Microsoft Teams : 5 points clés pour la protection des données

Dans un contexte de crise et de généralisation du télétravail, le recours aux outils collaboratifs tels que Teams a été primordial pour maintenir la fluidité des échanges à distance entre collaborateurs.

La maitrise totale du fonctionnement, des partages, des configurations qu’offre l’outil est un sujet particulièrement sensible notamment pour la protection des données Microsoft 365.

Microsoft Teams, un outil collaboratif qui a transformé l’organisation du travail  

L’application Microsoft Teams a connu une intensification de son utilisation depuis mars 2020, en passant de 44 millions d’utilisateurs à 145 millions en moins d’un an. (1) 

Teams détient un champ de fonctionnalités puissantes qui ne cesse de s’étendre depuis sa création en 2017 : Messagerie et appels instantanés, vidéoconférence, planification des tâches, gestion de projet ou encore partages et stockages de fichiers.  Les utilisateurs détiennent, avec cet outil collaboratif, une grande autonomie d’utilisation. C’est d’ailleurs ce qui en fait un outil complexe, à la fois à gérer d’un point de vue administration mais également pour les utilisateurs qui se confondent dans les usages. 

Selon une étude IFOP, 25% des salariés n’utilisent pas certains outils informatiques (documents partagés, connexion à distance, outils collaboratifs, etc.) par crainte de problèmes de sécurité ou de confidentialité.

L’autonomie des utilisateurs, le caractère collaboratif de l’outil et l’émergence de nouvelles fonctionnalités posent de réelles contraintes aux équipes SSI.  Elles font face à un volume important de données à superviser, et doivent adapter leur politique de sécurité pour ne pas trop bloquer ni trop ouvrir de droits aux utilisateurs afin de réduire les risques.

Sans oublier que l’adoption massive de Teams s’est récemment faite dans un contexte de crise et d’urgence, et que le contexte cyber met une pression supplémentaire dans la détection des intrusions et menaces. Alors comment assurer une meilleure gouvernance et protection des données dans Teams ?

• 1. Comprendre et maitriser les risques liés à Microsoft Teams
• 2. Améliorer la maitrise des droits sur Teams
• 3. Protéger les données sensibles sur Teams
• 4. Assurer les suivis de partages dans Teams dans le temps
• 5. Sensibiliser et impliquer l'utilisateur dans la protection des données

Comprendre et maitriser les risques liés à Microsoft Teams

Un outil collaboratif et connecté

Avec Teams, les collaborateurs sont devenus hyperconnectés grâce notamment à cette application qui agit comme une application de messagerie personnelle (Messenger, WhatsApp…). Les échanges entre équipes sont devenus très accessibles : depuis n’importe quel endroit (ex : chez soi, en vacances ou au bureau), depuis n’importe quel appareil (ex : tablette, ordinateur, portables) ou encore à n’importe quelle heure.

Cette ultra connexion engendre des risques notamment pour les données de l’entreprise et demande aux équipes sécurité une vigilance renforcée.  Qui fait quoi et peut faire quoi ? Qui partage quoi ? Les partages de données évoluent de manière instantanée et peuvent laisser place à une malveillance ou une compromission (ex : usurpation d’identité, un accès depuis un pays suspicieux ou encore une connexion depuis un nouvel appareil). 

Microsoft Teams / SharePoint Online : comment ça fonctionne ?

Chaque utilisateur peut être membre de plus de 1000 équipes différentes Teams. (Chiffres Microsoft) 
Une équipe Teams peut comprendre jusqu’à 25000 membres (Chiffres Microsoft) 
 
Teams et SharePoint sont deux outils qui se complètent .
Les fichiers de Teams sont stockés dans SharePoint :

Source : Microsoft

A chaque fois qu’une « Equipe » Teams est créée, parallèlement SharePoint va créer une librairie de fichiers pour gérer et stocker les documents de l’espace (ex : onglet « fichiers » dans Teams). La librairie SharePoint est directement accessible via le canal Teams.

SharePoint sauvegarde les fichiers supprimés de Teams : il n’est pas possible de récupérer un fichier supprimé via Teams mais via la corbeille SharePoint associée à l’Equipe et ce pendant 30 jours.

