⏯ Webinar - Protection des données sensibles ➡

Microsoft 365

23 juillet 2021

Bonnes pratiques sécurité sur les outils Microsoft 365

Illustration d'une équipe de travail collaborant sur les outils Microsoft 365 avec les logos de OneDrive, Teams et SharePoint

Notre vision du travail aura été modifiée avec la crise sanitaire, un bouleversement brusque et soudain a déréglé nos habitudes et laissé la place à de nouvelles manières de travailler. 
Ce changement a été possible par des déploiements massifs et rapides d’outils comme la suite Microsoft 365 pour aider les salariés à collaborer à distance. Nos activités et notre mode de travail ont été transformés, souvent à marche forcée. Selon une étude Gartner, 1 employé sur 5 se dit expert dans l'usage des outils numériques et la moitié s'estime compétente en la matière. Les collaborateurs ont pris en main ces outils et ont développé de nouveaux usages numériques.  

Malgré une maturité digitale exprimée, des vulnérabilités persistent, notamment autour du shadow IT ou des erreurs humaines. Selon une étude du CESIN (1), la négligence ou erreur de manipulation d'un administrateur interne ou d'un salarié est l’une des premières causes d’incidents de sécuritéUne mauvaise utilisation des outils peut compromettre la sécurité de leurs données sur les solutions Microsoft.
C’est pourquoi, aujourd’hui, la sensibilisation des collaborateurs aux enjeux de sécurité devient indispensable pour travailler avec ces outils et ce, sans compromettre la sécurité de vos données. 

Découvrez quelques bonnes pratiques et une infographie à partager avec vos équipes pour les aider à mieux protéger leurs données depuis les outils collaboratifs Microsoft 365 : OneDrive, Teams et SharePoint.

Les bonnes pratiques sécurité sur OneDrive

OneDrive permet aux salariés d’avoir un espace de stockage individuel directement dans le Cloud. L’accessibilité est donc facilitée, avec la possibilité d’accéder à ses documents depuis son ordinateur professionnel, personnel et même son mobile. OneDrive facilite également le partage des documents de travail avec des collègues ou avec des partenaires externes partout dans le monde.  

Avec l’implémentation de la suite Microsoft 365 et particulièrement de OneDrive, le salarié a moins besoin de faire appel au service informatique pour partager et configurer les droits et gagne donc en autonomie. 

Des options de sécurité peuvent être activées pour protéger l’accès à une bibliothèque OneDrive, avec par exemple l’authentification par code, les applications multi-factor authentification. Concernant le partage de documents, l’utilisateur est maître de ses informations et des partages qu’il souhaite réaliser. Cette partie présente des risques si l’utilisateur ne fait pas attention. Le sensibiliser aux bonnes pratiques de partages paraît donc essentiel pour une bonne maîtrise de l’outil.

1. Comprendre les autorisations possibles lors d'un partage

Il existe plusieurs configurations et niveaux de partage depuis OneDrive :  

Les options de partage dans OneDrive

Toute personne ayant le lien 

Donner accès à toute personne qui reçoit ce lien, qu'elle le reçoive directement du propriétaire ou qu'il lui soit transmis par une autre personne. Cela peut inclure des personnes extérieures. 

Note : Seulement avec ce choix, l’utilisateur doit décider de limiter la disponibilité du document (max 5 jours). Pendant la période décidée, les collaborateurs autorisés peuvent modifier, visualiser ou télécharger le document. Après, le lien n'est plus actif.  

Les personnes au sein de l’entreprise 

Donner accès à tous les membres de son organisation, qu'ils le reçoivent directement du propriétaire ou qu'il leur soit transmis par quelqu'un d'autre. 

Personnes ayant déjà l’accès  

Donner l'accès aux personnes qui ont déjà accès au document ou au dossier.  

Des personnes spécifiques 

Donner accès uniquement aux personnes que le propriétaire a spécifié. 
Note : Si des personnes transfèrent l'invitation de partage, seules les personnes qui ont déjà accès à l'élément pourront utiliser le lien. 

Autoriser la modification 

Permettre aux personnes de modifier le document ou d’être en lecture seule. 

