Tutoriel : découvrir et gérer l’informatique fantôme

À la question « Combien d’applications cloud vos employés utilisent-ils ? », les administrateurs informatiques avancent en moyenne le nombre de 30 ou 40. Or, dans la réalité, ce sont plus de 1 000 applications distinctes qui sont utilisées par les employés d’une grande entreprise. L’informatique fantôme vous permet de connaître et d’identifier les applis en cours d’utilisation et votre niveau de risque. 80 % des employés utilisent des applications non approuvées que personne n’a révisées et qui peuvent ne pas être conformes à vos stratégies de sécurité et de conformité. Et sachant que vos employés peuvent accéder à vos ressources et applications en dehors de votre réseau d’entreprise, il ne suffit plus de définir des règles et des stratégies sur vos pare-feu.

Dans ce tutoriel, vous allez apprendre à utiliser Cloud Discovery pour découvrir les applis utilisées, explorer le risque qu’elles représentent, configurer des stratégies pour identifier les nouvelles applis à risque exécutées et empêcher l’approbation de ces applications, afin de les bloquer en mode natif à l’aide de votre appliance de pare-feu ou de proxy

Conseil

Par défaut, Defender for Cloud Apps ne peut pas découvrir les applications qui ne figurent pas dans le catalogue.

Pour afficher les données de Defender for Cloud Apps pour une application qui ne figure pas actuellement dans le catalogue, nous vous recommandons de consulter notre feuille de route ou de créer une application personnalisée.

Comment découvrir et gérer l’informatique fantôme sur votre réseau

Utilisez ce processus pour déployer la solution Cloud Discovery pour l’informatique fantôme dans votre organisation.

shadow IT lifecycle.

Phase 1 : découvrir et identifier l’informatique fantôme

  1. Découvrir l’informatique fantôme : Identifiez la position de votre organisation en matière de sécurité en exécutant Cloud Discovery dans votre organisation pour voir ce qui se passe réellement sur votre réseau. Pour plus d’informations, consultez Configurer Cloud Discovery. Pour cela, utilisez l’une des méthodes suivantes :

    • Soyez opérationnel rapidement avec Cloud Discovery en l’intégrant à Microsoft Defender for Endpoint. Cette intégration native vous permet de commencer immédiatement à collecter des données sur le trafic cloud sur vos appareils Windows 10 et Windows 11, sur votre réseau et en dehors.

    • Pour couvrir tous les appareils connectés à votre réseau, il est important de déployer le collecteur de journaux Defender for Cloud Apps sur vos pare-feu et autres proxies, afin de collecter des données à partir de vos points de terminaison et de les envoyer à Cloud App Security pour analyse.

    • Intégrer Defender for Cloud Apps avec votre proxy. Defender for Cloud Apps s’intègre en mode natif avec certains proxies tiers, y compris Zscaler.

    Étant donné que les stratégies diffèrent en fonction du groupe d’utilisateurs, de la région et du groupe d’entreprise, vous souhaiterez peut-être créer un rapport dédié sur l’informatique fantôme et ce, pour chacune de ces unités. Pour plus d’informations, consultez Créer des rapports continus personnalisés.

    Maintenant que Cloud Discovery est en cours d’exécution sur votre réseau, examinez les rapports continus générés et étudiez le tableau de bord Cloud Discovery pour bénéficier d’un aperçu complet des applications utilisées dans votre organisation. Il est judicieux de les examiner par catégorie : vous constaterez souvent que les applications non approuvées sont utilisées à des fins professionnelles légitimes qui ne sont pas couvertes par les applications approuvées.

  2. Identifiez les niveaux de risque de vos applications : utilisez le catalogue Defender Cloud Apps pour approfondir les risques impliqués dans chaque application découverte. Le catalogue Defender for Cloud Apps inclut plus de 31 000 applications, qui sont évaluées selon plus de 90 facteurs de risque. Les facteurs de risque vont des informations générales sur l’application (où se trouve le siège social de l’application, qui en est l’éditeur) aux mesures de sécurité et aux contrôles (prise en charge du chiffrement au repos, existence d’un journal d’audit sur l’activité des utilisateurs). Pour plus d’informations, voir Utilisation du score de risque.

