Certification Microsoft Security, Compliance, and Identity Fundamentals (SC-900)

Microsoft Certified: Security, Compliance, and Identity Fundamentals

Mon expérience sur l’examen Microsoft Security, Compliance, and Identity Fundamentals (SC-900)

Pour mon second article concernant les certifications dans Cloud de Microsoft, je vais vous faire le débrief à chaud 😊. Pour rappel, la page d’inscription se trouve ici, et le contenu de la certification est téléchargeable .

Dans son contenu, je trouve que cette certification est très bien faite, car elle couvre un large spectre de la sécurité dans et autour du Cloud Microsoft. De mon point vue, les professionnels lancés sur le Cloud utilisent toujours plusieurs “modules” et ont besoin de tous les sécuriser :

  • Tous les ouvrants (Portes, fenêtres, trappe à chat, …)
  • Tous les équipements (Cuisinière, chaudière, machine à laver, …)
  • Tous les comportements (Enfants, chiens, chats)

Pardonnez-moi ces figures de styles, mais il est tard 😉

Solutions d'alarme sans fil Somfy Home ou système filaire, alarme63
La comparaison est facile mais le Cloud est une “grosse maison” nécessitant elle aussi de la vigilance et des mesures

Pour revenir au sujet principal, je vais essayer de découper chaque grand thème pour vous éclairer au mieux :

Modèle Zéro-Trust :

L’objectif principal est bien évidement de garantir en permanence que votre environnement est sain.

Cet objectif est atteint par la mise en place de moyens de protection définis et qui ne doivent pas être dérogés, à savoir :

  • Les identités sont sécurisées avec, par exemple, la mise en place de l’authentification multifactorielle.
  • Les terminaux sont eux aussi contrôlés. Le principe de compliance des terminaux dans Intune est un bon moyen de s’assurer que certaines données et donc certaines applications exigent ce prérequis pour laisser passer l’utilisateur.
  • La télémétrie est omniprésente. Les données et la télémétrie omniprésentes sont utilisées pour comprendre l’état actuel de la sécurité. Je pense ici à Microsoft Defender for Endpoint par exemple.
  • Zéro Trust veut dire zéro confiance. Il faut donc brider les accès ou les droits inutiles. Il est facile d’opérer de la sorte avec l’attribution de rôles temporaires (PIM) mais aussi grâce à des revues d’accès périodiques.
J’ai eu quelques questions sur le modèle Zéro-Trust, et je vous conseille de bien le comprendre. Voici une vidéo qui parcours le sujet en profondeur.

Modèle de responsabilité partagé :

Comme chez tous Cloud providers, un modèle de responsabilité partagé est instauré pour mettre les choses au clair en hébergeur et hébergé. Ici la question est assez générale, mais garder toujours en tête que vous êtes responsable de vos données et que Microsoft est responsable de l’infrastructure !

responsibility-zones - Petri

Chiffrement :

Une ou des questions aussi tombées pour moi était sur ce sujet. Rien de tel que la définition officielle : Le cryptage est la méthode par laquelle des informations sont converties en un code secret qui cache la véritable signification de ces informations.

Data Encryption: Why You Should Protect Your Business | Aureon
Le chiffrement ne concerne pas que les fichiers comme vous pouvez le voir ici.

Microsoft Trust Portal :

Sauf erreur, ce point est aussi abordé dans la MS-900. Ce portail Microsoft fournit une variété de contenu, d’outils et d’autres ressources sur les pratiques Microsoft en matière de sécurité, de confidentialité et de conformité.

Autant dire que les normes internationales ou nationales impactant le monde de la sécurité ou de la conformité se trouveront ici. On ne vous demandera pas de toutes les connaitre, mais de savoir que ces informations sont bien recensées ici.

Concept relatif à l’identité :

C’est un vaste sujet … mais je pense que la compréhension de celle-ci est fondamentale, car l’identité est au cœur du Cloud. Dans ce domaine la certification va parler principalement d’Azure Active Directory, mais pas seulement.

La différence entre autorisation (Authz) et authentification (Authn) est toujours bonne à connaitre.

Azure Active Directory :

Il faudra aller plus loin que la connaissances générales du portail Azure AD, car certaines questions portent sur des fonctionnalités assez précises.

Merci à Adam Marczak ;).

Par exemple, on pourrait vous demander de détailler la fonction d’Azure AD Password Protection :

Using the new Azure Active Directory password protection feature
Ce schéma est juste là pour vous faire peur, on n’ira pas jusque-là dans la SC-900 😉
Explication des différents signaux dans le processus d’authentification avec accès conditionnel.
Deux modèles d’identité sont représentés ici : Cloud et Hybrid.
On retrouve le principe d’accès conditionnel ici.