Ouvrir en mode révision 

Activer automatiquement le mode révision lors de l’ouverture pour partager les commentaires ou suggérer des modifications 

Bloquer le téléchargement 

Bloquer le téléchargement du document lors du partage  

Il est important de sensibiliser sur les risques d’un partage ouvert à tous. Les partages ‘Toute personne ayant le lien’ ou ‘Personnes au sein de l’entreprise’ peuvent entraîner des accès et des modifications non souhaités. En effet, lors de ces partages, les personnes sont libres de le transmettre à d’autres personnes. 

2. Préférer le partage 'Personnes spécifiques'

Il est donc important de toujours vérifier les paramètres de partage et donner les bonnes autorisations aux bonnes personnes. Il est préférable de privilégier le partage ‘Personnes spécifiques’ pour limiter le partage aux personnes autorisées.  

Si vous partagez un document pour consultation à une personne externe, il sera également utile de désactiver la modification et peut être même de bloquer le téléchargement. Le partenaire ne pourra donc plus créer une copie du document sur son ordinateur ni apporter de modifications sur celui-ci. 

3. Faire une revue des droits et des accès par trimestre

Une autre bonne pratique sécurité consiste à gérer les droits d’accès des documents partagés. Avec OneDrive, un partage n’est pas définitif. Les propriétaires peuvent vérifier les droits à n’importe quel moment. En étant le seul propriétaire de son espace, le collaborateur est responsable de ses données et des partages effectués. 

Chaque utilisateur peut se rendre dans la rubrique ‘Partagés’ et l’onglet ‘Partagés à’ dans son OneDrive online. Il y retrouvera l’ensemble des documents partagés avec d’autres utilisateurs. Grâce à cette vue, il sera en capacité de détecter si des partages sont obsolètes, des droits sont trop larges et donc les supprimer. 

Cette revalidation des droits sur OneDrive est une étape importante à partager avec vos collaborateurs pour maintenir une hygiène des droits et améliorer la protection des données. 

Les bonnes pratiques sécurité sur Microsoft Teams 

Teams permet de travailler plus facilement et plus efficacement grâce à un espace commun de collaboration, de partages, d’échanges. La collaboration va peut-être traiter de sujets confidentiels, de partages d’informations sensibles et même s’effectuer avec des partenaires externes. Pour toutes ces raisons, il est important de bien comprendre l’outil Teams avec ses spécificités et de respecter quelques règles de bons usages pour garder la maitrise notamment sur vos données professionnelles. 

4. Partager les informations dans les bons espaces : Equipes ou Conversations

Teams offre la possibilité d’envoyer des messages par le chat ou par les groupes de travail appelés ‘Equipes’.
Les conversations chat doivent rester dans le cadre de l’informel. En effet, ce mode de discussion ne permet pas d’avoir une garantie totale sur qui peut accéder à l’information. Les conversations ne peuvent pas être supprimées et tous les membres d’une conversation peuvent ajouter d’autres personnes. Il n’y a pas de notion de propriétaire ou de garant des informations échangées. Il est donc recommandé, pour du partage d’informations sensibles, de privilégier les équipes teams ou les emails.

5. Faire une revue des accès sur les documents partagés depuis les conversations

Lorsqu’une personne partage un document dans une conversation privée Microsoft Teams, les documents sont automatiquement stockés dans une bibliothèque de documents de son espace OneDrive. Les droits et permissions sont également automatiquement accordés à tous les participants de la conversation selon les règles de configuration de l’organisation. La revue des accès et des droits doit être initiée par le propriétaire à partir de son OneDrive.  

La gestion des accès n’étant pas accessible directement dans Teams, vos collaborateurs peuvent se sentir perdu. Il peut être intéressant de communiquer sur les relations, OneDrive, Teams, SharePoint afin de les aider à retrouver leurs informations et faciliter une potentielle revalidation des partages sur leurs documents. 

6. Bien paramétrer son équipe Teams

Les équipes Teams permettent de regrouper des groupes de travail. Le partage d’informations est mieux maîtriser et plus sur du long terme en comparaison aux conversations privées (chat). Certaines bonnes pratiques de sécurité sont tout de même importantes et doivent être mises en place sur ces équipes. 

Une bonne pratique de sécurité avec Teams consiste à toujours créer des équipes privées. Au contraire d’une équipe publique, la privée aura pour avantage de mieux gérer les membres de l’équipe. Seuls, les propriétaires de l’équipe peuvent ajouter ou supprimer des membres. L’accès à l’information est donc mieux contrôlé.  

