Cycle de vie de la donnée sur Microsoft 365

Les outils collaboratifs, un changement de paradigme dans la gestion de la donnée

Les nouveaux usages d’outils collaboratifs, notamment dans Microsoft 365 ont changé le rôle de l’utilisateur qui est devenu administrateur de ses données. Il peut partager de la donnée via son OneDrive, faire des partages internes et externes sur Teams via des liens, créer des espaces Teams, rajouter des membres…
Mais cette nouvelle façon de partager favorise les erreurs humaines. Les entreprises doivent être de plus en plus sensibles au traitement de la donnée dans Microsoft 365 : Comment la traiter ? l’identifier ? Quelle politique mettre en place ? Comment appréhender les évolutions des fonctionnalités Microsoft ?
Pour cela, plusieurs éléments sont à prendre en compte pour avoir une bonne maitrise et gouvernance de la donnée, notamment dû au volume important de données à traiter. Focus sur le cycle de vie de la donnée : 

• Mieux gérer les permissions et les identités internes et externes
• Protéger et gérer les données sensibles dans l’environnement Microsoft 365
• Revalider les accès et les droits dans le temps
  
  

Mieux gérer les permissions et les identités internes et externes

Gérer le cycle de vie de la donnée passe notamment par une gestion des permissions et des identités. Microsoft gère et fournit l’architecture et l’infrastructure du tenant. Mais chaque client est responsable de 3 éléments sécurité :

• Etablir la configuration de la plateforme (socle de sécurité, environnement de travail) pour pouvoir collaborer en interne et en externe, particulièrement avec de la donnée sensible
• Connaitre et gérer l’identité des utilisateurs et de la donnée
• Piloter et superviser le niveau de sécurité et de risque pour s’assurer d’être dans une situation nominale

Chaque entreprise a le choix de mettre en place une politique de sécurité appropriée à ses besoins. Pour autant, il faut pouvoir être en mesure de suivre l’activité réelle des données, notamment les différentes identités ayant accès à la donnée.

1. Gérer les identités dans Microsoft 365

Les utilisateurs sont maintenant responsables de leurs données. Chaque utilisateur a le pouvoir de modifier les permissions, modifier la donnée ou bien encore l’extraire.

Il y a donc 5 profils d'identité à superviser dans le temps et qui sont fondamentaux pour la protection des données : les utilisateurs, les utilisateurs anonymes, les utilisateurs fédérés, et les utilisateurs Azure AD B2B.

Lire l’article : Gestion des identités : 5 profils à comprendre dans Microsoft 365

2. Gérer les identités applicatives

Les identités applicatives (administration, applications tierce) peuvent s’avérer dangereuses lorsqu’un utilisateur délègue son consentement à une application. Cette dernière peut faire ce qu’elle souhaite avec les droits qu’on lui a donné. Il faut pour cela pouvoir :

• Protéger ses données sur M365

Une application va pouvoir lire les données de mon OneDrive, lire les fichiers auxquels j’ai accédé, ou encore avoir une modification de lecture. Les principales menaces de cette délégation sans gouvernance d’accès peuvent être de l’extraction de données, un dump d’Azure AD pour une attaque future ou encore un ransomware.

• Avoir de la visibilité sur M365

Les utilisateurs n’ont parfois pas une grande visibilité des droits accordés à l’application et ne voit pas à quoi elle a accès.

• Suivre et révoquer les autorisations sur M365

Généralement le consentement délégué est à vie mais les utilisateurs ne le savent pas. Il faut pouvoir suivre et maitriser ces droits dans le temps.

• Etendre cette réflexion à la Power Platform

Power Platform permet d’effectuer des connexions entre leurs données et une application de workflow. Le propriétaire peut donc avoir accès à toutes leurs données. Pour cela, il est important de mettre en place une « tenant restriction » et de s’assurer que les corrections sont bien revues par les utilisateurs.

