Notre vision du travail aura été modifiée avec la crise sanitaire, un bouleversement brusque et soudain a déréglé nos habitudes et laissé la place à de nouvelles manières de travailler.
Ce changement a été possible par des déploiements massifs et rapides d’outils comme la suite Microsoft 365 pour aider les salariés à collaborer à distance. Nos activités et notre mode de travail ont été transformés, souvent à marche forcée. Selon une étude Gartner, 1 employé sur 5 se dit expert dans l'usage des outils numériques et la moitié s'estime compétente en la matière. Les collaborateurs ont pris en main ces outils et ont développé de nouveaux usages numériques.
Malgré une maturité digitale exprimée, des vulnérabilités persistent, notamment autour du shadow IT ou des erreurs humaines. Selon une étude du CESIN (1), la négligence ou erreur de manipulation d'un administrateur interne ou d'un salarié est l’une des premières causes d’incidents de sécurité. Une mauvaise utilisation des outils peut compromettre la sécurité de leurs données sur les solutions Microsoft.
C’est pourquoi, aujourd’hui, la sensibilisation des collaborateurs aux enjeux de sécurité devient indispensable pour travailler avec ces outils et ce, sans compromettre la sécurité de vos données.
Découvrez quelques bonnes pratiques et une infographie à partager avec vos équipes pour les aider à mieux protéger leurs données depuis les outils collaboratifs Microsoft 365 : OneDrive, Teams et SharePoint.
OneDrive permet aux salariés d’avoir un espace de stockage individuel directement dans le Cloud. L’accessibilité est donc facilitée, avec la possibilité d’accéder à ses documents depuis son ordinateur professionnel, personnel et même son mobile. OneDrive facilite également le partage des documents de travail avec des collègues ou avec des partenaires externes partout dans le monde.
Avec l’implémentation de la suite Microsoft 365 et particulièrement de OneDrive, le salarié a moins besoin de faire appel au service informatique pour partager et configurer les droits et gagne donc en autonomie.
Des options de sécurité peuvent être activées pour protéger l’accès à une bibliothèque OneDrive, avec par exemple l’authentification par code, les applications multi-factor authentification. Concernant le partage de documents, l’utilisateur est maître de ses informations et des partages qu’il souhaite réaliser. Cette partie présente des risques si l’utilisateur ne fait pas attention. Le sensibiliser aux bonnes pratiques de partages paraît donc essentiel pour une bonne maîtrise de l’outil.
Il existe plusieurs configurations et niveaux de partage depuis OneDrive :
Toute personne ayant le lien |
Donner accès à toute personne qui reçoit ce lien, qu'elle le reçoive directement du propriétaire ou qu'il lui soit transmis par une autre personne. Cela peut inclure des personnes extérieures. Note : Seulement avec ce choix, l’utilisateur doit décider de limiter la disponibilité du document (max 5 jours). Pendant la période décidée, les collaborateurs autorisés peuvent modifier, visualiser ou télécharger le document. Après, le lien n'est plus actif. |
Les personnes au sein de l’entreprise |
Donner accès à tous les membres de son organisation, qu'ils le reçoivent directement du propriétaire ou qu'il leur soit transmis par quelqu'un d'autre. |
Personnes ayant déjà l’accès |
Donner l'accès aux personnes qui ont déjà accès au document ou au dossier. |
Des personnes spécifiques |
Donner accès uniquement aux personnes que le propriétaire a spécifié. |
Autoriser la modification |
Permettre aux personnes de modifier le document ou d’être en lecture seule. |
Ouvrir en mode révision |
Activer automatiquement le mode révision lors de l’ouverture pour partager les commentaires ou suggérer des modifications |
Bloquer le téléchargement |
Bloquer le téléchargement du document lors du partage |
Il est important de sensibiliser sur les risques d’un partage ouvert à tous. Les partages ‘Toute personne ayant le lien’ ou ‘Personnes au sein de l’entreprise’ peuvent entraîner des accès et des modifications non souhaités. En effet, lors de ces partages, les personnes sont libres de le transmettre à d’autres personnes.
Il est donc important de toujours vérifier les paramètres de partage et donner les bonnes autorisations aux bonnes personnes. Il est préférable de privilégier le partage ‘Personnes spécifiques’ pour limiter le partage aux personnes autorisées.
Si vous partagez un document pour consultation à une personne externe, il sera également utile de désactiver la modification et peut être même de bloquer le téléchargement. Le partenaire ne pourra donc plus créer une copie du document sur son ordinateur ni apporter de modifications sur celui-ci.
Une autre bonne pratique sécurité consiste à gérer les droits d’accès des documents partagés. Avec OneDrive, un partage n’est pas définitif. Les propriétaires peuvent vérifier les droits à n’importe quel moment. En étant le seul propriétaire de son espace, le collaborateur est responsable de ses données et des partages effectués.
