Blog IDECSI

SNCF et ADP témoignent sur la protection des données Microsoft 365

Rédigé par Carla De Cisternes | Oct 21, 2021 3:26:06 PM

Protection des données, revue de droits et outils collaboratifs : quelle approche pour Microsoft 365 ?

Pour cette 21ème édition des Assises de la cybersécurité, IDECSI a invité deux de ses clients pour témoigner lors de sa conférence autour de la protection des données, de la revue de droits et des outils collaboratifs Microsoft 365.

Nos invités d’honneur, deux grandes entreprises et acteurs majeurs du transport français : 

  • Eric Vautier, RSSI du groupe ADP (Aéroports de Paris)
  • Antoine Ancel, Directeur Cyber Sécurité Opérationnelle du groupe SNCF

En effet, avec l'accélération d'outils collaboratifs comme Teams, SharePoint, la maîtrise des environnements, en particulier dans le cloud, est mise à rude épreuve : manque de visibilité, manque d'appropriation des utilisateurs, grandes difficultés à superviser les usages, à sensibiliser, identification de malveillances, gouvernance des accès…

Après la table ronde en 2020 sur le rôle de l’utilisateur dans la sécurité des données avec les retours d'expérience d'un grand groupe français de cosmétique, Eramet et Faurecia, c’est le grand sujet de la revue de droits qui était, cette année, abordé autour de 5 points : 

La revue de droits : de la théorie à la pratique…  

C’est Eric Vautier qui ouvre l'atelier en présentant une partie de la stratégie de contrôle des accès au patrimoine informationnel du Groupe ADP et les grands enjeux autour de la gouvernance et de la conformité des accès (IAM et IAG). 

Le RSSI du Groupe ADP rappelle ainsi les grands principes : 

  • La maitrise des accès (mise en place d’un référentiel) avec la capacité à s’adapter aux évolutions d’organisation de l’entreprise 
  • La responsabilisation de chaque réviseur via un portail utilisateur 
  • La capacité à mener des campagnes de re-certification 

En fonction de la cartographie des risques inhérents aux données et de leur sensibilité, les campagnes de re-certification peuvent être effectuées de manière récurrente (semestrielles ou trimestrielles).
Pour des données plus sensibles, il est recommandé de faire régulièrement des micro-campagnes pour couvrir les changements qui peuvent subvenir dans la vie de l’entreprise et assurer une mise en conformité des droits et des accès.
Enfin, pour un niveau supérieur de sécurité sur les données les plus critiques, il est conseillé de mettre en place une revue continue en cas d’incident (droits inappropriés) avec des alertes.

Pour la gestion de ses données on-premise, le Groupe ADP a mis en place son propre système de re-certification avec notamment une revue de droits semestrielle implémentée en interne.

Cependant, Eric Vautier souligne que dans la pratique, la revue de droits est un projet d’envergure et particulièrement complexe à mettre en place et à piloter. Une des difficultés rencontrées est notamment l'identification des propriétaires sur des milliers de groupes on-premises pour avoir la capacité de faire réviser les droits par les bonnes personnes et sur des groupes toujours utilisés. D’autre part, l’information est au niveau des groupes et des répertoires et non au niveau du fichier.

Donc en réalité, il y a de nombreuses contraintes à gérer : des contraintes de temps, de volume de données à analyser, un manque de visibilité et de précision sur certaines données, le suivi des campagnes et les relances et enfin l’engagement utilisateur.

Et Microsoft 365 dans tout ça ? 

En parallèle, Eric Vautier rappelle que si les services dans le cloud se développent, les données à caractère confidentiel sont un point central pour le Groupe. La stratégie du RSSI a donc été de mettre en place graduellement certains services comme l'ouverture des OneDrive au compte-goutte pour pouvoir adapter la sécurité.

Mais comme le souligne le RSSI, certains évènements ne se contrôlent pas. La crise COVID a forcé l’utilisation des outils collaboratifs. Une nouvelle composante apparait : le partage de fichiers instantané sur Teams, SharePoint, OneDrive.

"Le Cloud change la donne sur la gouvernance et nous pousse à étendre notre outillage, à nous appuyer sur des solutions expertes." Eric Vautier

Conséquence : le modèle, développé pour les revues d’habilitations sur la base des groupes, ne fonctionne et ne suffit plus. Il y a des usages incontrôlés et les collaborateurs gèrent les accès et partages de leurs données et des groupes Teams, SharePoint.

En effet, Microsoft 365 et les outils collaboratifs ont complètement changé le paradigme dans la gouvernance des données.  

