Licences Microsoft 365 : mieux comprendre les niveaux de sécurité

Pour renforcer et améliorer son dispositif de sécurité sur la suite Microsoft 365 et ses applications, les équipes administrateurs et sécurité doivent pouvoir identifier les capacités natives ainsi que les limites des outils et des fonctionnalités prévus par l'éditeur.

Microsoft propose en effet plusieurs niveaux de licences avec des fonctionnalités de sécurité et de conformité plus au moins élevées.
Le niveau le plus élevé est la licence Microsoft 365 E5, qui propose une couverture très complète et des fonctionnalités d’analyse et de visualisation des données avancées pour l'évaluation des risques en matière de conformité et sécurité.
Pour des raisons souvent budgétaires, la majorité des entreprises réserve ce niveau de licence à une population VIP, sensibles (membres du COMEX, administrateur sécurité,…). D'autres niveaux de licences intermédiaires, comme la licence Microsoft 365 E3, sont généralement choisis pour le reste des utilisateurs.
Enfin pour des utilisateurs qui auraient un usage plus limité, la licence Microsoft 365 E1 peut se révéler suffisante en terme de protection (usage ponctuel, accès seulement au service de messagerie).

Etant donné la priorité absolue de sécuriser les données et les outils collaboratifs notamment sur M365, il est nécessaire d'établir un premier état des lieux sur ce qu’intègrent ces licences E3 et E5, pour envisager de les compléter ou de les renforcer grâce à des solutions complémentaires pour Microsoft 365.

Nous avons identifié 3 cas d’usage sur lesquels il est nécessaire de se concentrer, pour détailler et comparer les fonctions natives, les limites Microsoft et la réponse d’IDECSI :

• Audit des permissions par les administrateurs
• Monitoring et alertes sur les accès aux données sensibles
• La revue de droits d’accès sur Microsoft 365
  
  

Audit des permissions par les administrateurs

Que propose Microsoft sur l’audit des permissions ?

Licence Microsoft E3

La licence E3 ne propose aucune possibilité de contrôle sur les permissions pour les administrateurs et les utilisateurs.

Licence Microsoft E5

La licence E5 comprend Microsoft Defender for Cloud Apps ( ex-MCAS).
Microsoft Defender permet de :

• Lancer des recherches par types de liens, niveaux de sensibilité, propriétaires
  Ici, le propriétaire est le créateur du document.
• Appliquer une remédiation sur les permissions

Cependant il existe certaines limites :

• Pas d'éclatement des groupes de sécurité

• Visibilité seulement sur les accès - Pas de vision des droits des utilisateurs,

Audit des permissions sur les données : la solution IDECSI

IDECSI propose en complément de l’offre Microsoft, un outil d’analyse pour les administrateurs. Il est possible d’attribuer une granularité dans le rôle des administrateurs en fonction de leur périmètre.

Cet outil, Permission Explorer apporte une :

• Visualisation des droits, des délégations d’un fichier, d’un dossier d’une ressource spécifique et l’historisation des accès sous forme de listes
• Recherche facilitée sur l’ensemble des données (cloud et on-premise) ou recherche fine par type de liens, niveau de sensibilité
• Recherche par utilisateur pour savoir « qui a la permission sur ? »
• Analyse des permissions et de leur structure : droit hérité ou direct ? À quel niveau est le droit ? Qui a des accès ?

Intégré avec la plateforme utilisateur MyDataSecurity, les équipes admins peuvent demander aux utilisateurs, via des campagnes de revue de droits, de valider les permissions ou accès sur leurs données.

Monitoring et alertes sur les accès aux données sensibles

Que prévoit Microsoft en fonction des licences sur le monitoring des données sensibles ?

Licence Microsoft E3

Dans Microsoft Purview, les administrateurs peuvent rechercher le journal d’audit unifié pour afficher les activités des utilisateurs et des administrateurs. Ces journaux sont disponibles pendant 90 jours.

Ils peuvent faire un audit manuellement pour comprendre par exemple :

• Qui a consulté un fichier sensible
• Les activités sur un fichier confidentiel (partage, suppression, etc.)

En fonction également de la politique de classification interne, les utilisateurs, quant à eux, pourront chiffrer des contenus sensibles et donc restreindre les accès avec les étiquettes Purview information Protection (MIP).

Licence Microsoft E5

Avec une licence E5, les journaux sont disponibles pendant un an (au lieu de 90 jours sur du E3).

Les administrateurs disposent également de l’outil Defender for Cloud Apps, qui permet de restaurer l'héritage des permissions (supprimer les permissions uniques et récupérer celles du dossier ou du site parent).
Via Defender for Cloud Apps il est possible de mettre en place un workflow pour alerter le propriétaire d'un document ou d'une ressource sur la déviation de comportement (ex : partage anonymes).

Les administrateurs peuvent recevoir des alertes lorsque :

• Un utilisateur partage des données sensibles avec l’externe
• Un utilisateur partage des données sensibles sans respecte la politique de sécurité de l’entreprise
• Des comportements anormaux sont effectués par un utilisateur

Par défaut l’utilisateur n’est pas alerté mais cela peut se programmer par des workflows.