7. Vérifier régulièrement les accès sur vos équipes Teams

Par ailleurs, lorsqu’on ajoute un membre ou un invité externe à une équipe Teams, cette personne a accès à l’ensemble de l’équipe, les documents, les conversations, les applications ajoutées. Il faut donc faire attention aux informations que vous partagez et vérifier régulièrement qui peut y accéder. 
NB : Il est maintenant possible d'être seulement membre d'un canal et plus de l'équipe avec les canaux partagés. La revue des membres devra également être faite sur ces canaux spécifiques.

Une astuce à communiquer : une icône est visible dans l’équipe teams pour indiquer si des externes sont dans la liste des membres. Icone Invité dans Teams

Avant d’intégrer un invité, le propriétaire ou la personne en charge de l’ajout a pour responsabilité de vérifier si des données confidentielles ne sont pas accessibles dans l’équipe. 
Lorsque l’invité a terminé le travail d’équipe, la suppression du membre est recommandée. Une revue des accès et des invités externes peut être initiée par les responsables d’espace en fonction de l’avancée du projet, par exemple à chaque fin d’étape, par mois ou par trimestre. 

Il peut être également suggéré de toujours nommer deux propriétaires d’équipe pour s’assurer qu’un administrateur est toujours présent pour modérer les informations et les membres dans l’équipe. 

8. Limiter l'accès aux informations confidentielles

Si certaines données, documents à partager sont sensibles et ne doivent pas être accessibles à tous les membres et en particulier à des externes, vous avez la possibilité de créer des canaux privés au sein des équipes Teams. 

Les canaux privés vont vous permettre d’affiner l’audience au sein d’une équipe avec des publications, documents, applications seulement accessibles aux personnes autorisées. L’information sur ces canaux sera alors plus contrôlée.  

9. Vérifier les suppressions de la corbeille

Pour qu’un document ne soit plus du tout accessible, il faudra le supprimer également au niveau de la corbeille. En effet, lorsqu’on supprime un document dans l’équipe teams, celui-ci reste dans l’espace Corbeille de votre site SharePoint associé. L’utilisateur devra alors accéder au site SharePoint et supprimer le document également dans la corbeille. La suppression sera alors définitive et l’accès impossible.  

L’outil Teams offre de nombreuses possibilités pour les collaborateurs. Les accompagner dans la meilleure manière de partager une information est primordial notamment pour favoriser leur adoption. 

Découvrez l'infographie et partagez-la avec vos collaborateurs

Infographie Bonnes pratiques Teams

Télécharger l'infographie

Les bonnes pratiques sécurité sur SharePoint  

SharePoint est également un outil très puissant de la suite Microsoft 365 et qui peut être utilisé de différentes façons : site de communication (intranet), site de stockage de documents finalisés, site d’équipe (lié à Teams). 

La multiplicité des usages et de ses fonctionnalités en fait un outil complexe pour l’utilisateur et peut s’avérer dangereux pour la sécurité des informations et des données de l’entreprise.
Nous partageons quelques exemples de bonnes pratiques simples à appliquer sur SharePoint pour vos collaborateurs.  

10. Définir une architecture claire du site SharePoint

Avant se lancer dans la construction du site SharePoint, il faut que l’utilisateur prenne du recul sur les informations qu’il souhaite retrouver.  

Dans le but, de ne pas avoir des milliers de sites non ou mal utilisés, certaines équipes IT ont décidé de ne pas ouvrir la création de site aux salariés. Ils doivent dans ce cas passer par un administrateur pour que celui-ci qualifie la demande et aide à la construction du site.  

Si au contraire vous avez laissé le choix aux collaborateurs, il faudra alors les guider dans la création.  

Il peut être intéressant de proposer une trame d’atelier aidant à la réflexion et permettant d’optimiser la création de site SharePoint. Cela aidera l’utilisateur à définir une structure claire avec les informations, documents, listes, et pages à créer. 

Voici un exemple de trame pour l’atelier, pour définir les éléments à retrouver et donc la structure : 

- Quels sujets traitez-vous ?
- Quels documents stockés ? Documents de collaborations ?
- Qui doit accéder aux informations ?
- Des externes doivent accéder à l’information ?
- Quel est l’objectif du site ?
- Est-ce que des informations sensibles sont à partager et qui peut y accéder ? 

