Aujourd’hui le nombre d’événements liés à l’environnement Microsoft 365 est illimité. Les équipes IT sont déjà saturées et les équipes sécurité sous-staffées par rapport à la menace grandissante. Le SOC, la division en charge de la sécurité d’une entreprise, assure notamment la sécurité de l'information – au cœur des outils collaboratifs de Microsoft 365.
Les difficultés du SOC dans le contexte M365
Si demain le SOC devait analyser chacune des opérations, ce serait ingérable. La connexion depuis une nouvelle adresse IP ou le changement de téléphone multiplié par le nombre de collaborateurs permet d’avoir une idée du nombre d’événements à gérer quotidiennement – et pourtant il y a un sérieux sujet de sécurité lié à ces événements, qui peuvent constituer un vecteur de menace.
La contextualisation et la capacité de réaction sont deux composantes essentielles pour un SOC. Or, avec les méthodes et outils de sécurité actuels, il est quasi impossible de réagir rapidement sur les évènements liés à Microsoft 365. Aussi, faute de visibilité, ces milliers d'opérations peuvent mettre en péril l'intégrité de tout un système d’information. La difficulté tient notamment dans le fait de ne pas pouvoir identifier ce qui est frauduleux, malveillant ou illégitime de ce qui est habituel, normal ou sans menace dans la vie d’une organisation.
Si une personne de l’entreprise accède à un fichier sensible, est-ce légitime ? Les ressources du SOC sont-elles bien averties des points sensibles liés à Microsoft 365 ? Les personnes plus exposées (COMEX, admin) bénéficient-elles d’une attention renforcée ?
Résoudre les problématiques de sécurité de Microsoft 365 est un enjeu majeur pour le système d’information. Comment détecter et réagir efficacement aux menaces liées à Microsoft 365 dans cet amas d’informations ?
Détection distribuée pour Microsoft 365
Aux vues des volumes que représentent les opérations Microsoft 365, le SOC ne sera pas en mesure d’absorber et gérer chaque alerte qu’un tableau de bord personnel de sécurité peut faire remonter. Pour appréhender ces problématiques et risques, il faut changer le rapport de la sécurité en entreprise et gagner en efficacité. L’utilisateur joue désormais un rôle clé.
Détecter une compromission dans le système d’information c’est un bon départ. Et si l’utilisateur participait dans la gestion des cas dits « normaux ». L’utilisateur reçoit de manière automatique des rapports sur qui accède à son compte, ses fichiers. Il suit sa propre sécurité et notifie en cas d’élément anormal ou illégitime.
En parallèle, la Sécurité décide ce qu’il faut absolument suivre et priorise les alertes en fonction du risque et du contexte. Les alertes ou rapports sont envoyés directement aux personnes ayant l’information et/ou qui ont besoin de l’information dans le cadre de leur fonction, ainsi
- Les Utilisateurs et métiers deviennent autonomes dans la gestion de leur propre compte et l’accès à l’information
- Les Administrateurs visualisent et maitrisent les configurations du système d’information
- La Sécurité analyse et protège les points sensibles, vecteurs de menaces
La détection devient collaborative et démultipliée, à l’image de l’environnement Microsoft365.
MyDataSecurity : bras armé des équipes de sécurité
IDECSI a développé une solution qui détecte en temps réel tout accès non-autorisé ou action illégitime à Microsoft 365, ainsi que les modifications malveillantes de configuration.
Inspiré par la façon dont les collaborateurs travaillent réellement, MyDataSecurity permet d’interagir directement avec l’utilisateur afin de minimiser les délais de détection et de résolution sur des cas simples et routiniers. Son atout majeur : améliorer l’expérience digitale autour de la sécurité - elle devient positive et sans contrainte pour l’utilisateur.
La détection distribuée permet ainsi d’améliorer l’efficacité opérationnelle au sein du SOC. L’équipe sécurité se concentre sur les alertes à risque élevé et le temps de vos ressources est optimisé.
