Vue d’ensemble de la sécurité Surface
À mesure que les cybermenaces évoluent, les stratégies pour les combattre doivent également évoluer. Microsoft Surface adopte une approche proactive et « Confiance nulle » pour traiter les menaces émergentes en incorporant des fonctionnalités de sécurité avancées à tous les niveaux par défaut, du matériel aux services cloud, de la conception du produit à la mise hors service, garantissant que les appareils Surface restent hautement sécurisés, adaptables et résilients tout au long de leur cycle de vie.
La sécurité de la puce vers le cloud est au cœur de la stratégie Surface. Nous fournissons des protections de plateforme fortes avec de puissantes fonctionnalités de sécurité Windows 11 activées par défaut. À mesure que nous avançons vers un avenir basé sur l’IA, Surface aide les organisations à renforcer leur posture de sécurité sur le matériel, le système d’exploitation, les données, les applications et l’identité avec une base de protection intégrée.
Chaîne d’approvisionnement Surface sécurisée
Pour garantir que les appareils Surface sont « sécurisés par conception, sécurisés par défaut et sécurisés dans le déploiement », Microsoft applique des contrôles de sécurité rigoureux tout au long du cycle de vie du produit. Ces contrôles couvrent à la fois les composants matériels et logiciels physiques. Les appareils Surface sont soumis à des examens de sécurité stricts, depuis la conception, le développement, la production, la livraison et la maintenance. Ces révisions de sécurité complètes prennent en charge une chaîne de confiance transparente tout au long du cycle de vie de l’appareil.
Au niveau de la fabrication, Microsoft effectue régulièrement des audits de fournisseurs pour prévenir les menaces potentielles telles que les rançongiciels, l’hameçonnage et les programmes malveillants. En outre, les appareils Surface bénéficient également des programmes de sécurité du Partenariat douanier-commerce contre le terrorisme (C-TPAT) et de la Transported Asset Protection Association (TAPA), qui protègent davantage le commerce mondial et soutiennent une logistique sécurisée pour l’expédition des appareils Surface dans le monde entier.
Pour les logiciels, Microsoft a développé le cycle de vie de développement sécurisé (SDL) et a appliqué ce framework à tous les produits pour s’adapter de manière proactive à l’évolution du paysage des menaces et aux exigences réglementaires telles que l’ordonnance 14028 des États-Unis (« Amélioration de la cybersécurité de la nation »). En outre, Microsoft et ses fournisseurs doivent signer numériquement les composants logiciels, utiliser des canaux et des protocoles sécurisés pour la communication, et fournir des mises à jour régulières et en temps voulu aux appareils Surface pour résoudre les problèmes potentiels. Enfin, le développement UEFI Surface s’associe au projet Mu open source de Microsoft pour fournir une pile UEFI (Unified Extensible Firmware Interface) entièrement détenue par Microsoft pour chaque appareil Surface, ce qui réduit la dépendance vis-à-vis des fournisseurs de microprogrammes non-Microsoft, offrant transparence et protection pour les niveaux les plus bas et les plus sensibles de votre appareil.
En détenant à la fois la conception matérielle et le développement de microprogrammes, Microsoft réduit les risques liés à la chaîne d’approvisionnement, ce qui permet des réponses rapides aux vulnérabilités potentielles. Grâce à ces pratiques proactives, les appareils Surface sont conçus pour répondre aux normes les plus élevées en matière de sécurité de la chaîne logistique numérique et physique. Cette approche unifiée et interne améliore la sécurité des appareils Surface avant même qu’ils ne quittent l’usine.
Microsoft a conçu & composants générés
Microsoft conçoit et gère les appareils Surface pour offrir aux clients un contrôle complet, une protection proactive et une tranquillité d’esprit dans n’importe quel environnement de travail. Les appareils Surface sont équipés des principales fonctionnalités de sécurité de Microsoft pour vous protéger contre les attaques sophistiquées et simplifier la gestion des appareils.
