Dans cet article, nous allons aujourd’hui vous expliquer comment sécuriser l’accès aux interfaces Swagger pour les applications ASP.NET Core avec Azure Active Directory....
19 octobre 2022
Read this post in English
Pourquoi se former sur la Cybersécurité ?
Article corédigé par Chéryl Chauvin & Alexandre Nikodem
Avant de s’interroger sur le besoin de formation autour de la cybersécurité, il est important d’en comprendre la définition : faites-vous d’ailleurs la différence entre la cybersécurité et la sécurité informatique ?
Il est intéressant de comprendre les enjeux, les intérêts et les aspects qu’englobe la cybersécurité, une pratique dans laquelle les entreprises consacrent un budget croissant.
Pour cela, les éditeurs mettent en avant des formations d’acculturation et de maîtrise de la sécurité au sein de leur plateforme. Nous aborderons celles proposées par Microsoft.
Sécurité informatique et cybersécurité : deux notions complémentaires
La sécurité informatique et la cybersécurité sont deux disciplines différentes œuvrant pour le même objectif : sécuriser le système d’information, protéger les données, les utilisateurs et les actifs de l’entreprise.
Bien qu’elles soient très proches, ces deux disciplines se focalisent sur un axe bien particulier de la sécurité et doivent travailler de concert.
La sécurité informatique : implémentation de solutions technologiques pour la protection des actifs
En effet, la sécurité informatique va se concentrer sur la protection du système informatique, à savoir, mettre en place les instruments (notamment à travers les outils) de sécurisation des actifs de l’entreprise. Elle s’occupe donc de sécuriser les ressources de l’entreprise contre les piratages et ainsi éviter le vol, la corruption et/ou la divulgation de données sensibles. Afin d’atteindre son objectif de protection, la discipline vise en premier lieu à définir la criticité de chaque actif de l’entreprise en pondérant les critères CIAT :
- Confidentialité de l’information
- Intégrité
- Disponibilité (Availability)
- Traçabilité ou authentification
La pondération de ces critères permet ainsi à l’organisation d’inventorier ses actifs et de les classer par ordre de criticité. En ayant une vue précise, l’entreprise peut ainsi mettre en place les bonnes technologies et outils pour les défendre.
La cybersécurité : définir les politiques, les procédures et les modes opératoires
La cybersécurité quant à elle va se concentrer sur la prévention des risques internes et externes en définissant des plans stratégiques et opérationnels, en s’appuyant sur des Frameworks standardisés (par exemple ISO : 27001, NIST) afin de réduire les risques qu’encoure une entreprise lors de l’utilisation du numérique.
La rédaction d’une Politique de Sécurité du Système d’Information (PSSI) est la première étape de prévention. Cette politique va ainsi guider de bout en bout les actions de l’entreprise et lui permettre d’opérer les bonnes pratiques pour prévoir et éviter les risques de sécurité. Cette politique doit se décliner en procédures qui définiront un cadre de travail par point de contrôle ou activité comme la sécurité réseau, la sécurité des applications, la reprise après un sinistre, etc. Enfin, chaque procédure devra être déclinée en mode opératoire pour la mise en application réelle dans l’entreprise.
Des enjeux considérables
Les cyberattaques sont de plus en plus fréquentes : d’après l’ANSSI (Agence nationale de la sécurité des systèmes d’information), le nombre d’intrusions avérées dans des systèmes d’information signalées à l’ANSSI a augmenté de 37% entre 2020 et 2021. La sécurité informatique et la cybersécurité permettent de prévenir et lutter contre l’espionnage, les attaques, le ransomware, le phishing et bien plus encore, d’autant qu’aucun secteur n’est épargné (bien que certains secteurs restent des cibles favorites). Les principaux enjeux pour les entreprises sont économiques et juridiques.
Les entreprises sont bien conscientes de l’impact de ces diverses attaques internes et/ou externes. En effet, d’après une étude mc2i et ICD, 70% des entreprises françaises de plus de 500 salariés ont augmenté leurs dépenses en cybersécurité au cours de l’année 2021, contre 45% en 2020. Un chiffre qui devrait continuer de grimper car 55% des entreprises déclarent vouloir augmenter leurs dépenses en sensibilisation des salariés, considérée comme une priorité pour les deux prochaines années par 64% des répondants.
Au vu de ces éléments, se former à la cybersécurité est un gage d’employabilité et de sécurité de l’emploi.
Un nouveau parcours de formation Microsoft dédié à la sécurité dans Azure
Début 2022, Microsoft a lancé un nouveau parcours de formation axé sur la sécurité informatique et la cybersécurité dans Azure et O365. Ce parcours se décompose en parcours de formation à 2 niveaux :
- Un niveau d’introduction avec la formation « SC-900 : Microsoft Security, Compliance, and Identity Fundamentals» permettant de revoir les bases et avancer avec un socle solide.
- Ensuite plusieurs briques viennent se compléter :
- SC-100 : Microsoft Cybersecurity Architect
- Cette formation vous permettra de concevoir une stratégie et une architecture Zero Trust, concevoir la sécurité pour l’infrastructure, concevoir une stratégie pour les données et les applications, évaluer les stratégies techniques de gouvernance et de conformité aux risques et les stratégies d’opérations de sécurité.
- SC-200 : Microsoft Security Operations Analyst
- Cette formation est axée sur la prévention et l’atténuation des menaces avec Microsoft 265 Defender, Microsoft Defender pour le Cloud et Microsoft Sentinel.
- SC-300 : Microsoft Identity and Access Administrator
- Cette formation vous aidera à configurer et gérer l’authentification et l’autorisation des identités pour les utilisateurs, les appareils, les ressources Azure et les applications.
- SC-400 : Microsoft Information Protection Administrator
- Cette formation vous permettra d’implémenter la gouvernance et la protection des informations ainsi que d’implémenter une protection contre la perte des données.
- SC-100 : Microsoft Cybersecurity Architect
Pour chaque formation suivie chez Cellenza Training :
- Le support de cours officiel Microsoft est inclus
- Un environnement pratique vous est assigné et reste accessible jusqu’à 180 jours après la formation. Vous pourrez ainsi revoir les notions apprises en formation.
- Un voucher de certification d’une valeur de 165€ est offert pour votre passage de certification.
- Vous êtes formé par un consultant formateur Cellenza Training.
Vous hésitez encore ? Découvrez les 8 raisons d’être certifié Microsoft Azure !
Vous souhaitez en savoir plus sur la Sécurité dans le Cloud ? Retrouvez tous les articles de cette série :
- La cybersécurité : un enjeu stratégique pour les entreprises
- Les enjeux de la cybersécurité face à l’évolution des systèmes d’information
- Déléguer la gestion des utilisateurs et des équipements dans Azure AD et Intune
- La gestion des identités dans Azure Kubernetes Services (AKS)
- Azure Sphere : la cybersécurité pour qui, quoi, quand et comment ?
- Concilier Agilité et Sécurité : le manifeste Agile et l’OWASP à notre secours !
- La sécurité dans GitHub