Chaque utilisateur peut se rendre dans la rubrique ‘Partagés’ et l’onglet ‘Partagés à’ dans son OneDrive online. Il y retrouvera l’ensemble des documents partagés avec d’autres utilisateurs. Grâce à cette vue, il sera en capacité de détecter si des partages sont obsolètes, des droits sont trop larges et donc les supprimer.
Cette revalidation des droits sur OneDrive est une étape importante à partager avec vos collaborateurs pour maintenir une hygiène des droits et améliorer la protection des données.
Teams permet de travailler plus facilement et plus efficacement grâce à un espace commun de collaboration, de partages, d’échanges. La collaboration va peut-être traiter de sujets confidentiels, de partages d’informations sensibles et même s’effectuer avec des partenaires externes. Pour toutes ces raisons, il est important de bien comprendre l’outil Teams avec ses spécificités et de respecter quelques règles de bons usages pour garder la maitrise notamment sur vos données professionnelles.
Teams offre la possibilité d’envoyer des messages par le chat ou par les groupes de travail appelés ‘Equipes’.
Les conversations chat doivent rester dans le cadre de l’informel. En effet, ce mode de discussion ne permet pas d’avoir une garantie totale sur qui peut accéder à l’information. Les conversations ne peuvent pas être supprimées et tous les membres d’une conversation peuvent ajouter d’autres personnes. Il n’y a pas de notion de propriétaire ou de garant des informations échangées. Il est donc recommandé, pour du partage d’informations sensibles, de privilégier les équipes teams ou les emails.
Lorsqu’une personne partage un document dans une conversation privée Microsoft Teams, les documents sont automatiquement stockés dans une bibliothèque de documents de son espace OneDrive. Les droits et permissions sont également automatiquement accordés à tous les participants de la conversation selon les règles de configuration de l’organisation. La revue des accès et des droits doit être initiée par le propriétaire à partir de son OneDrive.
La gestion des accès n’étant pas accessible directement dans Teams, vos collaborateurs peuvent se sentir perdu. Il peut être intéressant de communiquer sur les relations, OneDrive, Teams, SharePoint afin de les aider à retrouver leurs informations et faciliter une potentielle revalidation des partages sur leurs documents.
Les équipes Teams permettent de regrouper des groupes de travail. Le partage d’informations est mieux maîtriser et plus sur du long terme en comparaison aux conversations privées (chat). Certaines bonnes pratiques de sécurité sont tout de même importantes et doivent être mises en place sur ces équipes.
Une bonne pratique de sécurité avec Teams consiste à toujours créer des équipes privées. Au contraire d’une équipe publique, la privée aura pour avantage de mieux gérer les membres de l’équipe. Seuls, les propriétaires de l’équipe peuvent ajouter ou supprimer des membres. L’accès à l’information est donc mieux contrôlé.
Par ailleurs, lorsqu’on ajoute un membre ou un invité externe à une équipe Teams, cette personne a accès à l’ensemble de l’équipe, les documents, les conversations, les applications ajoutées. Il faut donc faire attention aux informations que vous partagez et vérifier régulièrement qui peut y accéder.
NB : Il est maintenant possible d'être seulement membre d'un canal et plus de l'équipe avec les canaux partagés. La revue des membres devra également être faite sur ces canaux spécifiques.
Une astuce à communiquer : une icône est visible dans l’équipe teams pour indiquer si des externes sont dans la liste des membres.
Avant d’intégrer un invité, le propriétaire ou la personne en charge de l’ajout a pour responsabilité de vérifier si des données confidentielles ne sont pas accessibles dans l’équipe.
Lorsque l’invité a terminé le travail d’équipe, la suppression du membre est recommandée. Une revue des accès et des invités externes peut être initiée par les responsables d’espace en fonction de l’avancée du projet, par exemple à chaque fin d’étape, par mois ou par trimestre.
Il peut être également suggéré de toujours nommer deux propriétaires d’équipe pour s’assurer qu’un administrateur est toujours présent pour modérer les informations et les membres dans l’équipe.
Si certaines données, documents à partager sont sensibles et ne doivent pas être accessibles à tous les membres et en particulier à des externes, vous avez la possibilité de créer des canaux privés au sein des équipes Teams.
Les canaux privés vont vous permettre d’affiner l’audience au sein d’une équipe avec des publications, documents, applications seulement accessibles aux personnes autorisées. L’information sur ces canaux sera alors plus contrôlée.
Pour qu’un document ne soit plus du tout accessible, il faudra le supprimer également au niveau de la corbeille. En effet, lorsqu’on supprime un document dans l’équipe teams, celui-ci reste dans l’espace Corbeille de votre site SharePoint associé. L’utilisateur devra alors accéder au site SharePoint et supprimer le document également dans la corbeille. La suppression sera alors définitive et l’accès impossible.