La console d’administration SharePoint Online définit les configurations par défaut :

• Les partages à l’externe
• Les types de lien, durées d’expiration des liens
• Les groupes de permissions

et complète celles de Teams - Teams dispose de trois niveaux d’accès : 

• Le propriétaire qui détient un contrôle total
• Les membres qui peuvent modifier
• Les visiteurs qui ont juste un droit de lecture  

Il est possible d’affiner ces droits d’accès via SharePoint online. 

Les risques de partages sur Teams : externes, malveillants, illégitimes

Le risque de fraude ou de compromission sur le système d’information via un accès, une configuration ou un partage peut se révéler conséquent pour une entreprise. Les risques et menaces sont multiples : 

• Compte compromis et divulgation de données 

PARTAGES MALVEILLANTS / ILLÉGITIMES : Les données partagées avec un ou plusieurs correspondants sur Teams peuvent être divulguées contre la volonté de l’utilisateur si un des comptes est compromis. L’occurrence du risque peut être complexe à détecter car il faut que l’utilisateur s’en aperçoive. 

• Erreurs de configuration et accès trop larges 

PARTAGES ANONYMES / ILLÉGITIMES : La multiplication des méthodes de partage fait qu’une erreur de configuration est toujours possible dans Teams. Cette erreur peut venir de l’utilisateur ou de l’administrateur. (Ex : Un collaborateur partage un fichier sensible via un lien anonyme à un collègue. Si ce dernier décide de transmettre le lien à une autre personne ou à un compte externe, une fuite d'information peut rapidement arriver...) 

•  Gestion des partages Teams dans le temps 

PARTAGES EXTERNES / OBSOLÈTES : Il est important d’avoir une maîtrise de ses droits pour qu’ils ne deviennent pas obsolètes à un instant T. Pour cela, il est important de vérifier si les personnes ayant accès aux données, sont encore légitimes d’y accéder (ex : prestataire sur un ancien projet). 

Afin d’éviter les erreurs humaines et les risques de fuite de données, il est important de bien maîtriser en permanence les accès, droits, partages et configurations sur Teams. 

Améliorer la maitrise des droits sur Microsoft Teams 

S'assurer que les bonnes pratiques sur la sécurité des données Microsoft Teams soient suivies est primordial pour un outil aussi puissant. Par exemple, s’assurer que les données à un instant T et dans le temps sont accédées et partagées par et avec les bonnes personnes, à l’intérieur et à l’extérieur de l’entreprise : 

• Un administrateur peut définir les configurations de sécurité pour les utilisateurs : L’utilisateur ne peut pas aller à l’encontre d’un administrateur et être plus permissif que les règles établies (ex : impossibilité d’inviter des invités dans un canal Teams) 
• Suivre l’évolution des droits : Ils peuvent devenir obsolètes ou résulter d’une erreur de manipulation. Par exemple si une personne n’est plus autorisée à avoir accès à un fichier d’entreprise (ancien salarié de l’entreprise, mutation en interne, consultant externe) ou si un collaborateur a donné trop de droits sur un fichier lors de son partage. 
• Dissocier appareils personnels et professionnels pour pouvoir gérer et encadrer l’installation et la synchronisation des applications notamment sur les mobiles : Il faut être vigilent sur le niveau de droits accordés lors de la synchronisation d’une nouvelle app, qui si elle est compromise peut-être à l’origine d’un début d’intrusion ou fuite. 
• Gérer la compliance pour les données sensibles : Documents confidentiels, groupe et équipes stratégiques... s’assurer que seules les personnes légitimes ont accès à ces données. 
• Vérifier à quoi les invités ont accès dans les Equipes Teams : Les invités ont accès à tous les fichiers partagés dans les équipes Teams, pour autant il n’existe aucune restriction procédurale pour déterminer leurs privilèges d’accès.

Quelle stratégie de partages à adopter sur Teams ?

• Optimiser sa visibilité de partages

• Eviter les détournements de partages en passant par SharePoint 

• Eviter les partages illégitimes

Protéger les données sensibles sur Microsoft Teams

Concernant les données sensibles il est important, de bien les identifier, et les cartographier : où se trouvent-elles ? quelles personnes sont légitimes d’y accéder ? qui peut y accéder ? afin de définir les leviers à mettre en place :

