Au programme de ce compte-rendu :
Ces retours d'expérience se concentrent sur la gouvernance des accès, droits et partages d'informations, en mettant l'accent sur l'environnement M365 et poursuivant deux objectifs principaux :
→ Rester en contrôle de l'environnement, qui est très dynamique et changeant
→ Eviter que des accès et des partages non autorisés, malveillants, obsolètes ou usurpés compromettent la sécurité et la confidentialité de nos données.
Pour rappel, les entreprises doivent faire face à six grands défis importants :
Les conséquences possibles et risques à couvrir comprennent : les partages trop ouverts, (exposant ainsi les données à des personnes non autorisées), la mauvaise maîtrise des invités accédant au patrimoine informationnel, un cycle de vie des accès non respecté (qui laisse des droits obsolètes ou inutiles).
L'usurpation d'identité est une menace à considérer sérieusement, car elle permet à un attaquant de se faire passer pour un utilisateur légitime. Également, une fuite de données peut compromettre la confidentialité et l'intégrité des informations, tandis qu'un problème de conformité expose à des sanctions ou des poursuites.
Enfin, la surexposition des données sensibles et la compromission des droits par des acteurs malveillants ou illégitimes accroît le risque de vol ou d'espionnage ce qui peut entraîner des préjudices pour notre organisation.
C’est dans ce contexte que les entreprises Action Logement et BPCE-IT ont fait le choix de la solution MyDataSecurity d'IDECSI.
BPCE-IT est un acteur clé du Groupe BPCE, qui assure le bon fonctionnement des services informatiques pour les clients et les collaborateurs des Banques Populaires et des Caisses d’Epargne (+110K collaborateurs). Le programme Walkyrie vise à renforcer la cybersécurité du groupe, notamment en matière de protection des données sur la plateforme M365.
Le déploiement de la solution MyDataSecurity répond aux enjeux liés à la croissance exponentielle des usages collaboratifs et de la volumétrie des données sur le tenant M365, ainsi qu'au risque de fuite de données. En effet le groupe compte plus de 150K Sharepoint, plus de 100K Teams et le nombre de partages vers l’externe ne cesse d’augmenter.
→ Pour cela, le GIE informatique du groupe BPCE souhaite lancer et piloter simplement des campagnes de revue des partages en associant les gestionnaires des données concernées (propriétaires de OneDrive, propriétaires de Teams/SharePoint), incluant des mécanismes de relance et d’escalade.
→ Un plan de communication a également été déployé pour présenter, informer de la démarche. Les collaborateurs du groupe bénéficient désormais d’un outil qui les informe sur les points d’attentions sur leurs données (partages larges de type 'company link', partages externes), notamment sur les plus sensibles grâce l’intégration du modèle de classification BPCE-IT en vue de corriger directement les droits d’accès depuis une interface user-friendly interactive.
Les utilisateurs se sont montrés enthousiastes et impliqués dans les processus de revue de droits et des partages sur leur tableau de bord personnel.
Le déploiement de la solution s’est fait de façon progressive pour atteindre plus de 20K utilisateurs en 2023. Le mode SAAS permet d’activer la plateforme très simplement. Vincent Rey souligne en particulier :
L’outil permet ainsi de réduire le risque l’exposition des données partagées depuis M365 et de favoriser l’adoption des bonnes pratiques en termes de gouvernance et de sécurité de l’information du groupe.
Vincent REY, BPCE-IT
Pour Jean-Paul Joanany, SSI d’Action Logement, responsabiliser l’utilisateur est essentiel dans la gestion et la gouvernance de l’accès aux données sur M365.
Acteur majeur du logement social et intermédiaire en France, le groupe gère un parc de plus d’1 million de logements. La division Action logement Service est une société de financement qui traite de nombreuses données sensibles (à caractère personnel et des données financières), sujette à la fraude. L’objectif est donc double : sécuriser les ressources de chaque utilisateur, le rassurer et le responsabiliser : qui accède à quoi ?
Il existe d’une part des difficultés à l’administration M365, selon Jean-Paul Joanany, pour bien maitriser la gestion des rôles M365, droits associés, et d’autre part un réel manque d’appropriation des utilisateurs sur la gestion des droits / partages de leurs données, ce qui entraine une augmentation des risques significative (opérations illégitimes, malveillantes, fuite d’informations, accès non autorisé, mauvais paramétrages… ).
→ Et comme Jean-Paul Joanany aime à le rappeler : la cybersécurité c’est l’affaire de tous, il faut savoir fournir les bons outils aux utilisateurs pour qu’ils participent à cette gouvernance, pour les mettre devant leurs responsabilités.
Avec IDECSI, les utilisateurs d’Action Logement sont informés des événements importants et nécessitant une vérification sur leur compte M365 et les espaces partagés (Teams) : nouvel accédant, nouveau device, nouveau partage, synchronisation, droits…
Pour Action Logement, la solution IDECSI a permis :
C'est une approche vertueuse qui renforce la sécurité et la sensibilisation des utilisateurs ainsi que la confiance dans les outils numériques.
Jean-Paul Joanany, Action Logement
Les Assises 2022 : RETEX L'Oréal
Les Assises 2021 : Groupe ADP et la SNCF
Les Assises 2020 : Forvia, Eramet, L'Oréal