Une fois la structure créée, il faudra définir la navigation et définir les parties et sous-parties avec un nommage claire pour tous les utilisateurs du site. En les impliquant dans la création, les utilisateurs seront plus à même de collaborer et d’utiliser la plateforme.  

11. Donner les autorisations par groupe

SharePoint permet de travailler finement les autorisations et droits des utilisateurs d’un site. Vous pouvez par exemple donner des accès très spécifiques à un nombre réduit de personnes sur un dossier ou document uniquement. Par contre, le risque est de se perdre dans les autorisations qu’on donne.  

Il est intéressant surtout si vous vous adressez à un utilisateur novice dans SharePoint de lui proposer d’utiliser les groupes standards : Propriétaire, membres et visiteurs et non de travailler directement sur des droits spécifiques par personne. Chaque groupe a par défaut des droits spécifiques. Un visiteur a juste un droit de lecture sur le site, un membre peut également modifier des documents et un propriétaire a des droits sur la structure du site. Il faudra bien sûr conseiller de limiter le nombre de personnes dans le groupe propriétaire en ajoutant un minimum de deux personnes pour s’occuper de la structure et des droits.  

12. Gestion fine des accès pour les données sensibles

Certaines données ne doivent être accessibles que par des personnes bien spécifiques car traitant d’informations sensibles. Dans ce cas, il peut être nécessaire de créer des sous-sites avec des droits bien spécifiques, plus restrictifs. En effet, il est préférable de gérer des configurations de partage et d’accès via une librairie spécifique d’un site SharePoint. Cela permet d’éviter les problèmes de droits avec la création d’un sous-site, on soustrait les droits hérités et on peut gérer plus spécifiquement les configurations, permissions.  

On évite les problèmes de droits hérités et les complications dans la gestion des autorisations. Attention, cependant à ne pas multiplier le nombre de sous-site et une fois encore compliquer la gestion des permissions. 

Communiquer régulièrement sur les bonnes pratiques sécurité des outils collaboratifs Microsoft 365

Une bonne compréhension et maitrise des outils, que les collaborateurs utilisent quotidiennement, est la base d’une gestion saine, notamment au niveau des contenus échangés.
C’est pourquoi il est nécessaire de communiquer régulièrement sur des bonnes pratiques que ce soit sur OneDrive, Teams ou SharePoint afin de sensibiliser l’utilisateur aux enjeux de sécurité. Mais un des enjeux, notamment pour augmenter l’implication des collaborateurs, est de simplifier l’expérience autour de la sécurité des données. 

Il existe des outils comme Microsoft Purview Information Protection, permettant de classifier, chiffrer et donc ajouter une couche de protection en particulier sur des informations sensibles.  

Mais pour aller encore plus loin, il faut que le salarié puisse comprendre et visualiser les conséquences d’une action réalisée via ses outils collaboratifs. 
Il faut donner les bons moyens et outils aux collaborateurs d’agir davantage sur la protection de leurs données pour réduire les vulnérabilités liées aux usages des outils collaboratifs et éviter les fuites de données. IDECSI propose une solution répondant à ce besoin, MyDataSecurity, où les utilisateurs peuvent via un tableau de bord suivre et valider qui accède à quoi ou qui a la permission d’y accéder. Les fonctions de revues de droits et de remédiation sont particulièrement appréciées par nos clients.

(1) Rapport du CESIN - Baromètre de la cybersécurité des entreprises – Janvier 2021

7 bonnes pratiques Sécurité sur Microsoft Teams
Télécharger l'infographie

Nos articles

Ces articles peuvent
vous intéresser

critère pour choisir sa solution cyber
Sécurité / IT
Conseils d'experts

6 critères pour choisir sa solution cybersécurité de protection des données

Lire l'article
Les canaux partagés de Microsoft Teams
Microsoft 365

Les canaux partagés, un changement majeur dans la gestion de Teams ?

Lire l'article
risques outils collaboratifs microsoft
Microsoft 365
Conseils d'experts

4 risques à surveiller dans les outils collaboratifs Microsoft 365

Lire l'article
Protection des données, discutons de votre projet ?
Contactez-nous