Blog IDECSI

Sécurité et Gouvernance des données sur M365 : 2 entreprises témoignent

Rédigé par Nathan Colombani | Oct 21, 2024 2:29:15 PM

A l’occasion des Assises de la Sécurité 2024, deux grands groupes français, TotalEnergies et Rocher, témoignent de leur stratégie, vision et des solutions mises en place pour gérer les enjeux de sécurité et de volumétrie autour notamment de la gouvernance des données sur Microsoft 365, du déploiement de l’intelligence artificielle et des ambitions de numérique responsable. 

Les outils de la suite Microsoft comme OneDrive, SharePoint, Teams, offrent aux utilisateurs une grande liberté de partage, et pour l’entreprise une plus grande efficacité en multipliant les possibilités de collaboration. Pour autant, cette liberté nécessite une gestion rigoureuse si l’on veut éviter les partages non sécurisés ou non conformes, et pour être en mesure d’identifier une malveillance. La gestion des espaces collaboratifs est essentielle, tant sur le plan de la sécurité, avec le risque de surexposition des données, que sur le cycle de vie des informations et la surconsommation de stockage. 

Dans ce cadre, l'utilisateur final est un acteur clé dont il est essentiel de garantir la participation active. Il joue en effet un rôle crucial dans la gestion des risques et du volume des données. Il est donc primordial de le responsabiliser et de lui fournir les outils nécessaires pour qu'il puisse gérer ses données de manière proactive.  

Comment identifier et éliminer les accès et les partages problématiques, dangereux ? Comment nettoyer les données inutiles, obsolètes de manière à maitriser le stockage ?  

Nos invités, Jean-Marc Boursat, CISO TotalEnergies et Jerome Etienne, CISO Groupe Rocher témoignent :

 
 Au programme :

 

Mitigation des risques sur Microsoft 365

 
 

L’un des principaux risques sur Microsoft 365 identifié par les entreprises est la fuite de données, souvent causée par le vol d’identifiants, l’usurpation d’identité ou un partage mal maîtrisé. Des solutions comme l’authentification multi-facteurs (MFA) peuvent réduire ce risque. 

Le Groupe Rocher a tenté de gérer ce problème avec son propre SOC, mais la gestion de la volumétrie des données et des exceptions (faux positifs, traitement lourd des alertes) s’est avérée très complexe. C’est pourquoi, le choix s'est porté sur une solution experte. 

Les deux RSSI ont souligné les capacités de la solution IDECSI à agir comme une plateforme d’audit et de supervision sur Microsoft 365, offrant des fonctions clés de monitoring, de détection, d’alerting, de remédiation et un module de revue de droits extrêmement efficace. 

Chez TotalEnergies, l’enjeu est de réduire la surface d’attaque en limitant les partages trop ouverts ou anonymes, les accès à la boite de messagerie (l’exposition des données).  

Par ailleurs, un des objectifs communs est de faire prendre conscience aux utilisateurs des risques existants dans les outils qu’ils utilisent au quotidien. Les deux entreprises ont mis en place un dispositif pour identifier et corriger les partages à risque grâce à l’implication des propriétaires de données avec MyDataSecurity. 

 

Sécurité des accès aux données


 

TotalEnergies a lancé le projet CheckMyShare pour permettre aux utilisateurs de gérer leurs partages de données de manière autonome, tout en assurant la sécurisation des accès 

Lors d’une première phase, la plateforme IDECSI a identifié plus de 47 000 points d'attention (risques) concernant les données partagées sur le tenant M365 de TotalEnergies. Ce chiffre peut sembler immense à l'échelle globale du tenant, mais si l'on se focalise sur chaque utilisateur, les propriétaires de données ont en moyenne 2 à 3 points d'attention à gérer. Cette approche centrée sur les utilisateurs finaux permet de s'attaquer à un problème important de volumétrie des partages, rendu gérable grâce à la délégation utilisateur.  

Chiffres clés 

  • 400 000 ressources collaboratives OD, SP, Outlook, Teams 
  • 1/3 des utilisateurs du tenant ont des points d’attention (risques identifiés) 
  • En moyenne, les propriétaires concernés ont 2 à 3 points d’attentions. 

De son côté, le groupe Rocher a instauré des campagnes mensuelles de révision des droits afin de garantir une gouvernance efficace des accès collaboratifs, autour des partages, des invités et des accès externes. Chaque 5 du mois, le process de revue de droits s’articule autour de 3 étapes :  

 
1- Un état des lieux sur les accès, partages, droits sur les données pour identifier les risques (configuration Outlook, partage anonymes, externes, ou obsolètes) :
 
exemple de rapport sur les points d'attention
 
 
2- Notification auprès des campagnes aux propriétaires de données, qui ont des points d’attention pour une action correctrice
 
 
 
 
3- Corrections et mesures des performances 

L’entreprise évalue la réduction des risques grâce à un rapport détaillé qui permet de suivre l’avancée des campagnes et de mesurer l'efficacité des actions de remédiation ainsi que les améliorations en matière de sécurité. Sur 4200 utilisateurs, 18% ont déjà réalisés des actions de correction 

 

 

exemple de rapport de suivi des campagnes


 

Maîtrise du stockage et de la volumétrie des données 

Les 2 groupes constatent chacun une explosion du volume de données collaboratives avec un impact direct sur le stockage disponible. Toutefois, seules 10% des données sont réellement utilisées, selon Microsoft. 