• Déclarer les utilisateurs externes via Azure AD : A partir d'Azure AD, les administrateurs peuvent choisir que ces externes détiennent les mêmes règles de sécurité qu'un collaborateur interne (ex: MFA, temps de connexion) 
• Créer une gestion des ressources collaboratives par les propriétaires de groupes Teams : Il est important de responsabiliser chaque propriétaire de groupe Teams pour qu’il puisse superviser les accès aux ressources sensibles voire confidentielles et répondre à la question « Qui a accès à quoi ? » afin de déterminer à qui il donne les accès, droits et partages dans le temps. 
• Classifier les données sensibles via MIP : Microsoft Information Protection permet de classifier des données dites sensibles au sein d'un dossier partagé Teams. Il permet même de crypter certains documents et dossiers dit 'hautement confidentiels’ pour éviter d'avoir des partages ou des accès illégitimes. 
• Gérer les groupes sensibles : Teams permet de créer un nombre important de conversations et de groupes. Pour assurer le suivi des partages, il est important de distinguer les groupes sensibles sur Teams ainsi que les membres et invités avant le partage de fichiers confidentiels. (Ex : Groupes R&D traitent des fichiers plus confidentiels).   
• Créer des canaux privés : Teams permet de restreindre les accès sur un canal spécifique. Cette action permet à un propriétaire ou un collaborateur de l’équipe de sécuriser certaines informations de l’équipe à un groupe d’individus. En créant un canal privé, l’utilisateur devra sélectionner les personnes pouvant y accéder. On peut alors restreindre l’accès à des informations dites « sensibles » aux personnes externes ou n’étant pas autorisées à accéder à l’information.  
  A venir également, Teams Connect (ou canaux partagés) permettra de donner des accès à un canal sans aucune visibilité sur le reste de l'équipe Teams.

Pour rappel, il est possible d’appliquer des restrictions de droits et de partages sur un dossier ou répertoire spécifique via SharePoint online. 

Assurer les suivis de partages dans Teams dans le temps

Il est important de gérer les accès, droits et partages dans Teams afin d’éviter ceux malveillants, illégitimes ou encore anonymes.

1. Être en capacité d'identifier et de corriger les droits trop élevés

• Ne pas donner de droits trop élevés à certains membres : Etablir une échelle de droits en fonction du membre, afin d’éviter les erreurs humaines. Par exemple, le principe de moindre privilège qui permet de restreindre les droits d'accès d'un  utilisateur précis, afin qu'il n'ait accès qu'aux fichiers nécessaires pour effectuer son travail.
• Eviter les escalades de droits : chaque membre ayant reçu des droits sur un fichier, peut par la suite partager ce dernier à d’autres membres non                  légitimes.  Il est donc important de définir à qui donner les droits sur des             données confidentielles. 

2. Désactiver les partages externes

Il est possible pour chaque administrateur de désactiver le partage externe d’un fichier SharePoint/OneDrive en bloquant les domaines n’appartenant pas à son organisation, ainsi il est impossible d’ajouter des fichiers sensibles via des équipes Teams incluant des invités.

3. Veiller à l’évolution de l’outil collaboratif

Teams est un outil collaboratif qui ne cesse d’évoluer et de proposer des nouvelles fonctionnalités de partages pour les utilisateurs, il est important de suivre ses mises à jour pour protéger et optimiser efficacement la protection de ses données sensibles. S’appuyer sur des expertises ou solutions spécialisées permet de gérer efficacement ces évolutions pour son SI.

4. Garantir la justesse des droits par la revue de droits (recertification des partages)

Il est important d’examiner régulièrement les droits accordés aux membres et invités pour rectifier les droits obsolètes et illégitimes (ex : personnes n'ayant plus besoin d'accéder aux documents, anciens collaborateurs) et particulièrement dans le temps.

Sensibiliser et impliquer l’utilisateur dans la protection des données sur Teams

Sensibiliser et rendre les collaborateurs autonomes

« 60 % des cyberattaques peuvent être attribuées à des comportements humains inadéquats » - Accenture  

Il est important pour les Responsables SI et Digital Workplace de sensibiliser et d’impliquer les collaborateurs sur les dangers et les risques de fuites de données. Les collaborateurs doivent gagner en maîtrise de l’outil pour éviter des erreurs de manipulation. 