    • Dans le portail Microsoft Defender, sous Applications cloud, sélectionnez Cloud Discovery. Ensuite, accédez à l’onglet Applis découvertes. Filtrez la liste des applications découvertes dans votre organisation selon les facteurs de risque qui vous intéressent. Par exemple, vous pouvez utiliser les filtres avancés pour trouver toutes les applications avec un score de risque inférieur à 8.

    • Vous pouvez explorer l’application pour en savoir plus sur sa conformité en cliquant sur le nom de l’application, puis sur l’onglet Infos pour afficher les détails sur les facteurs de risque pour la sécurité de l’application.

Phase 2 : évaluer et analyser

  1. Évaluer la conformité : vérifiez si les applis sont certifiées conformes aux standards de votre organisation, tels que la loi américaine HIPAA, la norme SOC2 et le RGPD.

    • Dans le portail Microsoft Defender, sous Applications cloud, sélectionnez Cloud Discovery. Ensuite, accédez à l’onglet Applis découvertes. Filtrez la liste des applis découvertes dans votre organisation selon les facteurs de risque de non-conformité qui vous intéressent. Par exemple, utilisez la requête suggérée pour filtrer les applications non conformes.

    • Vous pouvez explorer l’application pour en savoir plus sur sa conformité en cliquant sur le nom de l’application, puis sur l’onglet Infos pour afficher les détails sur les facteurs de risque de non-conformité de l’application.

  2. Analyser l’utilisation : maintenant que vous savez si vous voulez que l’application soit ou non utilisée dans votre organisation, vous désirez savoir comment elle est utilisée et par qui. Si elle est uniquement utilisée de manière limitée dans votre organisation, ce n’est peut-être pas grave, mais si son utilisation s’étend, vous souhaiterez peut-être en être averti afin de décider si vous voulez la bloquer.

    • Dans le portail Microsoft Defender, sous Applications cloud, sélectionnez Cloud Discovery. Accédez ensuite à l’onglet Applis découvertes, puis explorez en sélectionnant l’application spécifique que vous souhaitez examiner. L’onglet Utilisation vous permet de savoir combien d’utilisateurs actifs se servent de l’application et la quantité de trafic qu’elle génère. Vous aurez ainsi un bon premier aperçu de ce qui se passe avec cette application. Ensuite, si vous souhaitez voir qui, en particulier, utilise l’application, vous pouvez aller plus loin en cliquant sur Nombre total d’utilisateurs actifs. Cette étape importante peut vous fournir des informations pertinentes. Par exemple, si vous découvrez que tous les utilisateurs d’une application donnée font partie du service Marketing, il est possible qu’il existe un besoin métier pour cette application, et si l’application présente des risques, il peut être judicieux de discuter avec les employés d’une alternative avant de bloquer l’application.

    • Plongez encore plus loin lors de l’examen de l’utilisation d’applications découvertes. Affichez les sous-domaines et les ressources pour en savoir plus sur les activités spécifiques, l’accès aux données et l’utilisation des ressources dans vos services cloud. Pour plus d’informations, consultez Approfondir les applications découvertes et Découvrir des ressources et des applications personnalisées.

  3. Identifier les autres applications : utilisez le catalogue d’applications cloud pour identifier les applications plus sûres qui obtiennent des fonctionnalités métier similaires à celles détectées, mais respectent la stratégie de votre organisation. Pour ce faire, vous pouvez utiliser les filtres avancés pour rechercher des applications dans la même catégorie que celles qui répondent à vos différents contrôles de sécurité.

Phase 3 : gérer vos applications

  • Gérer les applications cloud : Defender for Cloud Apps vous aide à gérer l’utilisation des applications dans votre organisation. Une fois que vous avez identifié les différents modèles et comportements utilisés dans votre organisation, vous pouvez créer de nouvelles balises d’application personnalisées afin de classer chaque application en fonction de son état professionnel ou des besoins auxquels elle répond. Ces balises peuvent ensuite servir à une surveillance particulière, par exemple pour identifier un trafic élevé vers les applications qui sont marquées comme applications de stockage cloud à risque. Les balises d’application peuvent être gérées sous Paramètres>Applications cloud>Cloud Discovery>Balises d’application. Ces balises peuvent ensuite être utilisées pour filtrer le contenu des pages Cloud Discovery et créer des stratégies.