  • Les utilisateurs sont désormais administrateurs de leur environnement et autonomes dans la gestion des partages 
  • L’entreprise communique avec son écosystème (vers l’extérieur) 
  • Chaque fichier peut être partagé, téléchargé et transféré  
  • Chaque fichier peut être partagé à un groupe ou un utilisateur (interne/invité/externe/anonyme) 

C’est dans ce cadre-là que le groupe ADP, déjà utilisateur de la plateforme IDECSI pour la protection des boîtes aux lettres des VIP, a fait appel à IDECSI. L’objectif est de contrôler les accès à l’environnement déployé dans Microsoft 365 au même niveau que celui existant pour les serveurs de fichiers.

Pour cela, le Groupe ADP s’appuie sur plusieurs grands concepts de la solution IDECSI : 

  • L'exhaustivité des informations sur les données (niveau de détail, traçabilité) 
  • La maitrise et gouvernance des accès, droits, partages (revue de droits) 
  • La détection et l’alerting temps réel sur des incidents critiques 

Pour Eric Vautier, cela présente de nombreux avantages, les équipes IT gagnent en visibilité sur les activités et opérations du tenant, facilitant les analyses et le reporting.
Les campagnes de re-certification sont automatisées et récurrentes pour assurer la maîtrise dans le temps (les propriétaires sont identifiés automatiquement). Les utilisateurs bénéficient d'une interface intuitive et dynamique 'MyDataSecurity' pour revalider les droits et les permissions. Ils sont responsabilisés dans la gestion de leurs données et impliqués dans la revue des droits.

"Aujourd'hui IDECSI est une expansion de nos systèmes de contrôle, de monitoring des habilitations d’accès à notre patrimoine informationnel" Eric Vautier

A terme, le Groupe devrait également intégrer l’outil de classification AIP pour cartographier ses données sensibles, informations que la plateforme IDECSI collecte et intègre pour faciliter la mise sous protection des ressources identifiées. Et enfin Eric Vautier conclut qu’une intégration plus profonde des logs IDECSI dans le SOC est prévue pour optimiser le traitement des incidents de sécurité.

Les risques d'une erreur humaine

C’est ensuite au tour d’Antoine Ancel, Directeur Cyber Sécurité Opérationnelle du groupe SNCF, de prendre la parole sur la mise en place de campagnes de revue de droits à grande échelle. 

La SNCF et IDECSI travaillent ensemble depuis 2014 sur la protection des messageries. La SNCF a depuis migré tout un pan de son activité sur Microsoft 365 et notamment sur SharePoint. IDECSI couvre désormais la partie sécurité et détection sur ces environnements. 

" Aujourd’hui avec les outils collaboratifs, il faut pouvoir engager et sensibiliser les 170000 utilisateurs et administrateurs des fichiers SharePoint." Antoine ANCEL

L'entreprise a souhaité amélioré ses processus de recertification notamment sur les
données stockées dans le cloud. 

"La maitrise des droits et des partages c’est un problème d’usage des outils collaboratifs Microsoft, mais qui peut devenir un incident de sécurité." Antoine Ancel

En effet, une mauvaise utilisation des outils Microsoft par les collaborateurs (configuration des partages, erreurs humaines, manque de formation...) rend le tenant particulièrement sensible aux ouvertures vers l’externe.

Pour Antoine Ancel, la réduction d’erreurs humaines doit se faire par la prise de conscience des utilisateurs sur les risques de fuite de données, mais aussi en s’assurant que les droits, délégations et accès soient à jour et conformes à la vision des utilisateurs. 

Pour réduire les risques, un plan d’action a rapidement été mis en œuvre : nettoyage, sensibilisation et mise en place d’un dispositif global de re-certification : 

  • Fermeture des SharePoint non accédés depuis plus de 3 mois 
  • Fermeture des SharePoint exposés sur Internet sauf validation spécifique 
  • Campagne de communication grand public sur la sensibilité des données 
  • Campagne d’information (Texte, Vidéo, etc…) pour la gestion des droits SharePoint          et Teams 
  • Lancement du projet RECertification des SItes Collaboratifs : RESICO avec IDECSI

Re-certification des Sites Collaboratifs  

Selon Antoine Ancel, l'un des objectifs du projet RESICO est de responsabiliser les propriétaires SharePoint et de les impliquer dans le processus de re-certification en leur fournissant une vue simple et homogène de l'ensemble de leurs sites SharePoint.

Pour cela, les équipes d'IDECSI et de la SNCF ont travaillé ensemble pour proposer un dashboard personnel et intuitif à chaque collaborateur et pour favoriser un engagement et une adoption forte dans l'usage des outils collaboratifs.

