Les Assises 2023 : maîtrise des données partagées dans M365 par BPCE-IT & Action Logement

Au programme de ce compte-rendu :

• Objectifs et grands défis autour de Microsoft 365

• BPCE-IT : réduire le risque d'exposition des données

• Action Logement : responsabiliser les utilisateurs sur les partages

Objectifs et grands défis autour de M365

Ces retours d'expérience se concentrent sur la gouvernance des accès, droits et partages d'informations, en mettant l'accent sur l'environnement M365 et poursuivant deux objectifs principaux :

→ Rester en contrôle de l'environnement, qui est très dynamique et changeant
→ Eviter que des accès et des partages non autorisés, malveillants, obsolètes ou usurpés compromettent la sécurité et la confidentialité de nos données. 

Pour rappel, les entreprises doivent faire face à six grands défis importants : 

• Les utilisateurs sont souvent les administrateurs de leurs propres données, ce qui leur permet de créer et de partager librement.
• Les partages, notamment externes, doivent être mieux suivis et contrôlés.
• Le volume de données sur M365 augmente de façon exponentielle, ce qui rend difficile la gestion et la supervision.
• Les utilisateurs ne sont pas des experts en sécurité, ce qui peut entraîner une mauvaise adoption des bonnes pratiques.
• M365 évolue en permanence, ce qui nécessite une configuration optimale et adaptée aux besoins.
• La sécurité des utilisateurs et des données sensibles est renforcée par la complexité et la diversité des sources de données.
  
  

Les conséquences possibles et risques à couvrir comprennent : les partages trop ouverts, (exposant ainsi les données à des personnes non autorisées), la mauvaise maîtrise des invités accédant au patrimoine informationnel, un cycle de vie des accès non respecté (qui laisse des droits obsolètes ou inutiles). 

L'usurpation d'identité est une menace à considérer sérieusement, car elle permet à un attaquant de se faire passer pour un utilisateur légitime. Également, une fuite de données peut compromettre la confidentialité et l'intégrité des informations, tandis qu'un problème de conformité expose à des sanctions ou des poursuites.

Enfin, la surexposition des données sensibles et la compromission des droits par des acteurs malveillants ou illégitimes accroît le risque de vol ou d'espionnage ce qui peut entraîner des préjudices pour notre organisation.

C’est dans ce contexte que les entreprises Action Logement et BPCE-IT ont fait le choix de la solution MyDataSecurity d'IDECSI.  

BPCE-IT : réduire le risque d'exposition des données sur M365

BPCE-IT est un acteur clé du Groupe BPCE, qui assure le bon fonctionnement des services informatiques pour les clients et les collaborateurs des Banques Populaires et des Caisses d’Epargne (+110K collaborateurs). Le programme Walkyrie vise à renforcer la cybersécurité du groupe, notamment en matière de protection des données sur la plateforme M365.  

Le déploiement de la solution MyDataSecurity répond aux enjeux liés à la croissance exponentielle des usages collaboratifs et de la volumétrie des données sur le tenant M365, ainsi qu'au risque de fuite de données. En effet le groupe compte plus de 150K Sharepoint, plus de 100K Teams et le nombre de partages vers l’externe ne cesse d’augmenter.  

→ Pour cela, le GIE informatique du groupe BPCE souhaite lancer et piloter simplement des campagnes de revue des partages en associant les gestionnaires des données concernées (propriétaires de OneDrive, propriétaires de Teams/SharePoint), incluant des mécanismes de relance et d’escalade.

→ Un plan de communication a également été déployé pour présenter, informer de la démarche. Les collaborateurs du groupe bénéficient désormais d’un outil qui les informe sur les points d’attentions sur leurs données (partages larges de type 'company link', partages externes), notamment sur les plus sensibles grâce l’intégration du modèle de classification BPCE-IT en vue de corriger directement les droits d’accès depuis une interface user-friendly interactive. 

Les utilisateurs se sont montrés enthousiastes et impliqués dans les processus de revue de droits et des partages sur leur tableau de bord personnel.  

Le déploiement de la solution s’est fait de façon progressive pour atteindre plus de 20K utilisateurs en 2023. Le mode SAAS permet d’activer la plateforme très simplement. Vincent Rey souligne en particulier : 

• l'adaptabilité d’IDECSI en réponse aux exigences techniques et sécurité dû à l’ampleur du tenant O365 de BPCE (dimensionnement adapté coté SaaS) 
• la mise en place d’une architecture hybride répondant aux contraintes de sécurité Groupe (LEM on-premise) 

• la personnalisation des interfaces pour BPCE (charte graphique, sso, urls) 

L’outil permet ainsi de réduire le risque l’exposition des données partagées depuis M365 et de favoriser l’adoption des bonnes pratiques en termes de gouvernance et de sécurité de l’information du groupe. 

Vincent REY, BPCE-IT

Action Logement : responsabiliser les utilisateurs sur les partages M365

Pour Jean-Paul Joanany, SSI d’Action Logement, responsabiliser l’utilisateur est essentiel dans la gestion et la gouvernance de l’accès aux données sur M365. 

Acteur majeur du logement social et intermédiaire en France, le groupe gère un parc de plus d’1 million de logements. La division Action logement Service est une société de financement qui traite de nombreuses données sensibles (à caractère personnel et des données financières), sujette à la fraude. L’objectif est donc double :  sécuriser les ressources de chaque utilisateur, le rassurer et le responsabiliser : qui accède à quoi ? 

Il existe d’une part des difficultés à l’administration M365, selon Jean-Paul Joanany, pour bien maitriser la gestion des rôles M365, droits associés, et d’autre part un réel manque d’appropriation des utilisateurs sur la gestion des droits / partages de leurs données, ce qui entraine une augmentation des risques significative (opérations illégitimes, malveillantes, fuite d’informations, accès non autorisé, mauvais paramétrages… ).

→ Et comme Jean-Paul Joanany aime à le rappeler : la cybersécurité c’est l’affaire de tous, il faut savoir fournir les bons outils aux utilisateurs pour qu’ils participent à cette gouvernance, pour les mettre devant leurs responsabilités.

Avec IDECSI, les utilisateurs d’Action Logement sont informés des événements importants et nécessitant une vérification sur leur compte M365 et les espaces partagés (Teams) : nouvel accédant, nouveau device, nouveau partage, synchronisation, droits…  

Pour Action Logement, la solution IDECSI a permis :

• d'augmenter la visibilité de la SSI, les actions mises en place 
• d'améliorer l’interaction et la communication avec les utilisateurs 
• de réduire le risque sur M365 
• d'identifier des cas de fraude et de notifier les utilisateurs en cas d’opérations malveillantes 

C'est une approche vertueuse qui renforce la sécurité et la sensibilisation des utilisateurs ainsi que la confiance dans les outils numériques.  

Jean-Paul Joanany, Action Logement

Lire également les retours d'expérience des années précédentes :

Les Assises 2022 : RETEX L'Oréal

Les Assises 2021 : Groupe ADP et la SNCF

Les Assises 2020 : Forvia, Eramet, L'Oréal