Supervision des groupes et des liens de partages dans Microsoft 365
Lire l'articlePréparez votre tenant à Copilot : identifiez et éliminez les accès non autorisés aux données
Solutions
Des réponses performantes pour 6 grands défis et difficultés que vous pouvez rencontrer
DETOX pour M365 : la solution d'audit dynamique
Découvrez la solutionLes salariés, la sécurité des données et la sobriété numérique - 2024
Télécharger l'étudeRessources
Consulter nos ressources utiles pour améliorer la protection des données
Sécurité / IT
21 octobre 2021
Pour cette 21ème édition des Assises de la cybersécurité, IDECSI a invité deux de ses clients pour témoigner lors de sa conférence autour de la protection des données, de la revue de droits et des outils collaboratifs Microsoft 365.
Nos invités d’honneur, deux grandes entreprises et acteurs majeurs du transport français :
En effet, avec l'accélération d'outils collaboratifs comme Teams, SharePoint, la maîtrise des environnements, en particulier dans le cloud, est mise à rude épreuve : manque de visibilité, manque d'appropriation des utilisateurs, grandes difficultés à superviser les usages, à sensibiliser, identification de malveillances, gouvernance des accès…
Après la table ronde en 2020 sur le rôle de l’utilisateur dans la sécurité des données avec les retours d'expérience d'un grand groupe français de cosmétique, Eramet et Faurecia, c’est le grand sujet de la revue de droits qui était, cette année, abordé autour de 5 points :
C’est Eric Vautier qui ouvre l'atelier en présentant une partie de la stratégie de contrôle des accès au patrimoine informationnel du Groupe ADP et les grands enjeux autour de la gouvernance et de la conformité des accès (IAM et IAG).
Le RSSI du Groupe ADP rappelle ainsi les grands principes :
En fonction de la cartographie des risques inhérents aux données et de leur sensibilité, les campagnes de re-certification peuvent être effectuées de manière récurrente (semestrielles ou trimestrielles).
Pour des données plus sensibles, il est recommandé de faire régulièrement des micro-campagnes pour couvrir les changements qui peuvent subvenir dans la vie de l’entreprise et assurer une mise en conformité des droits et des accès.
Enfin, pour un niveau supérieur de sécurité sur les données les plus critiques, il est conseillé de mettre en place une revue continue en cas d’incident (droits inappropriés) avec des alertes.
Cependant, Eric Vautier souligne que dans la pratique, la revue de droits est un projet d’envergure et particulièrement complexe à mettre en place et à piloter. Une des difficultés rencontrées est notamment l'identification des propriétaires sur des milliers de groupes on-premises pour avoir la capacité de faire réviser les droits par les bonnes personnes et sur des groupes toujours utilisés. D’autre part, l’information est au niveau des groupes et des répertoires et non au niveau du fichier.
Donc en réalité, il y a de nombreuses contraintes à gérer : des contraintes de temps, de volume de données à analyser, un manque de visibilité et de précision sur certaines données, le suivi des campagnes et les relances et enfin l’engagement utilisateur.
En parallèle, Eric Vautier rappelle que si les services dans le cloud se développent, les données à caractère confidentiel sont un point central pour le Groupe. La stratégie du RSSI a donc été de mettre en place graduellement certains services comme l'ouverture des OneDrive au compte-goutte pour pouvoir adapter la sécurité.
Mais comme le souligne le RSSI, certains évènements ne se contrôlent pas. La crise COVID a forcé l’utilisation des outils collaboratifs. Une nouvelle composante apparait : le partage de fichiers instantané sur Teams, SharePoint, OneDrive.
"Le Cloud change la donne sur la gouvernance et nous pousse à étendre notre outillage, à nous appuyer sur des solutions expertes." Eric Vautier
Conséquence : le modèle, développé pour les revues d’habilitations sur la base des groupes, ne fonctionne et ne suffit plus. Il y a des usages incontrôlés et les collaborateurs gèrent les accès et partages de leurs données et des groupes Teams, SharePoint.
C’est dans ce cadre-là que le groupe ADP, déjà utilisateur de la plateforme IDECSI pour la protection des boîtes aux lettres des VIP, a fait appel à IDECSI. L’objectif est de contrôler les accès à l’environnement déployé dans Microsoft 365 au même niveau que celui existant pour les serveurs de fichiers.
Pour cela, le Groupe ADP s’appuie sur plusieurs grands concepts de la solution IDECSI :
Pour Eric Vautier, cela présente de nombreux avantages, les équipes IT gagnent en visibilité sur les activités et opérations du tenant, facilitant les analyses et le reporting.
Les campagnes de re-certification sont automatisées et récurrentes pour assurer la maîtrise dans le temps (les propriétaires sont identifiés automatiquement). Les utilisateurs bénéficient d'une interface intuitive et dynamique 'MyDataSecurity' pour revalider les droits et les permissions. Ils sont responsabilisés dans la gestion de leurs données et impliqués dans la revue des droits.
"Aujourd'hui IDECSI est une expansion de nos systèmes de contrôle, de monitoring des habilitations d’accès à notre patrimoine informationnel" Eric Vautier
A terme, le Groupe devrait également intégrer l’outil de classification AIP pour cartographier ses données sensibles, informations que la plateforme IDECSI collecte et intègre pour faciliter la mise sous protection des ressources identifiées. Et enfin Eric Vautier conclut qu’une intégration plus profonde des logs IDECSI dans le SOC est prévue pour optimiser le traitement des incidents de sécurité.
