Le modèle de responsabilité partagée Azure
Comme pour Microsoft 365, Azure applique un modèle de responsabilité partagée. Microsoft est responsable de la sécurité physique des datacenters, des hyperviseurs et du réseau backbone. Vous êtes responsable de tout le reste : configuration réseau, hardening des VMs, gestion des identités, chiffrement des données, patching OS et applicatif.
En pratique, cela signifie qu'un serveur Azure « out of the box » est aussi vulnérable qu'un serveur on-premise non durci. La différence, c'est qu'il est accessible depuis Internet.
Windows 365 Enterprise vs Azure Virtual Desktop : quel choix pour votre PME ?
Windows 365 Enterprise — le PC cloud dédié
Windows 365 Enterprise fournit un PC cloud dédié par utilisateur. Chaque utilisateur dispose de sa propre VM Windows avec CPU, RAM et stockage dédiés :
- Provisionnement via Intune : déploiement automatique, politiques de conformité, configuration Autopilot.
- Performances prévisibles : pas de contention avec d'autres utilisateurs. Idéal pour les profils qui utilisent des applications lourdes (CAO, comptabilité, développement).
- Accès universel : accessible depuis n'importe quel appareil — PC ancien, Mac, tablette, navigateur web. Le traitement se fait dans le cloud.
- Coût fixe : facturation mensuelle prévisible par utilisateur (30€ à 60€/mois selon la configuration).
Azure Virtual Desktop — le multi-session économique
AVD permet à plusieurs utilisateurs de partager les mêmes VMs via Windows 11 Enterprise multi-session :
- Économique : les ressources sont partagées, ce qui réduit le coût par utilisateur (15€ à 35€/mois).
- Connexion inversée : aucun port réseau entrant n'a besoin d'être ouvert. La connexion est initiée depuis l'intérieur d'Azure vers le service AVD — pas de RDP exposé.
- Applications métier partagées : idéal pour les équipes qui utilisent les mêmes applications (ERP, CRM, outils de gestion).
- Auto-scaling : les VMs s'allument et s'éteignent automatiquement selon la charge — vous ne payez que ce que vous consommez.
Tableau comparatif
| Critère | Windows 365 Enterprise | Azure Virtual Desktop |
|---|---|---|
| Modèle | PC cloud dédié | Multi-session partagé |
| Coût | Fixe (30-60€/user/mois) | Variable (15-35€/user/mois) |
| Performances | Dédiées, prévisibles | Partagées, variables |
| Provisionnement | Intune / Autopilot | Azure Portal / ARM |
| Cas d'usage | Utilisateurs nomades, apps lourdes | Équipes standards, apps partagées |
| Disponibilité | Toujours allumé | Auto-scaling |
En pratique, nous déployons souvent les deux : W365 pour les dirigeants, commerciaux et profils techniques, AVD pour les équipes administratives et les environnements d'applications partagées.
Sécurisation réseau Azure : NSG, vMX et Azure Bastion
Network Security Groups (NSG) — le pare-feu Azure
Les NSG sont les règles de filtrage réseau dans Azure. Par défaut, ils sont souvent trop permissifs. Voici notre approche :
- Deny all par défaut : on bloque tout le trafic entrant, puis on ouvre uniquement les flux nécessaires.
- Règles granulaires : filtrage par IP source, port, protocole — sur chaque subnet et chaque NIC.
- Journalisation NSG Flow Logs : chaque flux réseau est enregistré pour l'analyse forensic et la détection d'anomalies.
- Application Security Groups (ASG) : regroupement logique des VMs par rôle (web, app, DB) pour simplifier la gestion des règles.
Tunnel VPN SD-WAN / vMX — la connectivité hybride
Pour les PME avec des ressources on-premise et Azure, nous déployons un vMX (Meraki Virtual MX) :
- Le vMX est une appliance virtuelle Meraki déployée dans Azure.
- Il crée un tunnel IPsec natif avec votre Meraki MX ou SD-WAN on-premise.
- Vos utilisateurs accèdent aux ressources Azure comme s'ils étaient sur le réseau local — sans exposer de port public.
- Le tunnel est chiffré, redondant et supervisé 24/7 via le dashboard Meraki.
Azure Bastion — l'accès admin sans port ouvert
Azure Bastion permet l'accès RDP/SSH aux VMs Azure via le portail web — sans aucun port public ouvert :
- Pas de RDP 3389 ou SSH 22 exposé sur Internet.
