Sommaire
Integration Innovation, Inc. (I3), une société de services d'ingénierie et de technologie de premier plan dans l'industrie aérospatiale et de la défense, a travaillé avec Summit 7 Systems (S7) pour déployer un Microsoft 365 US Government Community (GCC) High Tenant avec l'intention de répondre NIST 800-171, et les exigences relatives aux informations non classifiées contrôlées (CUI) et à la réglementation internationale sur le trafic d'armes (ITAR).
Défi
I3 menait ses opérations sur la plate-forme G-Suite de Google et utilisait des partages de fichiers disparates pour des projets ou des unités commerciales autonomes uniques. De plus, cette entreprise de 500 personnes avait besoin de fonctionnalités de sécurité avancées trouvées dans Microsoft 365 pour se défendre contre l'augmentation des cyberattaques et répondre aux exigences de conformité du supplément DFARS (Defense Acquisition Regulation Supplement) 252.204-7012. I3 voulait une plate-forme avec des capacités natives de gestion des identités et des appareils, ainsi qu'un partenaire pour les guider dans la sécurisation des systèmes d'information utilisés pour soutenir le ministère de la Défense (DoD).
Une autre complexité à laquelle I3 était confrontée et son déploiement dans Microsoft 365 GCC High était le spectre de données sensibles avec lesquelles sa base d'utilisateurs interagissait régulièrement. Les exigences de conformité d'I3 comprenaient des mandats d'étiquetage des données et des documents. Pour répondre à ces exigences de conformité, I3 devait migrer de la plate-forme G-Suite de Google et de ses partages de fichiers disparates vers une plate-forme cloud FedRAMP Moderate plus sécurisée et configurer une stratégie d'étiquetage unifiée.
Stratégie
Pour être conformes à DFARS, les systèmes sur site et dans le cloud doivent être hébergés dans un environnement certifié DISA niveau 4 et FedRAMP modéré. Le sommet 7 a abordé le premier obstacle à la transformation du DFARS et du NIST en suggérant la plate-forme Microsoft 365 GCC High dans le cadre du programme AOS-G (Accord pour les services en ligne du gouvernement). Cet environnement répond de manière unique à FedRAMP High et permet de signaler correctement les incidents au DoD, contrairement à d'autres plates-formes cloud, telles que G-Suite de Google.
I3 et S7 ont mappé les 110 contrôles de sécurité au sein du NIST à plus de 750 configurations respectives au sein de GCC High, Azure Government et Enterprise Mobility Security (EM+S). La solution comprenait une configuration initiale de Azure Active Directory (AAD) et AAD Connect, ainsi qu'une authentification multifactorielle pour compléter une approche de gestion des identités conforme au NIST. En outre, I3 a établi des politiques de prévention des pertes de données (DLP), de protection avancée contre les menaces (ATP) et de protection des informations Azure (AIP) pour étiqueter correctement la CUI et appliquer une sécurité adéquate aux documents et aux données. La solution d'I3 s'est conclue par un déploiement Enterprise Mobility - Intune avec des profils et des politiques de gestion des appareils mobiles (MDM) et de gestion des applications mobiles (MAM), ainsi que des politiques d'accès conditionnel.
Le nombre d'endroits où les données et le contenu peuvent être stockés sur Microsoft Teams, OneDrive, SharePoint, etc. Le NIST demande aux entreprises de sécuriser les données sensibles dans tous les conteneurs, d'en restreindre l'accès, de savoir qui y accède et quand, d'alerter les administrateurs lorsque des personnes malveillantes tentent d'y accéder, etc.
En configurant le locataire Microsoft 365 GCC High, les charges de travail au sein de la plate-forme et les produits EM + S comme AIP, les utilisateurs d'I3 peuvent stocker plus librement CUI dans leur parc de données (Microsoft 365, Azure Government et charges de travail uniques intégrées pour l'architecture sur site et hybride) sans crainte d'échouer à un audit réglementaire. De plus, I3 a bénéficié de cette solution en permettant à ses utilisateurs d'utiliser la plateforme au maximum sans compromettre la conformité. La base d'utilisateurs d'I3 a augmenté l'utilisation de Teams d'un trimestre à l'autre dans les 12 mois suivant le déploiement, qui se poursuit à ce jour.
Résultats
Avec la solution de mise en œuvre NIST, I3 a réalisé les avantages de la consolidation des systèmes d'information, de l'intégration de l'authentification dans toutes les sources de données et de la fourniture d'un volet de sécurité unique sans avoir besoin de plusieurs produits et fournisseurs de sécurité. I3 a pu réduire son portefeuille de fournisseurs de cloud et de sécurité de cinq à un, car Summit 7 a été en mesure de fournir les licences et les services appropriés pour atteindre ses objectifs de sécurité et de conformité.
Sans l'expertise de S7, I3 s'attendait à embaucher du personnel supplémentaire pour près de $300 000 de dépenses et à consacrer des milliers d'heures supplémentaires à la recherche et à la planification pour migrer de leur environnement Google existant et pour sécuriser correctement leur nouvel environnement Office 365 aux normes NIST. À la fin du projet, le responsable d'I3 a expliqué que « le passage à un nouvel environnement cloud était nécessaire, bien que décourageant avec le nombre de complexités de contrôle et de sources de données. Summit 7 a géré notre mise en œuvre et notre conformité avec facilité.