C’est ensuite au tour d’Antoine Ancel, Directeur Cyber Sécurité Opérationnelle du groupe SNCF, de prendre la parole sur la mise en place de campagnes de revue de droits à grande échelle.
La SNCF et IDECSI travaillent ensemble depuis 2014 sur la protection des messageries. La SNCF a depuis migré tout un pan de son activité sur Microsoft 365 et notamment sur SharePoint. IDECSI couvre désormais la partie sécurité et détection sur ces environnements.
" Aujourd’hui avec les outils collaboratifs, il faut pouvoir engager et sensibiliser les 170000 utilisateurs et administrateurs des fichiers SharePoint." Antoine ANCEL
L'entreprise a souhaité amélioré ses processus de recertification notamment sur les
données stockées dans le cloud.
"La maitrise des droits et des partages c’est un problème d’usage des outils collaboratifs Microsoft, mais qui peut devenir un incident de sécurité." Antoine Ancel
En effet, une mauvaise utilisation des outils Microsoft par les collaborateurs (configuration des partages, erreurs humaines, manque de formation...) rend le tenant particulièrement sensible aux ouvertures vers l’externe.
Pour Antoine Ancel, la réduction d’erreurs humaines doit se faire par la prise de conscience des utilisateurs sur les risques de fuite de données, mais aussi en s’assurant que les droits, délégations et accès soient à jour et conformes à la vision des utilisateurs.
Pour réduire les risques, un plan d’action a rapidement été mis en œuvre : nettoyage, sensibilisation et mise en place d’un dispositif global de re-certification :
Selon Antoine Ancel, l'un des objectifs du projet RESICO est de responsabiliser les propriétaires SharePoint et de les impliquer dans le processus de re-certification en leur fournissant une vue simple et homogène de l'ensemble de leurs sites SharePoint.
Pour cela, les équipes d'IDECSI et de la SNCF ont travaillé ensemble pour proposer un dashboard personnel et intuitif à chaque collaborateur et pour favoriser un engagement et une adoption forte dans l'usage des outils collaboratifs.
Antoine Ancel présente l’interface MyDataSecurity d'IDECSI sur laquelle les propriétaires peuvent valider et corriger les droits ouverts, les accès et les partages, les membres des groupes. Un certain nombre de fonctions sont ainsi à la disposition de l’utilisateur : suppression de sites, suppression des listes, suppression des liens de partage, suppression des membres, gestion des sites, regroupement des sites, gestion des listes, changement de gestionnaire/propriétaire.
Une fois que les propriétaires ont revu leur profil de sécurité, la plateforme IDECSI prend le relai pour effectuer automatiquement les demandes de mises à jour des droits et des accès, permettant la remédiation d'un volume important de corrections sur les données.
Les premiers résultats montrent que,
Le projet RESICO est en marche et la Direction Cyber Sécurité (DCS) a pu répondre à une injonction de la direction générale pour identifier et mettre en conformité les droits, les délégations et les partages des SharePoint de la SNCF, et tout particulièrement les erreurs de configuration.
La SNCF souhaite donc étendre son périmètre de re-certification avec IDECSI sur les OneDrive pour les 45K utilisateurs et par la suite sur Exchange, OneDrive, SharePoint pour l’ensemble de la SNCF (170K utilisateurs).
Qu'il s'agisse d'une approche préventive ou réactive, les deux RSSI s'accordent à dire que la responsabilisation des utilisateurs est primordiale dans la revue de droits et plus globalement dans la stratégie de gouvernance des droits et des partages de la donnée. D'autant plus, avec l'explosion des usages en entreprise, il faut éviter les incidents de sécurité liés à une mauvaise appropriation et un manque de prise de conscience des risques des collaborateurs.
C’est Daniel Rezlan, président IDECSI, qui conclut cette conférence en présentant les grandes évolutions de la plateforme de détection et de monitoring pour Microsoft 365 et les filers. La solution IDECSI offre une couverture hybride et des fonctions clés pour un dispositif de sécurité des données global : Supervision, détection des menaces clés (et des signaux faibles), protection des données sensibles, revue des habilitations, remédiation et implication des utilisateurs.
Ils peuvent valider, retirer des habilitations en cours et signaler des opérations anormales, sous la supervision de la SSI, offrant de nombreuses optimisations (SOC/SIEM). La solution experte SaaS est préconfigurée, plug and play et opérationnelle immédiatement.
Pour conclure, Daniel Rezlan rappelle que l'approche end-user d'IDECSI emprunte les codes d'usages des applications grand public (les alertes sécurité d'applications bancaires, d'un compte Netflix ou d'un compte Gmail...) pour les appliquer dans le monde de l'entreprise. IDECSI notifie les utilisateurs lors d'une accès malveillant, d'un partage illégitime, d'un nouvel appareil synchronisé par e-mail ou SMS.
Plus de collaboration, moins de failles, pour une force de défense élevée.
Articles récents
Abonnez-vous à la newsletter pour recevoir nos contenus chaque mois.
Nos articles
Ces articles peuvent
vous intéresser
Supervision des groupes et des liens de partages dans Microsoft 365
Lire l'articleSécurité et Gouvernance des données à l'ère de l’IA & Numérique Responsable
Lire l'articleSécurité OneDrive : 3 points d'attention pour mieux maîtriser les données
Lire l'article