- Authentification via Entra ID avec MFA obligatoire.
- Session enregistrée pour l'audit et la traçabilité.
Defender for Cloud : le score de sécurité Azure
Defender for Cloud est le centre de commande de la sécurité Azure. Il évalue en continu votre posture de sécurité via un Secure Score (0 à 100%) :
Ce que nous activons et surveillons
- Secure Score : objectif minimum de 80%. Chaque recommandation non appliquée fait baisser le score.
- Defender for Servers : protection des VMs avec analyse des vulnérabilités intégrée (Qualys), détection des comportements suspects et alertes en temps réel.
- Defender for Storage : détection des accès anormaux aux comptes de stockage et des uploads de malware.
- Just-in-Time (JIT) VM Access : les ports de management (RDP, SSH) sont fermés par défaut et ouverts temporairement sur demande — avec approbation et journalisation.
- Adaptive Network Hardening : Defender analyse les flux réseau réels et recommande des règles NSG plus restrictives.
Les alertes Defender for Cloud sont remontées à notre SOC managé 24/7 pour une réponse immédiate. Combiné à Defender for Endpoint sur chaque VM, c'est une protection cloud-native complète.
Hardening des VMs Azure — benchmarks CIS
Un serveur Azure non durci est une cible facile. Nous appliquons les CIS Benchmarks for Azure sur chaque VM :
- Services inutiles désactivés : Print Spooler, Windows Remote Management en mode ouvert, services legacy.
- Chiffrement des disques : Azure Disk Encryption (BitLocker pour Windows, dm-crypt pour Linux) sur 100% des VMs.
- Droits admin contrôlés : RBAC Azure + PIM (Privileged Identity Management) pour les accès admin — élévation temporaire, justifiée et tracée.
- Azure Policy : politiques de conformité appliquées automatiquement. Impossible de déployer une VM non conforme.
- Patching automatique : Azure Update Management + notre RMM pour le patching OS et applicatif.
Migration cloud sécurisée : notre méthodologie
Nous ne nous contentons pas de sécuriser Azure — nous vous y amenons. Voici notre approche :
Phase 1 — Audit & architecture (1-2 jours)
- Cartographie de l'infrastructure existante (serveurs, AD, applications, données).
- Définition de l'architecture Azure cible : W365/AVD pour les postes, VMs pour les serveurs, Azure Files pour le stockage.
- Estimation des coûts mensuels Azure.
- Définition du plan de migration par lots.
Phase 2 — Préparation & sécurisation (3-5 jours)
- Création du tenant Azure et configuration réseau (VNets, subnets, NSG).
- Déploiement du vMX et du tunnel VPN SD-WAN.
- Configuration Entra ID, accès conditionnel et MFA.
- Activation Defender for Cloud, Azure Policy et Azure Backup.
Phase 3 — Migration progressive (1-4 semaines)
- Migration des serveurs par lots : AD, fichiers, applications métier.
- Déploiement W365/AVD pour les utilisateurs.
- Tests de connectivité, performances et sécurité à chaque étape.
- Formation des utilisateurs et des admins.
Phase 4 — Supervision continue
- Monitoring 24/7 via notre SOC.
- Scans de vulnérabilités mensuels sur les VMs Azure.
- Patching, ajustements Azure Policy et support illimité.
- Sauvegarde Azure Backup supervisée et testée trimestriellement.
Intégration avec l'écosystème Dhala
La sécurisation Azure s'intègre avec l'ensemble de nos services :
- Sécurisation des postes et serveurs : même hardening CIS, même patching, même RMM sur vos VMs Azure et vos postes locaux.
- EDR/XDR & SOC managé : Defender for Endpoint sur chaque VM Azure, supervisé par notre SOC 24/7.
- Gestion des identités (IAM) : Entra ID, accès conditionnel et PIM pour contrôler qui accède à quoi dans Azure.
- Gestion de flotte MDM : Intune pour provisionner et sécuriser les postes W365 et les appareils qui accèdent à AVD.
- Sauvegarde & PRA : Azure Backup pour les VMs, Datto SIRIS pour le PRA, sauvegarde M365 incluse.
- Pare-feu Meraki : SD-WAN et vMX pour la connectivité hybride sécurisée.