Antoine Ancel présente l’interface MyDataSecurity d'IDECSI sur laquelle les propriétaires peuvent valider et corriger les droits ouverts, les accès et les partages, les membres des groupes. Un certain nombre de fonctions sont ainsi à la disposition de l’utilisateur : suppression de sites, suppression des listes, suppression des liens de partage, suppression des membres, gestion des sites, regroupement des sites, gestion des listes, changement de gestionnaire/propriétaire. 

Une fois que les propriétaires ont revu leur profil de sécurité, la plateforme IDECSI prend le relai pour effectuer automatiquement les demandes de mises à jour des droits et des accès, permettant la remédiation d'un volume important de corrections sur les données.

Le projet RESICO a été rythmé sur plusieurs phases pour l’envoi de campagnes de re-certification sur une périodicité de 4 mois : 

  • Ainsi, 34 265 propriétaires ont fait l’objet de la campagne
  • Soit 543 854 SharePoint (SharePoint, Teams, …) dont 198 762 SharePoint actifs  
  • Ce qui représente plus de 237 millions de documents  
  • Et plus de 2To de données techniques à gérer en configuration et à stocker pour IDECSI  

Les premiers résultats montrent que, 

  • Sur les 2000 premiers utilisateurs VIP, plus de 20K corrections ont été enregistrées et traitées à 99,98% par la plateforme IDECSI 
  • Sur des vagues plus massives, 10% de re-certification ont été effectuées, 
  • Des campagnes de rappel sont en cours, 
  • Au total, c’est pour le moment plus de 55K SharePoint qui ont été supprimés 

Le projet RESICO est en marche et la Direction Cyber Sécurité (DCS) a pu répondre à une injonction de la direction générale pour identifier et mettre en conformité les droits, les délégations et les partages des SharePoint de la SNCF, et tout particulièrement les erreurs de configuration.  

La SNCF souhaite donc étendre son périmètre de re-certification avec IDECSI sur les OneDrive pour les 45K utilisateurs et par la suite sur Exchange, OneDrive, SharePoint pour l’ensemble de la SNCF (170K utilisateurs). 

Qu'il s'agisse d'une approche préventive ou réactive, les deux RSSI s'accordent à dire que la responsabilisation des utilisateurs est primordiale dans la revue de droits et plus globalement dans la stratégie de gouvernance des droits et des partages de la donnée. D'autant plus, avec l'explosion des usages en entreprise, il faut éviter les incidents de sécurité liés à une mauvaise appropriation et un manque de prise de conscience des risques des collaborateurs.

L'approche IDECSI pour la protection des données Microsoft 365 et les serveurs de fichiers

C’est Daniel Rezlan, président IDECSI, qui conclut cette conférence en présentant les grandes évolutions de la plateforme de détection et de monitoring pour Microsoft 365 et les filers. La solution IDECSI offre une couverture hybride et des fonctions clés pour un dispositif de sécurité des données global : Supervision, détection des menaces clés (et des signaux faibles), protection des données sensibles, revue des habilitations, remédiation et implication des utilisateurs.  

La plateforme IDECSI s’appuie sur une collecte exhaustive des logs et des objets techniques pour : 

  • superviser en temps réel l’ensemble de l’activité sur Office 365 concernant les accès, les opérations, les droits, les partages et les configurations,
  • identifier la totalité des SharePoint, Teams, OneDrive, et fichiers stockés sur le réseau,
  • fournir les informations sur chaque liste SharePoint, Teams, OneDrive, répertoires et sur les fichiers stockés,
  • accéder très facilement aux informations collectées (filtre d’analyse : date, mode d’accès, localisation, type de ressource, adresse IP, type d’opération, …),
  • lancer des analyses (audit) à n’importe quel moment sur une ou plusieurs ressources,
  • définir les alertes (sur la base de modèles de menaces préconfigurés),
  • investiguer facilement en cas de détection par IDECSI d’un accès, partage illégitime. 

Et grâce à MyDataSecurity, les utilisateurs se connectent sur leur tableau de bord et bénéficient d’une vue centralisée sur les permissions et les accès en cours. 

Ils peuvent valider, retirer des habilitations en cours et signaler des opérations anormales, sous la supervision de la SSI, offrant de nombreuses optimisations (SOC/SIEM). La solution experte SaaS est préconfigurée, plug and play et opérationnelle immédiatement. 

Pour conclure, Daniel Rezlan rappelle que l'approche end-user d'IDECSI emprunte les codes d'usages des applications grand public (les alertes sécurité d'applications bancaires, d'un compte Netflix ou d'un compte Gmail...) pour les appliquer dans le monde de l'entreprise. IDECSI notifie les utilisateurs lors d'une accès malveillant, d'un partage illégitime, d'un nouvel appareil synchronisé par e-mail ou SMS.

Plus de collaboration, moins de failles, pour une force de défense élevée.