Sécurité Intégrée de Surface
À partir du moment où vous appuyez sur le bouton d’alimentation jusqu’à l’arrêt de votre appareil, Surface offre une sécurité intégrée de pointe tout au long de son cycle de vie.
Chaque appareil Surface exécutant Windows 11 prête à l’emploi utilise un module de plateforme sécurisée (TPM) 2.0 qui permet de garantir l’intégrité de la plateforme en empêchant la falsification et la gestion des clés de chiffrement pour diverses opérations sécurisées. Le module TPM prend en charge la racine matérielle de confiance, un module dédié qui permet de créer une limite de sécurité basée sur le matériel pour garantir que l’appareil démarre dans un état approuvé. Ensemble, le TPM et la racine de confiance fonctionnent comme une ancre sécurisée pour le chiffrement intégré et les opérations sécurisées, établissant la base de sécurité pour BitLocker, la sécurité basée sur la virtualisation (VBS),l’intégrité de la mémoire/HVCI, la sécurité Sign-In renforcée (ESS) pour Windows Hello Entreprise et d’autres opérations sécurisées.
Grâce aux vérifications de virtualisation et d’intégrité fournies respectivement par VBS et HVCI, le noyau de l’appareil est hébergé séparément du système d’exploitation pour un noyau sécurisé, ce qui signifie que même si le système d’exploitation est compromis, le noyau est toujours protégé. De plus , la protection DMA du noyau permet de protéger la mémoire de l’appareil contre les attaques de lecteur d’accès direct à la mémoire (DMA) en sécurisant le noyau contre les périphériques externes qui obtiennent un accès non autorisé à la mémoire.
Pour prendre en charge l’intégrité du démarrage de l’appareil lors de la mise sous tension, le démarrage sécurisé utilise la racine de confiance de l’appareil pour empêcher l’exécution du microprogramme non autorisé au moment du démarrage. Activé par UEFI et TPM 2.0 créés par Microsoft, il permet de garantir que seul le microprogramme autorisé s’exécute avant le chargement du système d’exploitation. Ce microprogramme doit provenir de Microsoft, de ses fournisseurs de matériel indépendants (IVS) ou de référentiels open source approuvés et rester inchangé pendant le transit et l’approvisionnement sur l’appareil. Ce processus protège l’intégrité du microprogramme à chaque étape de la séquence de démarrage, de l’appui sur le bouton d’alimentation au lancement du système d’exploitation. Dans le cadre de System Guard lancement sécurisé, les appareils Surface protègent également le démarrage à l’aide de la mesure dynamique de la racine de confiance (DRTM) ou de la réduction de la surface d’attaque du microprogramme (FASR)1, qui établissent une racine de confiance basée sur le matériel conçue pour garantir l’intégrité du processus de démarrage et se défendre contre les attaques au niveau du microprogramme.
La plupart de ces fonctionnalités de sécurité prêtes à l’emploi constituent la base de ScpC (Secured-Core PC), qui intègre du matériel, du microprogramme et de la virtualisation pour protéger les appareils contre diverses menaces, notamment les programmes malveillants, les problèmes de possession physique (comme la perte ou le vol) et les attaques d’accès. SCPC permet de protéger les données même si un appareil est compromis.