De plus, le stockage génère un coût énergétique souvent sous-estimé, qui s'accentue avec l'arrivée de l'IA. Il constitue donc un levier essentiel pour réduire l'empreinte écologique des systèmes d'information, notamment grâce à une meilleure gestion du stockage et à la suppression proactive des données inutiles. 

Les ambitions autour de sobriété numérique sont fortes au sein des 2 groupes,  

  • Le groupe Rocher, premier groupe international et engagé à adopter le statut d’entreprise à mission en 2019, a pour objectif de réduire de 30% de l’empreinte carbone de son système d’information, en favorisant notamment les usages numériques sobres. Grâce à la solution MyDataManagement, le groupe a supprimé 6 Téraoctet de données inutiles et volumineuses en moins de 3 mois. Les utilisateurs sont engagés dans ce dispositif.  
  • TotalEnergies a pour objectif de maitriser la croissance de son stockage qui est continue, en éliminant les données obsolètes, inutiles, trop volumineuses, les nombreuses versions.  

De manière générale, les utilisateurs des deux groupes ont trouvé l'outil intuitif. Des initiatives internes, telles que les "Cleaning Days" ou la Semaine du Numérique Responsable, viennent également renforcer l’action des métiers. 

Chiffres clés 

  • le groupe Rocher a supprimé 6 Téraoctet de données inutiles et volumineuses en moins de 3 mois 
  • TotalEnergies : 44% des utilisateurs ont des points d'attentions, soit 4 à 5 points d’attention /utilisateur et 31 Go /utilisateur à challenger 

Responsabilisation des utilisateurs

Les deux entreprises ont choisi de responsabiliser leurs utilisateurs, de les engager dans la suppression des risques et la gestion des accès aux données (nettoyage permissions et données inutiles, obsolètes).  

Objectif : Rendre l’utilisateur autonome en lui donnant la capacité de réagir lui-même dans la gestion de ses données. 

  • Pour le groupe Rocher, il est crucial de responsabiliser et d'impliquer les utilisateurs en s'appuyant sur des modes de fonctionnement familiers, tels que les alertes de sécurité de leurs banques ou de leur compte Netflix, ainsi que sur des interfaces très simples à utiliser. 
  • Le dispositif de communication est relativement simple et léger : il comprend deux e-mails de lancement avant les campagnes de remédiation, des publications sur Yammer et des vidéos explicatives.   
  • Les résultats sont déjà favorables, 40% des utilisateurs du tenant se connectent régulièrement sur MyDataSecurity pour gérer leur données (avec en moyenne 20% qui effectuent des actions de remédiation). 
  • Grâce au projet CheckMyShare, TotalEnergies permet à chaque utilisateur de contrôler ses partages et d’assainir ses données. Les entités locales du groupe ont à leur disposition tout le matériel de communication pour lancer leurs propres campagnes de « nettoyage » favorisant une approche au plus près des métiers. Les équipes TotalEnergies ont fait appel à la société I-tracing pour gérer entre autres le plan de communication. 

Déploiement de l'IA générative 

TotalEnergies a intégré Copilot pour Microsoft 365 auprès de plus de 30 000 utilisateurs. L'IA générative modifie le paradigme et renforce l'importance d'une solution de maîtrise des partages, car elle exploite toutes les données stockées dans Microsoft 365 ainsi que les permissions associées. Comment peut-on structurer la gestion du cycle de vie des données dans Microsoft 365 afin de garantir la conformité, la qualité et la sécurité ?  

L’hygiène numérique est un des facteur clé de succès lors d’un déploiement de l’IA à l’échelle pour assurer la qualité et la sécurité. Il permet de gérer les multiples versions de fichiers, pour ne pas garder des information trop volumineuses ou trop anciennes, de nettoyer les permissions trop étendues, et de couvrir le risque d’obsolescence et de surexposition des données. 

 
L'explosion des données complique les enjeux de sécurité, de gestion des accès et des partages, ainsi que la pertinence des données requises pour l'IA et la volumétrie des données. Ces initiatives illustrent comment une gestion proactive et responsable des données peut renforcer la sécurité, réduire les risques et optimiser les ressources au sein d'un environnement Microsoft 365. 

Les invités à l’honneur :  

-Jérôme Etienne, CISO Group Rocher, groupe familial indépendant présent dans 118 pays. Le Groupe Rocher, entreprise française d'origine bretonne, possède des marques comme Yves Rocher, Arbonne, Petit Bateau, Stanhome, Kiotis…

-Jean-Marc Boursat CISO du groupe TotalEnergies, est une multinationale opérant dans plus de 130 pays, engagée dans la production et la fourniture d’énergies renouvelables et fossiles, qui met l'accent sur l'innovation technologique et la transition énergétique. L’entreprise adapte ses stratégies pour répondre aux enjeux mondiaux tout en favorisant une approche durable pour réduire son empreinte écologique et contribuer à un avenir énergétique responsable.