Azure AD est à mon sens le thème le plus exprimé dans cette certification. Prenez garde à ne pas négliger ce sujet. Il suffit de regarder la liste des services à connaitre dans le contenu de la certification :

  • Méthodes d’Authentification
  • Types d’identité
  • Self-service password reset
  • Password protection 😉
  • Authentification multifacteurs
  • Windows Hello for Business
  • Identités hybrides
  • Types d’utilisateurs (interne, Guest, …)
  • Accès conditionnel
  • Rôles
  • Privileged Identity Management (PIM)
  • Identity Protection

J’ai eu plusieurs questions sur ce dernier point. Vous trouverez ces principales fonctionnalités ici.

Sécurité au sein d’Azure :

Beaucoup de services aux fonctionnalités variées sont disponibles sur Azure. Certains sont plus utilisés que d’autres, mais connaître leurs principales caractéristiques est demandé dans cette certification. Par exemple :

A quoi sert Azure Bastion ? A créer une connexion sécurisée pour, par exemple, se connecter aux machines virtuelles sans exposer celles-ci avec une adresse IP publique.
A quoi servent les Network Security groups ? A filtrer le trafic réseau avec des règles de sécurité qui autorisent ou rejettent le trafic réseau entrant et sortant.
A quoi Azure Blueprint ? A première vue, on ne pensera pas à ce service pour la sécurité, pourtant Azure Blueprint va permettre l’intégration de rôles et de polices dans la récurrence des déploiements = sécurité !

Les composants de sécurité ne font pas tous dans votre examen, certains concepts sont aussi interrogés dans cette certification. Je pense par exemple au Secure Score. Intégré au Security Center, il va évaluer continuellement vos ressources, vos abonnements et votre organisation en recherchant d’éventuels problèmes de sécurité. Tout cela est compté sous forme de points ou de pourcentages :

Azure Defender et Azure Sentinel sont deux formidables outils, mais il peut être difficile de les comprendre au premier abord :

  • Azure Defender : version avancée d’Azure Security Center :
    • CSPM (gestion de la posture de sécurité cloud)Security Center est disponible gratuitement pour tous les utilisateurs Azure.
    • Protection de charge de travail cloud (CWP)Azure Defender, garantit une protection avancée et intelligente de vos ressources et charges de travail Azure et hybrides.
  • Microsoft Azure Sentinel = SIEM (Security Information and Event Management) et SOAR (Security Orchestrated Automated Response). Il va pouvoir se connecter à un grand nombre de sources de données pour placer votre œil en face de l’alerte de manière efficace et vous donner des moyens directs d’agir.

J’ai trouvé une vidéo aussi qui détaille bien les deux produits pour vous faire une meilleure idée :

Merci à John Savill 🙂

Intune (Microsoft Endpoint Manager) :

La gestion des Endpoints reste un aspect important de la sécurité, et Intune est là pour vous simplifier la vie. Lorsque les appareils sont inscrits et gérés dans Intune, les administrateurs peuvent par exemple :

  • Consulter les appareils inscrits et obtenir un inventaire des appareils qui accèdent aux ressources de l’organisation.
  • Configurer les appareils pour qu’ils respectent vos normes de sécurité et d’intégrité. Par exemple, vous souhaitez probablement bloquer les appareils jailbreakés.
  • Envoyer des certificats aux appareils pour que les utilisateurs puissent accéder facilement à votre réseau Wi-Fi ou utiliser un VPN pour se connecter à votre réseau.
  • Consulter les rapports sur les utilisateurs et les appareils conformes et non conformes.
  • Supprimer les données de l’organisation si un appareil est perdu, volé ou n’est plus utilisé.
On peut voir dans cette image que Intune peut aussi gérer des données d’entreprise dans des appareils personnels.

Sécurité au sein de Modern Workplace (Microsoft 365) :

On se rapproche ici de beaucoup de sujets abordés sur la certification MS-500. Rassurez-vous ! Aucun cas technique spécifique ne sera abordé dans cette SC-900, mais encore une fois il vous faut comprendre les principaux de concepts pour protéger votre environnement.

Vous retrouverez donc beaucoup d’éléments de sécurité liés aux comportements des utilisateurs dans Microsoft 365, mais aussi sur les données et leur protetion. Attendez-vous à avoir des questions d’ordre général :

  • Quelles sont les mesures en rapport avec Data Loss Prevention?
  • A quoi servent les sensitive labels ?
  • Que peut-on faire avec le service eDiscovery ?
DLP ?

Conclusion

Pour finir, beaucoup de concepts sont abordés dans cette certification. Après l’examen, je peux vous dire que cette certification pourrait être vue comme une première étape d’introduction à la MS-500.

Prenez le temps de suivre le programme donné par Microsoft ici.

Is it Zen, or just the art of getting things done? - BBC Worklife

Prenez surtout le temps de vous familiariser avec ces multiples portails :

Comme vous le voyez, il existe une multitude de portail à explorer pour maîtriser le sujet ! Mais tout n’est pas à connaitre, testez-les et voyez leurs fonctionnalités ne vous fera pas de mal 😉

Je trouve aussi que les Training Days organisés par Microsoft sont un bon moyen de se préparer à cet examen.

Pensez à partager dans les commentaires vos autres sources d’apprentissage, ou votre feedback sur l’examen 😊

J’ai gardé le meilleur pour la faim 😀

Bon examen !