Pour sensibiliser les collaborateurs, les entreprises peuvent mettre en place différentes actions : 

• Des workshops : Ce format de réunion permet de travailler de manière collaborative avec les collaborateurs afin de les sensibiliser à l’usage d’outils collaboratifs comme la création d’Equipes ou canaux fonctionnels sur Teams. 
• Des formations : Former les collaborateurs a pour but de faire adhérer aux différentes fonctionnalités de l’outils et les usages possibles à retranscrire dans leur quotidien et aux usages de leur entreprise. (Ex : notamment dans le cadre du travail à distance où l’utilisation de Teams a été très importante) 
• Des campagnes de recertification : Mettre en place des campagnes auprès des collaborateurs permet de leur rappeler, à fréquence voulue, de maintenir les bons droits sur Teams et d’identifier toute erreur de configuration.  
• De la communication interne : Les entreprises peuvent mettre en place différentes actions marketing comme des emailing pour rappeler les enjeux de la protection des données dans l’utilisation de Microsoft Teams, SharePoint Online ou encore OneDrive for Business 

Ces différentes actions de sensibilisation permettront également de les impliquer davantage dans la protection de leurs données, et de les responsabiliser par : 

               → Un meilleur usage de leurs outils collaboratifs 
               → Une gestion autonome de leurs accès, droits et partages  
               → Une revue de droits à jour dans le temps 

Apporter visibilité et confiance dans l'usage des outils collaboratifs

Donner de la visibilité à l’utilisateur sur l’usage de sa donnée permet de le rassurer, de l’impliquer et de l’encourager à utiliser les outils à bon escient. 

Selon une étude de l’IFOP, plus de 8 salariés sur 10 souhaitent être acteurs de la sécurité des données de leur entreprise (IFOP). Et 81% des salariés interrogés souhaitent pouvoir bénéficier d’un tableau de bord pour suivre qui fait quoi ? Qui peut faire quoi ? Qui accède à quoi ? 

Effectivement une meilleure visibilité des utilisateurs sur leurs accès, droits, partages à plusieurs bénéfices :

• Alerter les équipes Sécurité

             • Une nouvelle connexion illégitime
             • Un accès depuis un appareil qui n’est pas identifié
             • Un partage malveillant ou anonyme sur Teams 

• Corriger leurs erreurs de manipulation/ de configuration :

             • Un droit trop important
             • Un accès illégitime sur une donnée sensible
             • Des partages obsolètes  

Sensibilisation et visibilité permettent aux utilisateurs de gagner en efficacité dans l’usage de Teams, SharePoint Online et OneDrive for Business et d’éviter des conséquences lourdes d’une erreur de configuration liée à l’activité normale d’un utilisateur.   

Sur Teams, les propriétaires doivent aussi détenir une vision parfaite de la composition de leurs Equipes et canaux pour corriger rapidement les erreurs de configuration :  

                    • La légitimité des membres et invités présents dans les Equipes et Canaux
                    • Les fichiers sensibles SharePoint partagés dans leurs Equipes  

• Aider les équipes sécurité lors d’une levée de doute : 

Le faire via un outil simple et user-friendly à utiliser permettrait d’impliquer davantage l’utilisateur dans la gestion saine de ses données, et celles de l’entreprise ainsi que dans l’appropriation des différents risques de fuite de données. 

Protégez vos données sur Microsoft Teams avec IDECSI

Collaboratif et cybersécurité sont les deux grands enjeux de la protection des données pour les entreprises. Impliquer les utilisateurs semble aujourd’hui incontournable face à leur autonomie dans l’usage d’outils collaboratifs, et à l’évolution constante d’un outil de plus en plus puissant comme Teams. 

La solution « MyDataSecurity » d’IDECSI permet à chaque collaborateur d’avoir une visibilité maximale grâce à un dashboard personnalisé regroupant les droits, accès et partages. L’utilisateur peut identifier d'un coup d’œil ses erreurs de configurations et les comportements anormaux puis de les signaler aux équipes sécurité ou encore de les remédier directement.

De l’autre côté, grâce à un back office expert, les équipes sécurité supervisent les opérations et gagnent en efficacité (optimisation du SOC, analyse).  IDECSI s’appuie sur des modèles de menaces préconfigurés et un alerting en temps réel des menaces les plus virulentes. 

Avec IDECSI, bénéficiez d’une plateforme SaaS de monitoring, détection, audit et remédiation experte sur la protection des données Microsoft 365 et on-premise, et positionner chaque utilisateur, contributeur de la sécurité de son entreprise. 

1. Microsoft Teams compte désormais 145 millions d'utilisateurs actifs quotidiens (siecledigital.fr)
2. Accenture, « State of Cybersecurity Report 2020
3. Etude IFOP pour IDECSI