Depuis fin 2021, chaque appareil Surface exécutant Windows 11 est un PC Secured-Core, avec le niveau de protection le plus élevé activé prête à l’emploi. Les fonctionnalités de sécurité suivantes sont un sous-ensemble de ces fonctionnalités activées par défaut pour tous les appareils Surface SCPC :
| Fonctionnalité | Description | Pour en savoir plus |
|---|---|---|
| Module de plateforme sécurisée (TPM) 2.0 | Un cryptoprocesseur sécurisé pour garantir l’intégrité de la plateforme en fournissant des mécanismes de sécurité pour empêcher la falsification et générer et gérer des clés de chiffrement pour des fonctions telles que le déverrouillage du lecteur système, le chiffrement de disque, la mesure du processus de démarrage et l’authentification biométrique. | Vue d’ensemble de la technologie de module de plateforme sécurisée |
| Racine matérielle de confiance | Permet d’établir un état de démarrage approuvé en appliquant les fonctionnalités de TPM et de mesure de la racine de confiance de l’appareil pour atténuer les vulnérabilités du microprogramme. Il crée une limite de sécurité basée sur le matériel, isolant la mémoire système du système d’exploitation pour protéger les services critiques et les données sensibles contre les vulnérabilités du système d’exploitation, en prenant en charge l’intégrité du système via l’attestation. | Racine de confiance matérielle |
| BitLocker | Fournit un chiffrement pour traiter les menaces de vol de données ou d’exposition de données à partir d’appareils perdus, volés ou injustement désaffectés. Lorsqu’il est activé, BitLocker permet de s’assurer que les données restent inaccessibles même si l’appareil tombe entre des mains non autorisées. | Vue d’ensemble de BitLocker |
| Sécurité basée sur la virtualisation (VBS) | Utilise la virtualisation matérielle pour créer et isoler une région sécurisée de mémoire du système d’exploitation standard. Windows peut utiliser ce « mode sécurisé virtuel » pour héberger un certain nombre de solutions de sécurité, afin de protéger les opérations sécurisées contre les vulnérabilités ou les attaques potentielles dans le système d’exploitation. | Sécurité basée sur la virtualisation (VBS) |
|
Intégrité de la mémoire Également connu sous le nom d’intégrité du code appliqué par l’hyperviseur (HVCI) |
Permet de maintenir l’intégrité du code dans le noyau, une zone hautement privilégiée du système d’exploitation. Il vérifie tous les pilotes et fichiers binaires en mode noyau avant l’exécution et bloque le chargement en mémoire des pilotes ou fichiers système non signés. Fonctionnant dans un environnement isolé, il vérifie l’intégrité du code du noyau conformément à la stratégie de signature du noyau. | Activer la protection basée sur la virtualisation de l'intégrité du code |
| Sécurité Sign-In renforcée (ESS) | Utilise VBS et TPM 2.0 pour la communication isolée et sécurisée de la biométrie pour l’authentification afin d’activer Windows Hello avec une connexion biométrique sans mot de passe. | Windows Hello Entreprise connexion à la sécurité renforcée (ESS) |
| Windows Hello Entreprise | Autorise la connexion sans mot de passe à l’aide de l’authentification à deux facteurs basée sur la biométrie sécurisée (ESS) ou le code confidentiel et les informations d’identification spécifiques à l’appareil liées à votre identité d’entreprise. Cette méthode d’authentification offre une sécurité et une commodité élevées pour les utilisateurs. | Fonctionnement de Windows Hello Entreprise |
| Noyau sécurisé | Fonctionne dans un environnement virtualisé pour se protéger du système d’exploitation Windows en veillant à ce que toutes les vérifications de la stratégie d’intégrité du code réussissent. Utilise VBS et HVCI pour un environnement isolé pour la protection du noyau contre les vulnérabilités potentielles du système d’exploitation. | Noyau sécurisé |
