous permet de créer et de partager des tableaux de bord et des rapports interactifs avec une visualisation et une analyse riches des données
• • • • • • • •
Les points forts :
Stimuler l’innovation grâce à la transformation numérique Chez Insight, nous aidons nos clients clientèle à innover avec une approche qui englobe les personnes, les processus et les technologies. Nous pensons que le meilleur chemin vers la transformation numérique est intégrative, réactive et proactivement alignée sur les exigences du secteur. Notre approche centrée sur le client fournit les solutions les mieux adaptées à un éventail de services, y compris Modern Workplace, applications modernes, infrastructures modernes, edge intelligent, cybersécurité, données et IA.
10
Apprendre encore plus
6 - 6 Microsoft 365 Copilot : Architecture logique du service et du tenant
