Logo Microsoft Copilot 365  Préparez votre tenant à Copilot : identifiez et éliminez les accès non autorisés aux données

Sécurité / IT

20 novembre 2018

Dirigeants : 10 conseils pour protéger les données de votre messagerie

Dirigeants utilisant une messagerie

La sécurité numérique des entreprises et la sensibilisation de leurs dirigeants est essentielle. Depuis plus de 4 ans, IDECSI s'est construit une solide réputation en protégeant les mails ainsi que les comptes Microsoft 365 des dirigeants et des collaborateurs de grands groupes internationaux.

IDECSI est souvent interrogé en tant qu'expert sur les bonnes pratiques de la protection de la boite mail, notamment auprès de la population VIP qui couvre évidemment les dirigeants, mais également leurs assistants et tous les collaborateurs en contact avec des informations sensibles (RH, DAF, DSI, SSI, …).

Ne pas donner de visibilité à ses données sensibles 

Les premières règles à respecter, bien que pouvant paraitre très basiques, restent encore aujourd’hui une réalité dans le quotidien des entreprises et ce même auprès des dirigeants :

  • Ne pas écrire ses mots de passe sur un post-it et surtout ne pas le laisser sur un coin de l’écran, où il est très facile de l’identifier et le récupérer.
  • Ne pas laisser sa session de travail ouverte, notamment la nuit. Il arrive fréquemment qu’IDECSI mesure des activités de nuit, en dehors des horaires habituels de l’utilisateur. En effet, du personnel interne ou externe à la société travaille effectivement sur ces plages horaires décalées.
  • Pour son ordinateur, le mieux est de ne pas avoir de compte administrateur. Dans le cas où celui-ci est nécessaire, utiliser un compte séparé pour bénéficier des droits d’administration uniquement aux moments où on en a besoin.

Avoir de la visibilité sur ses données 

Certaines bonnes pratiques, moins connues, sont à l’origine de menaces sécuritaires importantes :

  • S’assurer que les appareils personnels (ordinateur familial, tablette, téléphone personnel), connectés à l’environnement de travail, ne puissent être utilisés que par son propriétaire et empêcher l’accès à la famille et au personnel.
  • Vérifier le niveau de visibilité de l’agenda par les autres collaborateurs. En effet celui regorge de données confidentielles (identités des rendez-vous, titres de réunions, liens de connexions aux conférences téléphoniques, pièces jointes). Si les droits sont trop permissifs, il sera impossible de vérifier qui a accédé à l’information.
  • Vérifier régulièrement qui a accès à sa messagerie et si les droits d’accès ou les droits d’envoi “en tant que” (délégations) sont à jour et valides. Il arrive fréquemment que des délégations restent actives après des interventions techniques ou après le départ d’un assistant de direction.
  • Faire un check-up régulier des règles présentes sur votre compte mail (transfert automatique, copie, suppression, etc.)

On l’a évoqué, l’assistant de direction est une population à risque et souvent une cible privilégiée, au même titre que les dirigeants. Celui-ci a en effet souvent accès à plusieurs messageries rendant l’information accessible plus intéressante pour un hacker. De manière générale, l’assistant de direction doit se protéger de la même manière que le ferait un dirigeant et donc respecter les bonnes pratiques énoncées plus haut.

Assurer une bonne gouvernance de ses délégations

Pour le VIP, il s’agit également de s’assurer que ses délégations de messagerie sont bien gérées :

  • En cas de changement de poste de l’assistant de direction, changer ses mots de passe si ceux-ci lui ont été transmis (ce qui reste fréquent).
  • Retirer les droits de délégations - ne pas oublier de retirer également les droits sur le calendrier.
  • Cas particulier du smartphone : Il arrive régulièrement qu’un dirigeant souhaite que son assistant puisse gérer ses rendez-vous depuis un téléphone mobile. Cependant, donner accès au calendrier par mobile implique de donner l’accès à l’ensemble de la messagerie en fournissant les identifiants du propriétaire. Ce risque doit être mesuré. Dans le cas où cet accès est donné, il faudra donc reconfigurer la messagerie du smartphone lorsque l’assistant change de fonction.

Ces quelques conseils contribuent à augmenter sensiblement la sécurité des messageries pour l’ensemble des collaborateurs et des dirigeants de l’entreprise.

Ils contribuent tous à répondre au même enjeu : plus on multiplie les points d’entrées sur les données, plus on augmente la surface d’exposition. Pour chaque point d’accès, il s’agit donc de s’interroger sur le besoin véritable de cette ouverture. Quand le besoin est légitime, il s’agit alors de protéger ce point d’accès.

Avec IDECSI, nous vous invitons à aller plus loin dans la sécurisation de votre messagerie et de Microsoft 365.

7 webinars flash pour une meilleure protection des données

Nos articles

Ces articles peuvent
vous intéresser

Supervision des groupes et des liens de partages dans Microsoft 365
Microsoft 365
Sécurité / IT

Supervision des groupes et des liens de partages dans Microsoft 365

Lire l'article
Microsoft 365
Actualité IDECSI
Sécurité / IT
stockage

Sécurité et Gouvernance des données à l'ère de l’IA & Numérique Responsable

Lire l'article
Sécurité OneDrive : 3 points d'attention pour mieux maîtriser les données
Microsoft 365
Sécurité / IT

Sécurité OneDrive : 3 points d'attention pour mieux maîtriser les données

Lire l'article
Etude IFOP-IDECSI-CESIN : Sécurité des données au travail
Tendances
Sécurité / IT

Les salariés français et la sécurité des données

Lire l'article

Protection des données, discutons de votre projet ?

 

Contactez-nous
video background