  • Gérez les applications découvertes à l’aide de la galerie Microsoft Entra : Defender for Cloud Apps utilise également son intégration native avec Microsoft Entra ID pour vous permettre de gérer vos applications découvertes dans la galerie Microsoft Entra. Pour les applications qui figurent déjà dans la galerie Microsoft Entra, vous pouvez uffit appliquer l’authentification unique et gérer l’application avec Microsoft Entra ID. Pour ce faire, sur la ligne où l’application appropriée s’affiche, choisissez les trois points à la fin de la ligne, puis choisissez Gérer l’application avec Microsoft Entra ID.

    Manage app in Microsoft Entra gallery.

  • Surveillance continue : maintenant que vous avez examiné soigneusement les applications, vous souhaiterez peut-être définir des stratégies qui les surveillent et offrent des fonctionnalités de contrôle lorsque cela est nécessaire.

Il est maintenant temps de créer des stratégies afin que vous soyez automatiquement alerté en cas d’événement pertinent pour vous. Par exemple, vous pouvez créer une stratégie de découverte d’application qui vous préviendra si un pic survient dans les téléchargements ou le trafic en provenance d’une application donnée. Pour ceci, vous devez activer les fonctions Comportement anormal par des utilisateurs découverts, Vérification de conformité des applications de stockage cloud et Nouvelle application à risques. Vous devez également définir la stratégie pour vous avertir par e-mail. Pour plus d’informations, voir la référence de modèle de stratégie, les informations complémentaires sur les stratégies Cloud Discovery et Configurer des stratégies de découverte d’application.

Consultez la page des alertes et utilisez le filtre du type de stratégie pour afficher les alertes de découverte d’application. Pour les applications qui ont été trouvées par vos stratégies de découverte d’application, il est recommandé d’effectuer une analyse approfondie pour en savoir plus sur les raisons professionnelles qui justifient l’utilisation de l’application, par exemple en contactant les utilisateurs des applications. Répétez ensuite les étapes de la phase 2 pour évaluer le risque que représente l’application. Déterminez les étapes suivantes pour l’application, que vous en approuviez l’utilisation ou que vous souhaitiez la bloquer la prochaine fois qu’un utilisateur y accède, auquel cas vous devez la marquer comme non approuvée afin qu’elle puisse être bloquée par votre pare-feu, votre proxy ou la passerelle web sécurisée. Pour plus d’informations, consultez Intégrer à Microsoft Defender for Endpoint, Intégrer à Zscaler, Intégrer à iboss et Bloquer des applications en exportant un script de blocage.

Phase 4 : génération de rapports Shadow IT Discovery avancés

Outre les options de création de rapports disponibles dans Defender for Cloud Apps, vous pouvez intégrer les journaux Cloud Discovery dans Microsoft Sentinel pour un examen et une analyse plus approfondis. Une fois que les données se trouvent dans Microsoft Sentinel, vous pouvez les afficher dans des tableaux de bord, exécuter des requêtes à l’aide du langage de requête Kusto, exporter des requêtes vers Microsoft Power BI, intégrer à d’autres sources et créer des alertes personnalisées. Pour plus d’informations, consultez Intégration Microsoft Sentinel.

Phase 5 : contrôler les applications approuvées

  1. Pour activer le contrôle d’application via des API, connectez des applications via l’API pour la surveillance continue.

  2. Protégez les applications à l’aide du contrôle d’application par accès conditionnel.

La nature des applications cloud implique qu’elles sont mises à jour quotidiennement et que de nouvelles applications apparaissent tout le temps. Pour cette raison, les employés utilisent en permanence de nouvelles applications et il est important de sans cesse surveiller, réviser et mettre à jour vos stratégies, en vérifiant les applications exploitées par vos utilisateurs, ainsi que leurs modèles d’utilisation et de comportement. Vous pouvez toujours accéder au tableau de bord Cloud Discovery et voir les nouvelles applications utilisées. Suivez alors de nouveau les instructions de cet article pour vous assurer que votre organisation et vos données sont protégées.

Étapes suivantes

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.

En savoir plus