| Protection DMA du noyau | Protège contre les périphériques externes contre l’accès non autorisé à la mémoire. Permet de se protéger contre les attaques DMA drive-by. | Protection DMA du noyau |
| UEFI intégré par Microsoft | Microprogramme qui configure l’appareil et démarre le système d’exploitation développé conjointement par Microsoft et Surface. Fournit des services d’exécution de microprogramme et, avec Microsoft Intune, améliore considérablement le contrôle du matériel via la gestion cloud ou locale. |
Surface UEFI : évolution dans le démarrage, la sécurité & la gestion des appareils pour créer un PC sécurisé de pointe Gérer les paramètres UEFI Surface |
| Démarrage sécurisé | Garantit qu’un appareil démarre uniquement les logiciels approuvés en vérifiant la signature de chaque élément du logiciel de démarrage avant de passer à l’étape de démarrage suivante. Ce processus établit des transferts appliqués par signature entre les environnements UEFI, bootloader, noyau et application pour bloquer les attaques de programmes malveillants ou d’autres menaces potentielles dans la séquence de démarrage. | Démarrage sécurisé |
| Mesure de la racine dynamique de confiance (DRTM) | Démarre l’appareil d’un état non approuvé dans un état approuvé en forçant les processeurs à descendre un chemin de code connu et mesuré pour une racine matérielle de confiance établie dynamiquement pendant l’exécution afin de prendre en charge l’intégrité du système. | Forcer la mesure et l’attestation du code du microprogramme par le lancement sécurisé sur Windows 10 |
| Réduction de la surface d’attaque du microprogramme (FASR) | Établit un chemin de démarrage certifié qui réduit l’exposition du microprogramme aux attaques potentielles en limitant le code exécutable dans l’environnement du microprogramme. | Réduction de la surface d’attaque du microprogramme (FASR) |
Avantage de la sécurité commerciale surface
Gestion à distance
Les administrateurs informatiques peuvent gérer à distance les appareils Surface. Microsoft Intune centre d’administration avec Intune et Windows Autopilot permet une gestion à distance complète des appareils Surface à partir du cloud Azure, en fournissant des appareils entièrement configurés aux utilisateurs au démarrage. Les fonctionnalités de réinitialisation et de mise hors service permettent au service informatique de réaffecter rapidement un appareil pour un nouvel utilisateur distant ou de réinitialiser un appareil qui a été volé. Ces fonctionnalités permettent des réponses rapides et sécurisées, ce qui permet la suppression à distance de toutes les données de l’entreprise et la reconfiguration d’une Surface en tant qu’appareil entièrement nouveau.
Dans le cadre de Microsoft Intune, l’interface de configuration du microprogramme d’appareil (DFCI) permet la gestion basée sur le cloud des paramètres de microprogramme, notamment la désactivation à distance du matériel et le verrouillage des paramètres UEFI. Comme alternative similaire, le mode de gestion d’entreprise (SEMM) surface est une autre solution de gestion pour sécuriser et gérer les paramètres du microprogramme dans un organization.
Sécurité réactive
Dans une ère numérique en évolution rapide, la capacité à réagir rapidement et de manière proactive est primordiale. Microsoft Defender pour point de terminaison offre une protection en temps réel basée sur l’IA contre les menaces avancées, ce qui permet de protéger les données et les communications sensibles. Les organisations tirent parti de la puissance de Windows Update entreprise en utilisant une pile de microprogrammes et d’applications de système d’exploitation gérées par Microsoft. Ce service maintient les systèmes à jour avec les dernières protections de sécurité et permet la gestion informatique des appareils déjà commandés.