Protéger et gérer les données sensibles dans l’environnement Microsoft 365

Les données sensibles demandent une protection renforcée. Il faut pouvoir adapter la politique de sécurité en fonction du niveau de confidentialité de l’information et qu’elle soit connue de tous. Cependant la sécurité ne doit pas être vue comme un frein mais plutôt pour accompagner des nouveaux usages digitaux et collaboratifs.

Découvrir nos conseils pour les administrateurs et équipes sécurité sur le paramétrage des invités et des partages externes

La classification est un outil qui permet justement de gouverner les accès pour 57% des entreprises interviewées par un sondage CESIN.

Microsoft Purview Information Protection permet de classifier, labelliser les données.
Ce framework de protection des données basé sur la classification va permettre de créer :

• Des étiquettes de confidentialité (étiquetage des données non structurées (mails, documents), des étiquettes de conteneurs (groupe Microsoft 365, sites SharePoint) et des étiquetages de données structurées avec Azure AD
• Protection des données grâce au chiffrement des données et Office 365 Data Loss Prevention
• Protection des conteneurs (restriction en accès et partages)
• Protection avancée avec Microsoft 365 E5 (politique d’alertes sur les données avec Defender for Cloud Apps et politique d’accès conditionnel contextuel à l’étiquette du Groupe ou du site)

Mais certaines limites persistent à cet outil Microsoft Purview, notamment la revue des accès sur les données sensibles qui est compliquée et pas possible avec un certain niveau sur Purview ainsi que le traitement des alertes de DLP et de gouvernance.

Découvrir notre replay de webinar : Protection des données sensibles Microsoft 365 

Revalider les accès et les droits dans le temps

Chaque entreprise doit pouvoir suivre les différentes accès et droits dans le temps. Microsoft propose pour cela Azure AD Access Review, proposé dans la licence Azure AD P2.

Les administrateurs Azure AD peuvent suivre et recertifier manuellement des groupes internes et lancer des campagnes auprès des utilisateurs. Il existe 2 grands scenarios de revue des accès :

• Scénario 1 : Lancement d’une campagne de revue sur l’ensemble des invités des groupes Microsoft 365. La revue est uniquement possible sur les membres des groupes et non sur le suivi des liens de partage, ni des permissions SharePoint.
  Les admins ne disposent pas d’une vue centralisée.
• Scenario 2 : Lancement d’une campagne de revue des membres d’un groupe qui va comprendre les internes et les externes mais nous n’aurons toujours pas de revue des liens de partages et de permissions.

IDECSI propose 5 fonctionnalités clés pour mieux gérer le cycle de vie de la donnée dans Microsoft 365 et pour répondre à certaines limites rencontrées dans la revue des accès et des partages sur l’environnement Microsoft 365 :

• Réviser les identités pour une meilleure maitrise des données dans le temps
• Engager les utilisateurs et les propriétaires (data ownership) de données avec une expérience fluide et ergonomique via un tableau de bord personnel de sécurité
• Simplifier l’accès à l’information grâce à une vue centralisée
• Réviser les droits de manière périodique et industrielle par les propriétaires
• Pouvoir suivre l’évolution dans le temps et remédier

Une meilleure gestion des données et des utilisateurs pour une maitrise des données dans le temps

Pour une protection et gouvernance des données efficace, il est important que chaque entreprise puisse suivre qui fait quoi ? qui partage quoi ? qui accède à quoi ? Notamment dans un contexte où l’utilisateur est devenu acteur dans la gestion de ses données, de ses droits, de ses accès et ses partages internes comme externes. 

Pour cela, il faut pouvoir lui donner de la visibilité pour qu’il puisse gérer le cycle de vie de ses données dans l’environnement Microsoft 365, et que les services IT puissent réagir rapidement lors d’une anomalie de comportement.

En savoir plus : quelles sont les bonnes pratiques de gestion des partages externes Microsoft 365 à communiquer aux utilisateurs ?