Blog IDECSI

4 éléments manquants pour mieux sécuriser les données Microsoft

Rédigé par Caroline Bourgoin | Feb 7, 2023 7:30:00 AM

Selon le baromètre de la cybersécurité 2021 du CESIN, la négligence ou erreur de manipulation d'un administrateur interne ou d'un salarié est l’une des premières causes d’incidents de sécurité. Une mauvaise utilisation des outils peut compromettre la sécurité de leurs données sur les solutions Microsoft 365.

C’est pourquoi, il faut essayer de comprendre ce qui manque aux utilisateurs aujourd’hui pour mieux utiliser les outils Microsoft 365 et améliorer la sécurité de leurs données.



Manque de visibilité sur les accès et partages des données Microsoft 365

L’utilisateur n’a aujourd’hui pas de visibilité claire sur les actions réalisées sur ses données. Pourtant cette visibilité est un premier pas pour éviter certaines erreurs humaines ou pour comprendre l’état de ses données dans le temps.

« La prévention est tout aussi importante que la détection, dans laquelle l’utilisateur est lui-même un atout indispensable » Islem Djouini, CISO Corporate, L’Oréal.

Dans la majorité des outils utilisés, Microsoft Teams, SharePoint ou Outlook, il est difficile pour l’utilisateur de voir qui a pu accéder, qui a des droits sur les données ou qui a des droits d’administration sur sa BAL.

Même si certaines informations lui sont transmises, elles restent dispersées sur les différentes applications et sont compliquées d’accès. Seul, OneDrive propose une rubrique claire des partages réalisés sur les données dans son interface web.

Pour simplifier sa visibilité, l’ensemble des informations devrait être réuni dans un espace consolidé où il pourra prendre connaissance des effets de ses partages. Par exemple, les propriétaires de site SharePoint doivent pouvoir vérifier et corriger simplement les autorisations.

Si chaque collaborateur à son échelle participe activement et régulièrement à la maitrise de ses partages, cela permettra de réduire les vulnérabilités et de renforcer une sécurité globale.

 

Identification rapide des données avec des risques de sécurité

Au-delà du manque de visibilité, il y a également un sujet de compréhension des risques : est-ce que les utilisateurs sont suffisamment matures pour comprendre les risques d’exposition liés à un partage par exemple ? Comment savoir quelles données comportent des risques et lesquelles vérifier dans cette interface ?

Le volume de partages réalisés peut être colossal et l’utilisateur manque de temps pour vérifier régulièrement les permissions et les accès donnés. Pour simplifier le travail de revue, il faudrait que l’utilisateur puisse identifier rapidement les éléments à risque sur ses données : partages anonymes, partages externes, configuration élevée.

Pour cela, l’utilisateur a besoin d’avoir une interface et des éléments visuels pour rapidement visualiser les points d’attention prioritaires et alerter ou corriger le problème.

 

Communication pour revoir les droits dans le temps

La sécurité des données n’est pas la priorité de chaque collaborateur. En effet, ils n’ont pas forcément le réflexe de revoir les accès et les partages sur leurs données dans le temps.

C'est pourquoi, mettre en place des campagnes de revues de droits régulières permet d’entamer un processus de revalidation et de créer une routine sécurité pour les utilisateurs.

Et pour que les utilisateurs s’investissent dans ces campagnes, il faut bien communiquer et cela passe par :

  • Le levier utilisé : l’email est la communication la plus classique en entreprise mais face à la multitude d’emails reçues par les utilisateurs, ils peuvent passer à coté de l’information. D’autres canaux existent pour communiquer en interne dans l’entreprise, Microsoft Teams, Intranet, Supports. La diversification des supports est clé.
  • Le message transmis : dans un premier temps, l’utilisateur a besoin de comprendre pourquoi une revue de droits est indispensable et pourquoi il doit y consacrer un peu de temps. Ensuite, il faut que le message soit clair et compréhensible, que l’utilisateur comprenne ce qu’il a à revoir pour faciliter la démarche.


Correction facilitée sur un partage de données

Un autre point manquant pour aider les utilisateurs à sécuriser leurs données est la correction des accès ou des droits.

Dans Microsoft 365, la revue des droits n’est pas simple ni intuitive pour l’utilisateur.
Pour revoir un droit, l’utilisateur doit être capable d’identifier lui-même les fichiers à vérifier, ouvrir chaque fichier pour découvrir qui a des droits et ensuite revoir manuellement chaque droit donné.
De plus, plusieurs paramètres peuvent compliquer la tâche : plusieurs liens créés, un partage a un certain nombre de personnes, besoin d’enlever un droit partiellement, etc. 

L’utilisateur a donc besoin d’une mécanique simplifiée où la revue d’un droit peut se faire en seulement quelques clics.

MyDataSecurity, le tableau de bord indispensable à chaque utilisateur pour mieux gérer la sécurité des données

Pour répondre à ces 4 éléments qui manquent aux utilisateurs et les engager dans la sécurité des données, IDECSI a développé MyDataSecurity.

MyDataSecurity est un dashboard, simple, clair, qui met en évidence les potentiels risques de sécurité aux utilisateurs.

  • Donner à chaque utilisateur de la visibilité sur les accès, partages et configurations de ses données
  • Lancer des campagnes de revue de droits d’un clic avec un mécanisme de vérification simplifié pour les utilisateurs : mise en avant des points sensibles, centralisation des informations, contenus compréhensibles, etc.
  • Réduire le temps de correction pour les utilisateurs avec une correction en seulement deux clics.