Monitoring des données sensibles : IDECSI une solution complémentaire

IDECSI s’appuie sur les informations des étiquettes de sensibilité Microsoft Purview pour renforcer le monitoring et la protection des données sensibles.

Les administrateurs peuvent contrôler les données sensibles. Ils ont une cartographie des données en fonction des étiquettes de sensibilité et de leur exposition.
Ils ont accès à l’historique de tous les changements de configuration (y compris les permissions) et la rétention des journaux.
Les alertes peuvent être personnalisées, pour être au courant d’un changement de politique, un changement sur les actions de labellisation ou sur des données sensibles partagées.

IDECSI implique également les utilisateurs et propose une surveillance avancée avec :

• Une visibilité sur ses données classifiées grâce à une rubrique « Point d’attention » et des filtres sur les niveaux de classification
• Des notifications en temps réel du propriétaire de la donnée (utilisateur) en cas de modification des permissions, de nouveaux accès, de comportements anormaux
• Le propriétaire peut valider la modification ou l'accès, ou supprimer les utilisateurs finaux.

La revue de droits d’accès sur Microsoft 365

La revue des droits d’accès est une étape importante dans la protection des données.

Elle consiste à s’assurer que les droits d’accès des utilisateurs au niveau des données soient conformes à la politique de sécurité Microsoft 365 d'une entreprise et à l’activité de l’utilisateur.
Lire l'article sur la : Revue de droits dans Microsoft 365

La revue de droits d’accès en fonction du niveau de licence

Licence Microsoft E3

Les administrateurs n’ont pas de dispositif spécifique pour lancer des campagnes de revue de droits massives.

Quant aux utilisateurs, ils peuvent effectuer des revues mais ils devront se rendre dans chaque application et retirer manuellement, après plusieurs clics, les permissions données sur chaque fichier ou groupe.

Licence Microsoft E5

Via la fonction Azure AD Access Reviews, proposée dans la licence Azure AD P2 (compris dans E5), les administrateurs Azure AD peuvent suivre et recertifier manuellement des groupes internes et lancer des campagnes auprès des utilisateurs.

Note :
- Une seule licence nécessaire pour faire la revue des invités
- Revue possible soit sur tous les groupes avec les invités, soit groupe par groupe (ce qui nécessite de les sélectionner manuellement ou par une API)

Les campagnes de recertification peuvent être lancées sur des groupes Microsoft 365 : Teams ou SharePoint moderne.
La revue des accès s’appliquera uniquement aux membres des groupes. Les permissions ou liens de partages réalisés en dehors des membres d’une équipe Teams (sur SharePoint par exemple) ne pourront pas faire partie de la campagne de recertification.

Azure AD Access Reviews permet d’impliquer les utilisateurs sur les revues des accès. A la suite du lancement de la campagne, les propriétaires des groupes Teams / SharePoint recevront un email avec le groupe à vérifier. La vérification se fera uniquement au niveau des membres et ne concernera pas les canaux partagés.

Concernant la revue des permissions des autres applications (OneDrive, Exchange par exemple), l’approche sera la même que sur la licence E3, manuelle en se rendant sur chaque permission donnée.

IDECSI facilite la revue de droits d'accès dans Microsoft 365

IDECSI a développé un outil de recertification, MyDataSecurity, qui résout les contraintes de volumétrie et de complexité dans les processus de revue de droits, permettant de maintenir dans le temps la sécurité des données.

Les administrateurs disposent d’une plateforme pour planifier des campagnes de recertification. Le paramétrage est simplifié pour déterminer :

• Ciblage sur les ressources globales ou spécifiques
• Durée, périodicité
• Relances automatiques
• Personnalisation des emails et notifications

Des rapports sur les campagnes de revue de droits sont mis à disposition pour suivre les validations des utilisateurs et les remédiations initiées.

L’utilisateur dispose d’un tableau de bord de sécurité pour mettre en place une gouvernance sur ses données et une revue des droits, des accès, des partages depuis un portail unique, nommé MyDataSecurity.
Dans le cadre d’une campagne, les utilisateurs recevront en plus une notification pour recertifier l’ensemble des droits et pourront appliquer une remédiation automatique.

IDECSI renforce le niveau de sécurité des licences Microsoft 365

La licence Microsoft E5 embarque de nombreuses fonctionnalités et outils de sécurité et de conformité mais elle représente un budget IT non négligeable.

La solution IDECSI pour M365 complète l’offre de sécurité Microsoft et augmente la sécurité des données on-premise et sur Microsoft 365. La plateforme offre 5 fonctions clés pour un dispositif global de sécurité des données : Collecte et traçabilité, Revue de droits par les utilisateurs, contrôle et audit par les admins, alertes et investigation, rapports consolidés.

Les équipes de Microsoft et d’IDECSI ont travaillé sur une cartographie des grandes fonctions de sécurité essentielles de Microsoft 365. Ce document donne une meilleure visibilité aux entreprises sur la construction d’un dispositif global et optimisé.