Monitoring Office 365 : 3 cas à surveiller de près

Alors que le télétravail devient la nouvelle norme et que l’utilisation d’applications et d’outils de communication explosent, les incidents de sécurité et les cyberattaques se multiplient. Comment faire pour s’assurer que la situation n’échappe pas aux entreprises ou même aux utilisateurs. 

Voici 3 cas que nos experts recommandent de surveiller dans Office 365 pour protéger vos données et utilisateurs en période de confinement

En principe, les entreprises ont mis en place des protocoles de sécurité et des systèmes de détection de menaces et de la fraude pour accompagner leur déploiement dans le Cloud. Mais cette situation inédite du « tout le monde à distance » semble apporter son lot de risques et challenger les protocoles en place : explosion des origines de connexions, applications malveillantes, accès aux données sensibles, partages involontaires ou illégitimes de fichiers non sécurisés…

Voici 3 cas que nos experts sécurité recommandent de monitorer de près dans Office 365 :

1. Surveiller les applications qui se synchronisent au SI

Le travail à distance, la limite floue entre sphère privée et professionnelle dans l’utilisation des appareils par exemple (PC, smartphone pro, tablettes…), ou encore les espaces et documents collaboratifs, tant de facteurs qui impliquent l’usage de nouvelles et nombreuses applications.

Les applications qui se synchronisent sur le SI peuvent avoir des droits plus ou moins élevés, voir des comportements malveillants ou suspicieux. L’application de visioconférence Zoom par exemple, a été soupçonnée récemment de ne pas respecter la data privacy et plus grave encore, de fuite de données.

Alors que les utilisateurs sont de plus en plus avertis aux tentatives de phishing par usurpation d’identité et de vol de mot de passe grâce aux efforts de sensibilisation menés par les entreprises, ils ne sont généralement pas formés aux cas de phishing via obtention de droits ou App permissions.

La fuite de données à partir d’un compte utilisateur est souvent invisible pour l’utilisateur car elle peut venir d’une application malveillante déguisée :

A distance, les utilisateurs sont moins sensibles à la sécurité des app téléchargées et utilisées, et encore moins attentifs aux droits qu’ils accordent à ces applications. La sensibilisation sur ces nouveaux cas de fraude semble dans ce contexte incontournable.

2. Monitorer l’augmentation du stockage dans le cloud

Avec le travail à distance « comme si on était au bureau », il est primordial de vérifier ce qui se passe autour des données. Les transferts de données du on-premise vers des répertoires SharePoint ou OneDrive ne respectant pas toutes les normes de sécurité sont facilités et augmentés. Les fichiers vont avoir tendance à se balader un peu partout plutôt que de rester dans le site SharePoint on-premise sécurisé et mis en place par l’entreprise.

Pour la prévention de fuite de données, ou Data Loss Prevention voici quelques conseils :

• Contrôler régulièrement les accès aux données sensibles
• Superviser les usages OneDrive
  • Y a-t-il une consommation excessive d’un OneDrive d’un utilisateur ?
  • Est-ce qu’il by-pass, contourne les protocoles classiques de sécurité ?
• Suivre l’augmentation des partages et avoir une vue d’ensemble
  • Est-ce qu’il y a des comportements déviants de leurs normes ?
  • Surveiller les partages externes sur des domaines moins sécurisés
• Surveiller les comportements à risque
  • Par exemple, si un salarié a quitté l’entreprise mais continue d'accéder aux données de l'entreprise

3. Suivre l’explosion des origines de connexion

Avec tout le monde qui se connecte à distance et l’explosion de nouvelles adresses IP, il faut avoir une attention particulière aux origines de connexion. Les systèmes de détection mis en place jusqu’à présent sont souvent paramétrés sur un certain modèle de règle et pas forcément adaptés à cette situation extrême.

Il faut donc essayer de détecter des anomalies d’origine via :

• Connexion simultanée
  • 2 connexions au même moment à 2 endroits différents
• Campagne d’attaque en brute force
  • Login/ Authentification forcée via des dictionnaires de mot de passe

Par ailleurs, pour des environnements cloud sous monitoring, on peut détecter si par exemple il y a une connexion d’un pays suspect, c’est l’alerte prédicat pays de la plateforme de monitoring IDECSI.

D’autres cas y sont préconfigurés pour une détection efficace : Transport rules, Journal rules, Smtp Forward, Mode d’accès (IMAP protocole), Full access sur une boite mail, eDiscovery, Accès ou partage de ressource VIP (dossier protégé), Full Download, Unknown App permission..

Enfin, voici quelques étapes clés en cas d’attaque ou de suspicion de fraude à l’email (BEC) :

• Vérifier les règles d’usage afin de s’assurer de la non présence de protocoles autres que ceux standards au sein de l’entreprise,
• Passer en revue les modes d’accès utilisés grâce aux données collectées au préalable (monitoring),
• Faire l’inventaire des règles automatiques sur les comptes mail O365 sensibles ou qui auraient pu être exposés,
• Faire l’inventaire des changements suspects observés sur des comptes full access / avec des droits élevés.

L’approche IDECSI

La plateforme de monitoring d’IDECSI permet d’obtenir une vue globale sur les opérations Office 365 liées aux ressources et aux utilisateurs : accès, partages, synchronisation, droits et permissions et les changements de configuration et permet de détecter toute action suspicieuse : origine de connexion suspicieuse, un accès frauduleux, un paramétrage malveillant ou encore un partage illégitime.

Associée à MyDataSecurity la solution permet d'interagir directement avec les utilisateurs finaux pour éliminer les faux-positifs et sécuriser Office 365.