A l’occasion des Assises de la Sécurité 2024, deux grands groupes français, TotalEnergies et Rocher, témoignent de leur stratégie, vision et des solutions mises en place pour gérer les enjeux de sécurité et de volumétrie autour notamment de la gouvernance des données sur Microsoft 365, du déploiement de l’intelligence artificielle et des ambitions de numérique responsable.
Les outils de la suite Microsoft comme OneDrive, SharePoint, Teams, offrent aux utilisateurs une grande liberté de partage, et pour l’entreprise une plus grande efficacité en multipliant les possibilités de collaboration. Pour autant, cette liberté nécessite une gestion rigoureuse si l’on veut éviter les partages non sécurisés ou non conformes, et pour être en mesure d’identifier une malveillance. La gestion des espaces collaboratifs est essentielle, tant sur le plan de la sécurité, avec le risque de surexposition des données, que sur le cycle de vie des informations et la surconsommation de stockage.
Dans ce cadre, l'utilisateur final est un acteur clé dont il est essentiel de garantir la participation active. Il joue en effet un rôle crucial dans la gestion des risques et du volume des données. Il est donc primordial de le responsabiliser et de lui fournir les outils nécessaires pour qu'il puisse gérer ses données de manière proactive.
Comment identifier et éliminer les accès et les partages problématiques, dangereux ? Comment nettoyer les données inutiles, obsolètes de manière à maitriser le stockage ?
Nos invités, Jean-Marc Boursat, CISO TotalEnergies et Jerome Etienne, CISO Groupe Rocher témoignent :
L’un des principaux risques sur Microsoft 365 identifié par les entreprises est la fuite de données, souvent causée par le vol d’identifiants, l’usurpation d’identité ou un partage mal maîtrisé. Des solutions comme l’authentification multi-facteurs (MFA) peuvent réduire ce risque.
Le Groupe Rocher a tenté de gérer ce problème avec son propre SOC, mais la gestion de la volumétrie des données et des exceptions (faux positifs, traitement lourd des alertes) s’est avérée très complexe. C’est pourquoi, le choix s'est porté sur une solution experte.
Les deux RSSI ont souligné les capacités de la solution IDECSI à agir comme une plateforme d’audit et de supervision sur Microsoft 365, offrant des fonctions clés de monitoring, de détection, d’alerting, de remédiation et un module de revue de droits extrêmement efficace.
Chez TotalEnergies, l’enjeu est de réduire la surface d’attaque en limitant les partages trop ouverts ou anonymes, les accès à la boite de messagerie (l’exposition des données).
Par ailleurs, un des objectifs communs est de faire prendre conscience aux utilisateurs des risques existants dans les outils qu’ils utilisent au quotidien. Les deux entreprises ont mis en place un dispositif pour identifier et corriger les partages à risque grâce à l’implication des propriétaires de données avec MyDataSecurity.
TotalEnergies a lancé le projet CheckMyShare pour permettre aux utilisateurs de gérer leurs partages de données de manière autonome, tout en assurant la sécurisation des accès.
Lors d’une première phase, la plateforme IDECSI a identifié plus de 47 000 points d'attention (risques) concernant les données partagées sur le tenant M365 de TotalEnergies. Ce chiffre peut sembler immense à l'échelle globale du tenant, mais si l'on se focalise sur chaque utilisateur, les propriétaires de données ont en moyenne 2 à 3 points d'attention à gérer. Cette approche centrée sur les utilisateurs finaux permet de s'attaquer à un problème important de volumétrie des partages, rendu gérable grâce à la délégation utilisateur.
Chiffres clés
De son côté, le groupe Rocher a instauré des campagnes mensuelles de révision des droits afin de garantir une gouvernance efficace des accès collaboratifs, autour des partages, des invités et des accès externes. Chaque 5 du mois, le process de revue de droits s’articule autour de 3 étapes :
L’entreprise évalue la réduction des risques grâce à un rapport détaillé qui permet de suivre l’avancée des campagnes et de mesurer l'efficacité des actions de remédiation ainsi que les améliorations en matière de sécurité. Sur 4200 utilisateurs, 18% ont déjà réalisés des actions de correction
exemple de rapport de suivi des campagnes
Les 2 groupes constatent chacun une explosion du volume de données collaboratives avec un impact direct sur le stockage disponible. Toutefois, seules 10% des données sont réellement utilisées, selon Microsoft.
De plus, le stockage génère un coût énergétique souvent sous-estimé, qui s'accentue avec l'arrivée de l'IA. Il constitue donc un levier essentiel pour réduire l'empreinte écologique des systèmes d'information, notamment grâce à une meilleure gestion du stockage et à la suppression proactive des données inutiles.
Les ambitions autour de sobriété numérique sont fortes au sein des 2 groupes,
De manière générale, les utilisateurs des deux groupes ont trouvé l'outil intuitif. Des initiatives internes, telles que les "Cleaning Days" ou la Semaine du Numérique Responsable, viennent également renforcer l’action des métiers.
Chiffres clés
Les deux entreprises ont choisi de responsabiliser leurs utilisateurs, de les engager dans la suppression des risques et la gestion des accès aux données (nettoyage permissions et données inutiles, obsolètes).
Objectif : Rendre l’utilisateur autonome en lui donnant la capacité de réagir lui-même dans la gestion de ses données.
TotalEnergies a intégré Copilot pour Microsoft 365 auprès de plus de 30 000 utilisateurs. L'IA générative modifie le paradigme et renforce l'importance d'une solution de maîtrise des partages, car elle exploite toutes les données stockées dans Microsoft 365 ainsi que les permissions associées. Comment peut-on structurer la gestion du cycle de vie des données dans Microsoft 365 afin de garantir la conformité, la qualité et la sécurité ?
L’hygiène numérique est un des facteur clé de succès lors d’un déploiement de l’IA à l’échelle pour assurer la qualité et la sécurité. Il permet de gérer les multiples versions de fichiers, pour ne pas garder des information trop volumineuses ou trop anciennes, de nettoyer les permissions trop étendues, et de couvrir le risque d’obsolescence et de surexposition des données.
L'explosion des données complique les enjeux de sécurité, de gestion des accès et des partages, ainsi que la pertinence des données requises pour l'IA et la volumétrie des données. Ces initiatives illustrent comment une gestion proactive et responsable des données peut renforcer la sécurité, réduire les risques et optimiser les ressources au sein d'un environnement Microsoft 365.
-Jérôme Etienne, CISO Group Rocher, groupe familial indépendant présent dans 118 pays. Le Groupe Rocher, entreprise française d'origine bretonne, possède des marques comme Yves Rocher, Arbonne, Petit Bateau, Stanhome, Kiotis…
-Jean-Marc Boursat CISO du groupe TotalEnergies, est une multinationale opérant dans plus de 130 pays, engagée dans la production et la fourniture d’énergies renouvelables et fossiles, qui met l'accent sur l'innovation technologique et la transition énergétique. L’entreprise adapte ses stratégies pour répondre aux enjeux mondiaux tout en favorisant une approche durable pour réduire son empreinte écologique et contribuer à un avenir énergétique responsable.