Selon le baromètre de la cybersécurité 2021 du CESIN, la négligence ou erreur de manipulation d'un administrateur interne ou d'un salarié est l’une des premières causes d’incidents de sécurité. Une mauvaise utilisation des outils peut compromettre la sécurité de leurs données sur les solutions Microsoft 365.
C’est pourquoi, il faut essayer de comprendre ce qui manque aux utilisateurs aujourd’hui pour mieux utiliser les outils Microsoft 365 et améliorer la sécurité de leurs données.
L’utilisateur n’a aujourd’hui pas de visibilité claire sur les actions réalisées sur ses données. Pourtant cette visibilité est un premier pas pour éviter certaines erreurs humaines ou pour comprendre l’état de ses données dans le temps.
« La prévention est tout aussi importante que la détection, dans laquelle l’utilisateur est lui-même un atout indispensable » Islem Djouini, CISO Corporate, L’Oréal.
Dans la majorité des outils utilisés, Microsoft Teams, SharePoint ou Outlook, il est difficile pour l’utilisateur de voir qui a pu accéder, qui a des droits sur les données ou qui a des droits d’administration sur sa BAL.
Même si certaines informations lui sont transmises, elles restent dispersées sur les différentes applications et sont compliquées d’accès. Seul, OneDrive propose une rubrique claire des partages réalisés sur les données dans son interface web.
Pour simplifier sa visibilité, l’ensemble des informations devrait être réuni dans un espace consolidé où il pourra prendre connaissance des effets de ses partages. Par exemple, les propriétaires de site SharePoint doivent pouvoir vérifier et corriger simplement les autorisations.
Si chaque collaborateur à son échelle participe activement et régulièrement à la maitrise de ses partages, cela permettra de réduire les vulnérabilités et de renforcer une sécurité globale.
Au-delà du manque de visibilité, il y a également un sujet de compréhension des risques : est-ce que les utilisateurs sont suffisamment matures pour comprendre les risques d’exposition liés à un partage par exemple ? Comment savoir quelles données comportent des risques et lesquelles vérifier dans cette interface ?
Le volume de partages réalisés peut être colossal et l’utilisateur manque de temps pour vérifier régulièrement les permissions et les accès donnés. Pour simplifier le travail de revue, il faudrait que l’utilisateur puisse identifier rapidement les éléments à risque sur ses données : partages anonymes, partages externes, configuration élevée.
Pour cela, l’utilisateur a besoin d’avoir une interface et des éléments visuels pour rapidement visualiser les points d’attention prioritaires et alerter ou corriger le problème.
La sécurité des données n’est pas la priorité de chaque collaborateur. En effet, ils n’ont pas forcément le réflexe de revoir les accès et les partages sur leurs données dans le temps.
C'est pourquoi, mettre en place des campagnes de revues de droits régulières permet d’entamer un processus de revalidation et de créer une routine sécurité pour les utilisateurs.
Et pour que les utilisateurs s’investissent dans ces campagnes, il faut bien communiquer et cela passe par :
Un autre point manquant pour aider les utilisateurs à sécuriser leurs données est la correction des accès ou des droits.
Dans Microsoft 365, la revue des droits n’est pas simple ni intuitive pour l’utilisateur.
Pour revoir un droit, l’utilisateur doit être capable d’identifier lui-même les fichiers à vérifier, ouvrir chaque fichier pour découvrir qui a des droits et ensuite revoir manuellement chaque droit donné.
De plus, plusieurs paramètres peuvent compliquer la tâche : plusieurs liens créés, un partage a un certain nombre de personnes, besoin d’enlever un droit partiellement, etc.
L’utilisateur a donc besoin d’une mécanique simplifiée où la revue d’un droit peut se faire en seulement quelques clics.
Pour répondre à ces 4 éléments qui manquent aux utilisateurs et les engager dans la sécurité des données, IDECSI a développé MyDataSecurity.
MyDataSecurity est un dashboard, simple, clair, qui met en évidence les potentiels risques de sécurité aux utilisateurs.