L’outil Teams offre de nombreuses possibilités pour les collaborateurs. Les accompagner dans la meilleure manière de partager une information est primordial notamment pour favoriser leur adoption.
SharePoint est également un outil très puissant de la suite Microsoft 365 et qui peut être utilisé de différentes façons : site de communication (intranet), site de stockage de documents finalisés, site d’équipe (lié à Teams).
La multiplicité des usages et de ses fonctionnalités en fait un outil complexe pour l’utilisateur et peut s’avérer dangereux pour la sécurité des informations et des données de l’entreprise.
Nous partageons quelques exemples de bonnes pratiques simples à appliquer sur SharePoint pour vos collaborateurs.
Avant se lancer dans la construction du site SharePoint, il faut que l’utilisateur prenne du recul sur les informations qu’il souhaite retrouver.
Dans le but, de ne pas avoir des milliers de sites non ou mal utilisés, certaines équipes IT ont décidé de ne pas ouvrir la création de site aux salariés. Ils doivent dans ce cas passer par un administrateur pour que celui-ci qualifie la demande et aide à la construction du site.
Si au contraire vous avez laissé le choix aux collaborateurs, il faudra alors les guider dans la création.
Il peut être intéressant de proposer une trame d’atelier aidant à la réflexion et permettant d’optimiser la création de site SharePoint. Cela aidera l’utilisateur à définir une structure claire avec les informations, documents, listes, et pages à créer.
Voici un exemple de trame pour l’atelier, pour définir les éléments à retrouver et donc la structure :
Une fois la structure créée, il faudra définir la navigation et définir les parties et sous-parties avec un nommage claire pour tous les utilisateurs du site. En les impliquant dans la création, les utilisateurs seront plus à même de collaborer et d’utiliser la plateforme.
SharePoint permet de travailler finement les autorisations et droits des utilisateurs d’un site. Vous pouvez par exemple donner des accès très spécifiques à un nombre réduit de personnes sur un dossier ou document uniquement. Par contre, le risque est de se perdre dans les autorisations qu’on donne.
Il est intéressant surtout si vous vous adressez à un utilisateur novice dans SharePoint de lui proposer d’utiliser les groupes standards : Propriétaire, membres et visiteurs et non de travailler directement sur des droits spécifiques par personne. Chaque groupe a par défaut des droits spécifiques. Un visiteur a juste un droit de lecture sur le site, un membre peut également modifier des documents et un propriétaire a des droits sur la structure du site. Il faudra bien sûr conseiller de limiter le nombre de personnes dans le groupe propriétaire en ajoutant un minimum de deux personnes pour s’occuper de la structure et des droits.
Certaines données ne doivent être accessibles que par des personnes bien spécifiques car traitant d’informations sensibles. Dans ce cas, il peut être nécessaire de créer des sous-sites avec des droits bien spécifiques, plus restrictifs. En effet, il est préférable de gérer des configurations de partage et d’accès via une librairie spécifique d’un site SharePoint. Cela permet d’éviter les problèmes de droits avec la création d’un sous-site, on soustrait les droits hérités et on peut gérer plus spécifiquement les configurations, permissions.
On évite les problèmes de droits hérités et les complications dans la gestion des autorisations. Attention, cependant à ne pas multiplier le nombre de sous-site et une fois encore compliquer la gestion des permissions.
Une bonne compréhension et maitrise des outils, que les collaborateurs utilisent quotidiennement, est la base d’une gestion saine, notamment au niveau des contenus échangés.
C’est pourquoi il est nécessaire de communiquer régulièrement sur des bonnes pratiques que ce soit sur OneDrive, Teams ou SharePoint afin de sensibiliser l’utilisateur aux enjeux de sécurité. Mais un des enjeux, notamment pour augmenter l’implication des collaborateurs, est de simplifier l’expérience autour de la sécurité des données.
Il existe des outils comme Microsoft Purview Information Protection, permettant de classifier, chiffrer et donc ajouter une couche de protection en particulier sur des informations sensibles.
Mais pour aller encore plus loin, il faut que le salarié puisse comprendre et visualiser les conséquences d’une action réalisée via ses outils collaboratifs.
Il faut donner les bons moyens et outils aux collaborateurs d’agir davantage sur la protection de leurs données pour réduire les vulnérabilités liées aux usages des outils collaboratifs et éviter les fuites de données. IDECSI propose une solution répondant à ce besoin, MyDataSecurity, où les utilisateurs peuvent via un tableau de bord suivre et valider qui accède à quoi ou qui a la permission d’y accéder. Les fonctions de revues de droits et de remédiation sont particulièrement appréciées par nos clients.
(1) Rapport du CESIN - Baromètre de la cybersécurité des entreprises – Janvier 2021