Blog IDECSI

Sécurité des outils collaboratifs Microsoft : 3 RSSI en débat

Rédigé par Mona Piquet | Oct 17, 2019 8:55:39 AM

Comment dans l’entreprise, allier l’usage du numérique et ses bénéfices à la sécurité de ces données ? Se pose notamment la question de la maîtrise des accès, des partages d’informations, des configurations avec une visibilité toute relative, et un utilisateur de plus en plus autonome en matière de collaboration.

Retour d'expérience : Sécurité d’Office 365 et des espaces collaboratifs

Lors des Assises de la sécurité 2019, IDECSI a animé un atelier table ronde sur la thématique : Sécurité Office 365 et des espaces collaboratifs, quelle stratégie ? quels enjeux ?

Cet atelier a été animé par Daniel Benabou, Directeur Général d'IDECSI et a fait intervenir 3 RSSI sur ce sujet : 

  • Wilfried Laumond, Head of Risk Monitoring & Services de SANOFI
  • Vincent Gapaillard, RSSI de LAGARDÈRE TRAVEL RETAIL
  • David Hoze, RSSI Adjoint de KERING et Directeur de Wise partners

Les temps forts de l'atelier des Assises

Aujourd’hui, le marché des outils collaboratifs est en pleine expansion. L'irrésistible ascension de Microsoft Teams depuis sa création en 2017 en témoigne : 33% des parts de marché en 2019 vs 6% en 2018. [1]

En parallèle, selon une étude de Juillet 2019, 40% des entreprises de plus de 5 000 salariés ont vu un ou plusieurs comptes Office 365 de leurs collaborateurs piratés durant 2018. [2]

Sécurité d’Office 365 : problématiques de sécurité des données, des applications et des utilisateurs

Le groupe KERING a déployé les outils collaboratifs de Microsoft 365 auprès de ses 35 000 collaborateurs avec plus de 10 DSI différentes, plusieurs marques et un tenant Office 365.

David Hoze, RSSI adjoint du groupe Kering témoigne :
"On ne sait pas comment les collaborateurs vont utiliser les outils, la phase d’observation (monitoring) est très importante avant de mettre en place un dispositif sécurité adapté"

Ensuite Vincent Gapaillard, RSSI du groupe Lagardère Travel Retail témoigne :
"La sécurité était sous évaluée lors du projet migration O365. Nous avons fait face à un manque de visibilité. Le monitoring des accès, des partages, des changements de configuration dans O365 est primordial pour reprendre le contrôle."

Lagardère Travail Retail, c'est 18 000 collaborateurs dans 30 pays avec 20 SI et DSI autonomes sur 10 tenants Office 365.

Wilfried Laumond, Head of Risk Monitoring & Services, raconte le voyage Office 365 et les 3 principaux cyber challenges :

  • Le data monitoring (vers l'automatisation et le contrôle pour gérer tout comportement suspicieux),
  • l'accès conditionnel (les données sont accessibles via un environnement managé),
  • la data ownership (le propriétaire de la données et le cycle de vie de la donnée sont maitrisés).

Ce dernier travaille pour le groupe SANOFI avec 150 000 collaborateurs, dont 75 000 utilisateurs migrés sur Office 365 d'ici 2019.

"Avec O365, il y a un changement de paradigme dans la gestion et l’analyse des logs tellement il y a d’évènements et d’évolutions MS. Le data monitoring est indispensable et possible grâce à IDECSI."

Quels impacts avez-vous observé vis-à-vis de l’utilisation des espaces collaboratifs et des règles d’utilisation sur la sécurité ?

Kering : "Seul l'utilisateur est capable de valider ou non une information à son niveau, il faut qu’il soit responsable de la sécurité de ses données : Développer une culture sécurité d’entreprise"

Lagardère : "Donner de la visibilité permet également de démystifier la sécurité auprès des utilisateurs."

Sanofi : "L’accompagnement au changement est vraiment important, O365 c’est un ‘voyage’ avec les métiers et la Digital Workplace. Il faut donner les bons outils aux utilisateurs pour qu’ils soient autonomes : la self sécurité."

La nécessité d’embarquer la sécurité dans le projet de manière positive pour l’utilisateur avec de la visibilité et les bons outils par exemple semble incontournable. Il faut réussir à en faire un sujet positif pour l’utilisateur souvent contraint de suivre les protocoles de sécurité qui ne sont pas intégrés et adaptés à ses usages. La sécurité ne peut plus être traitée comme un sujet indépendant. Il ne faut pas avoir peur du changement ; ni de responsabiliser l’utilisateur dans son approche de la cybersécurité.

[1] Selon le dernier sondage JDN / Club Décision DSI, la part de marché de la messagerie collaborative de Microsoft Teams, a bondi de 6 à 33% entre 2018 et 2019.
[2] Etude Cyren and Osterman research