Enrichir son SIEM grâce à des alertes pertinentes sur Microsoft 365

A l’heure du Cloud et du collaboratif, combattre la menace numérique représente un budget très élevé pour les entreprises. Les outils comme ceux de la suite Microsoft 365 associés aux usages des utilisateurs mettent une pression supplémentaire sur les RSSI et les équipes de Sécurité contraints de gérer un nombre illimité de données, en constante augmentation.  

Les risques associés à l’utilisation quotidienne de Microsoft 365 

La force du collaboratif en entreprise est également sa faiblesse en sécurité. En effet, le paradoxe est tel que la puissance des outils exploités à son maximum permet de réaliser des tas d’actions qui peuvent mettre en péril la sécurité : accéder à des fichiers ou des boites mail, changer des paramètres, ajouter des règles automatiques comme celles de transfert d’email, des permissions… 

Qu’il s’agisse d’une intrusion externe dans le système d’information via une fraude à l’email ou une campagne de phishing, d’un abus de droit d’un collaborateur en interne (accès à des fichiers confidentiels, accès non autorisé à une boite de messagerie) ou encore des connexions, partages entre différents groupes d’utilisateurs, le risque pour l’entreprise est réel, souvent invisible et complexe pour les équipes de sécurité. 

Partager, synchroniser, accéder, paramétrer... autant d’opérations banales exécutées quotidiennement par des centaines ou milliers de collaborateurs. Comment identifier rapidement les menaces réelles dans ses outils de sécurité ou son tableau de bord personnel, MyDataSecurity ? 

Classifier les alertes importantes selon le niveau de risque 

Pour cela il est important de savoir où se situent les vulnérabilités et les points sensibles pour pouvoir faire remonter les « bonnes alertes ». Le niveau de risque est lié à plusieurs facteurs :  

• L’utilisateur a des usages et droits différents selon ses responsabilités, sa façon de travailler, ses habitudes (déplacement professionnel, assistant, smartphone).  
• Le contenu des ressources avec des données plus ou moins sensibles, confidentielles 
• Les applications (SharePoint, Messagerie, OneDrive, Teams, Yammer) ont des fonctionnalités et paramètres très spécifiques. Certaines actions peuvent avoir un impact global (exemple les règles de flux de messagerie). Il faut savoir les identifier au moment où elles se produisent.  

Pour faire remonter les bonnes alertes dans un SIEM, les responsables de la sécurité peuvent piloter et gérer les risques liés à Microsoft 365 selon les besoins en interne et des cas d’usages bien précis apportés par l’expertise d’IDECSI. 

Se concentrer sur les « alertes à risque élevé » 

La plateforme IDECSI agit comme un SIEM expert et apporte l’expertise pour les SIEMs déjà en place sur les applications Microsoft 365. Elle alerte dès qu’un comportement suspicieux ou potentiellement dangereux (nouvel accès, changement de configuration, partage illégitime…) est détecté. En amont, une phase d’apprentissage automatique permet d’établir des profils sur les différents cas d’usages de l’entreprise et sur le comportement des collaborateurs. 

La technologie d’IDECSI met en corrélation tous les facteurs pour évaluer le risque : l’utilisateur, l’action menée, son contexte (géolocalisation, horaires, protocole de connexion…), et l’application concernée (quel impact réel sur le SI).  

Grace à l’apprentissage automatique et une protection personnalisée, seules les alertes réelles sont remontées, en continu ou par des flux automatiques, aux équipes SSI. 

MyDataSecurity

Le tableau de bord MyDataSecurity est une composante de la plateforme IDECSI. Chaque utilisateur peut visualiser, à travers une interface mobile ou web, la liste des personnes qui accèdent à ses ressources (inbox, fichiers…) ou qui ont les droits pour y accéder à tout moment. Si la fonction d’alerting est activée, il pourra recevoir directement les notifications dont l’équipe Sécurité a décidé l’envoi lors de la configuration. L’utilisateur pourra indiquer si l’alerte est réelle ou correspond à un nouveau cas d’usage et l’équipe sécurité sera immédiatement informée. Dans le cas d’une opération légitime, l’utilisateur valide la notification et son profil est automatiquement mis à jour. Dans le cas d’une alerte, l’information est toute suite remontée aux équipes de sécurité. Cela permet de réduire les faux-positifs, de communiquer positivement avec l’utilisateur ainsi qu’une gestion efficace des événements. 

Sécurité, efficacité et rentabilité 

Cette approche permet aux responsables de la sécurité de monitorer l’ensemble du tenant Office 365 tout en optimisant la gestion des événements quotidiens et des risques. 

IDECSI collecte et analyse les logs sans jamais avoir accès au contenu (droit limité). La plateforme fournit les informations les plus pertinentes et fiables, certaines directement qualifiées par l’utilisateur, ce qui permet d’éviter un trop important volume du nombre d’événements liés à Office 365 stockés dans le SIEM, et d’optimiser les coûts (basés généralement sur le nombre de logs).  

Votre tableau de bord MyDataSecurity est enrichi avec l’expertise des applications IDECSI et permet une sécurisation globale sur Microsoft 365.  

Demandez une démo dans votre environnement