Comment dans l’entreprise, allier l’usage du numérique et ses bénéfices à la sécurité de ces données ? Se pose notamment la question de la maîtrise des accès, des partages d’informations, des configurations avec une visibilité toute relative, et un utilisateur de plus en plus autonome en matière de collaboration.
Lors des Assises de la sécurité 2019, IDECSI a animé un atelier table ronde sur la thématique : Sécurité Office 365 et des espaces collaboratifs, quelle stratégie ? quels enjeux ?
Cet atelier a été animé par Daniel Benabou, Directeur Général d'IDECSI et a fait intervenir 3 RSSI sur ce sujet :
Aujourd’hui, le marché des outils collaboratifs est en pleine expansion. L'irrésistible ascension de Microsoft Teams depuis sa création en 2017 en témoigne : 33% des parts de marché en 2019 vs 6% en 2018. [1]
En parallèle, selon une étude de Juillet 2019, 40% des entreprises de plus de 5 000 salariés ont vu un ou plusieurs comptes Office 365 de leurs collaborateurs piratés durant 2018. [2]
Le groupe KERING a déployé les outils collaboratifs de Microsoft 365 auprès de ses 35 000 collaborateurs avec plus de 10 DSI différentes, plusieurs marques et un tenant Office 365.
David Hoze, RSSI adjoint du groupe Kering témoigne :
"On ne sait pas comment les collaborateurs vont utiliser les outils, la phase d’observation (monitoring) est très importante avant de mettre en place un dispositif sécurité adapté"
Ensuite Vincent Gapaillard, RSSI du groupe Lagardère Travel Retail témoigne :
"La sécurité était sous évaluée lors du projet migration O365. Nous avons fait face à un manque de visibilité. Le monitoring des accès, des partages, des changements de configuration dans O365 est primordial pour reprendre le contrôle."
Lagardère Travail Retail, c'est 18 000 collaborateurs dans 30 pays avec 20 SI et DSI autonomes sur 10 tenants Office 365.
Wilfried Laumond, Head of Risk Monitoring & Services, raconte le voyage Office 365 et les 3 principaux cyber challenges :
Ce dernier travaille pour le groupe SANOFI avec 150 000 collaborateurs, dont 75 000 utilisateurs migrés sur Office 365 d'ici 2019.
"Avec O365, il y a un changement de paradigme dans la gestion et l’analyse des logs tellement il y a d’évènements et d’évolutions MS. Le data monitoring est indispensable et possible grâce à IDECSI."
Kering : "Seul l'utilisateur est capable de valider ou non une information à son niveau, il faut qu’il soit responsable de la sécurité de ses données : Développer une culture sécurité d’entreprise"
Lagardère : "Donner de la visibilité permet également de démystifier la sécurité auprès des utilisateurs."
Sanofi : "L’accompagnement au changement est vraiment important, O365 c’est un ‘voyage’ avec les métiers et la Digital Workplace. Il faut donner les bons outils aux utilisateurs pour qu’ils soient autonomes : la self sécurité."
La nécessité d’embarquer la sécurité dans le projet de manière positive pour l’utilisateur avec de la visibilité et les bons outils par exemple semble incontournable. Il faut réussir à en faire un sujet positif pour l’utilisateur souvent contraint de suivre les protocoles de sécurité qui ne sont pas intégrés et adaptés à ses usages. La sécurité ne peut plus être traitée comme un sujet indépendant. Il ne faut pas avoir peur du changement ; ni de responsabiliser l’utilisateur dans son approche de la cybersécurité.
[#AssisesSI] Clap de fin pour notre atelier #SécuritéOffice365
Découvrez le résumé et #bestpractices pour sécuriser #Office365 et les espaces collaboratifs ️
Merci pour votre participation à notre atelier et merci à nos 3 intervenants @KeringGroup @Sanofi @LagardereTR pic.twitter.com/HE6yCXunsp— IDECSI - The Personal Security Assistant (@IDECSI) October 10, 2019
[1] Selon le dernier sondage JDN / Club Décision DSI, la part de marché de la messagerie collaborative de Microsoft Teams, a bondi de 6 à 33% entre 2018 et 2019.
[2] Etude Cyren and Osterman research