| Fonctionnalité | Description | Pour en savoir plus |
|---|---|---|
| Microsoft Intune | Solution de gestion des points de terminaison basée sur le cloud qui aide les organisations à gérer l’accès utilisateur, les applications et les appareils, garantissant ainsi un accès sécurisé aux ressources d’entreprise. Il prend en charge le modèle de sécurité Confiance nulle en appliquant la conformité des appareils, en l’intégrant aux services de défense et en protégeant les données d’identité et d’application. | Microsoft Intune gère en toute sécurité les identités, gère les applications et gère les appareils |
| Windows Autopilot | Permet la configuration et la préconfiguration basées sur le cloud des nouveaux appareils pour les préparer à une utilisation productive et réduire les contraintes pour les administrateurs informatiques. Il peut également être utilisé pour réinitialiser, réaffecter ou récupérer des appareils afin de simplifier le cycle de vie des appareils Windows. | Vue d’ensemble de Windows Autopilot |
| Device Firmware Configuration Interface (DFCI) | Permet la gestion à distance des paramètres UEFI sur les appareils inscrits dans Windows Autopilot et gérés via Microsoft Intune. Il permet de contrôler à distance les paramètres du microprogramme, de désactiver les composants matériels et d’appliquer des configurations autorisées pour renforcer la sécurité des appareils. | Gérer DFCI sur les appareils Surface |
| Surface Enterprise Management Mode (SEMM) | Permet une gestion centralisée des paramètres de microprogramme UEFI dans les environnements locaux, hybrides et cloud. Permet aux administrateurs informatiques de préparer les paramètres de configuration UEFI et de les installer sur les appareils Surface. | Bien démarrer avec le mode de gestion d’entreprise de Surface |
| Microsoft Defender pour point de terminaison | Plateforme de sécurité de niveau entreprise qui détecte, empêche et répond aux menaces sophistiquées. Fournit une sécurité de point de terminaison robuste basée sur l’IA pour les appareils Surface gérés. | Microsoft Defender pour point de terminaison |
| Windows Update for Business | Permet aux administrateurs informatiques de maintenir les appareils clients Windows de leur organization toujours à jour avec les dernières mises à jour de sécurité et fonctionnalités Windows en connectant directement ces systèmes au service Windows Update. | Qu’est-ce que Windows Update pour Entreprise ? |
Mise à l’échelle de la sécurité
À mesure que le paysage des menaces évolue, Surface commence à adopter davantage de fonctionnalités de sécurité dans certains appareils. Ces fonctionnalités doivent encore être intégrées à l’ensemble du portefeuille de produits Surface, mais elles seront mises à l’échelle dans différentes gammes de produits au cours des prochaines années. Voici quelques fonctionnalités de sécurité spécifiques au produit :
| Fonctionnalité | Description | Pour en savoir plus |
|---|---|---|
| Extension de la sécurité de la mémoire | Le langage de programmation Rust garantit certaines garanties de sécurité de la mémoire qui peuvent réduire jusqu’à 70 % des vulnérabilités par rapport au code C traditionnel. Les composants ciblés dans les logiciels et microprogrammes Surface sont en cours de traduction en Rust, en commençant par des parties des piles UEFI et MCU (Microcontroller Unit), ainsi que la création d’une infrastructure de pilote pour le développement de pilotes Rust. |
Prise en charge de Rust pour le développement UEFI par le biais du projet Mu Plateforme de développement de pilote Rust open source |
| Processeur de sécurité Microsoft Pluton | Le processeur de sécurité Microsoft Pluton est un cryptoprocesseur sécurisé intégré au processeur pour la sécurité au niveau du cœur de l’appareil. | Sous-traitant de sécurité Microsoft Pluton |
| Microsoft Pluton TPM | Microsoft Pluton prend en charge TPM 2.0 pour une racine de confiance en silicium afin de protéger les informations sensibles et les clés de chiffrement. Il prend également en charge l’ingestion des améliorations de sécurité via Windows Mises à jour. | Microsoft Pluton as Trusted Platform Module |
| Copilot+ PC | LES PC avec des unités de traitement neuronales (NPU) intégrées qui accélèrent les expériences et les opérations d’intelligence artificielle (IA) au sein de l’appareil. | En savoir plus sur les PC Copilot+ et les PC Windows 11 à partir de Surface |
Bien que ces fonctionnalités de sécurité soient mises à l’échelle, d’autres appareils Surface les intégreront par défaut à leurs produits. Par instance, les PC Copilot+, les nouveaux PC Windows dotés d’unités de traitement neuronales (NPU) intégrées qui accélèrent les expériences et les opérations d’intelligence artificielle (IA) au sein de l’appareil, contiennent le processeur Microsoft Pluton activé par défaut en plus de la suite complète de fonctionnalités de sécurité Surface décrites sur cette page.
Références
La fonctionnalité FASR est exclusive aux produits Surface conçus par Intel. FaSR ne s’applique pas aux produits Surface conçus avec des processeurs Qualcomm (QC) ou AMD.