01 juillet 2026

Réduire les risques de partage M365 : 4 retours d'expérience clients

Quand un RSSI évalue une démarche de sensibilisation, la question n'est jamais "est-ce que ça marche en théorie" mais "est-ce que ça a marché ailleurs, dans un contexte comparable au mien". Quatre organisations, quatre secteurs, quatre tailles différentes : voici ce que donne la même méthode (donner à l'utilisateur la visibilité et les moyens de corriger lui-même ses partages à risque) appliquée à des environnements M365 très différents.

Le point commun à ces quatre cas : aucun n'a nécessité de mobiliser des ressources IT massives, et chacun produit des résultats mesurables en quelques semaines à quelques mois.


Cergy-Pontoise : 1 796 risques supprimés dès la première campagne

La Communauté d'agglomération de Cergy-Pontoise gère un environnement M365 de 3 000 utilisateurs, plus de 800 équipes Teams et autant d'espaces OneDrive. En 2020, l'agglomération constate une explosion de l'usage des outils collaboratifs. Un audit mené en 2022 révèle l'ampleur du problème : la DSI décrit une situation de "Far West" où les utilisateurs partagent librement, sans gouvernance associée, et où il devient impossible de vérifier manuellement les droits sur des milliers d'espaces.

Cette situation est particulièrement sensible dans la perspective d'un déploiement de Copilot. L'assistant IA accède à tout ce à quoi l'utilisateur a déjà droit : une donnée sur-exposée mais jusque-là invisible devient immédiatement découvrable dès l'activation de l'IA générative. L'agglomération adopte donc en 2023 un plan de sécurisation avec un volet sensibilisation, en amont de ses futurs usages de l'IA.

La philosophie retenue est simple : plutôt que de fournir à la DSI des rapports complexes à traiter, l'utilisateur reçoit directement les moyens de contrôler ses propres partages. "L'utilisateur a le pouvoir de partager, on lui donne maintenant la responsabilité et les outils pour contrôler ce qu'il fait."

La mise en place mobilise moins d'une demi-journée de travail pour la DSI. Lors de la première campagne, les utilisateurs suppriment eux-mêmes 1 796 risques sur leurs partages. Six mois plus tard, une seconde campagne supprime 70 % des risques restants, sans que le volume total de risques n'ait augmenté entre les deux, signe d'une amélioration durable des pratiques plutôt que d'un effet ponctuel et isolé dans le temps.

Deux découvertes concrètes illustrent l'intérêt de l'approche. Des accès à des boîtes mail de directeurs sont restés actifs chez d'anciennes assistantes après un changement de poste, sans que personne ne s'en aperçoive. Plusieurs équipes Teams se révèlent configurées en mode "Public" par méconnaissance plutôt que par nécessité réelle, les utilisateurs pensant cette configuration obligatoire pour partager du contenu. Dans les deux cas, l'utilisateur corrige directement depuis son interface, et comprend pourquoi la configuration initiale représentait un risque.

Vincent BREIL-1"Grâce à la solution DETOX d'IDECSI, nous avons supprimé 1 796 risques sur nos données lors de notre première campagne. Grâce à son approche user-friendly, les utilisateurs participent pleinement à renforcer la cybersécurité de l'agglomération."
Vincent Breil, Responsable du service pilotage transverse et appui stratégique


 

SUEZ : 110 To de stockage libérés en réduisant l'exposition

Avec plus de 28 000 utilisateurs, SUEZ évolue dans un environnement où la donnée circule en permanence entre collaborateurs, partenaires externes et collectivités. La collaboration est au cœur de la performance du groupe, mais elle s'accompagne d'une croissance continue du stockage, de l'ordre de 10 % tous les six mois, et donc d'un risque accru de surexposition des données.

Face à ce constat, SUEZ structure un programme de gouvernance autour de cinq axes complémentaires, en s'appuyant sur DETOX :

  • Réduction du stockage inutile et suppression des versions de fichiers superflues
  • Renforcement de la sécurité des accès via la revue des droits par les utilisateurs eux-mêmes et la suppression des partages critiques
  • Sensibilisation des collaborateurs grâce à une communication ciblée sur quatre semaines
  • Classification et meilleur pilotage des données sensibles à l'aide de Microsoft Purview
  • Encadrement de la collaboration externe pour garantir une sécurité durable

En seulement trois mois, le groupe libère plus de 110 To de données obsolètes tout en réduisant la surface d'exposition de ses partages. Le résultat dépasse le seul enjeu sécurité : il devient aussi un argument financier direct sur les coûts de stockage M365, ce qui facilite l'adhésion des équipes IT comme des directions financières, et accélère l'adoption de nouvelles règles de gouvernance dans Teams et SharePoint.

Robin Foucault (Site)-1"Avec la solution DETOX, nous avons atteint notre objectif financier en supprimant 110 To : un gain majeur pour faire face à la croissance du stockage M365 tout en renforçant la sécurité des données."
Robin Foucault, Chef de projet sécurité


 

Lactalis : préparer Copilot en assainissant l'environnement avant l'IA

Le Groupe Lactalis, leader mondial des produits laitiers, accompagne la transformation numérique de ses équipes à l'échelle internationale. Avec la généralisation de Microsoft 365 et l'arrivée prochaine de Copilot, le groupe choisit d'anticiper les impacts de l'IA sur la gestion et la sécurité de ses données plutôt que de les subir après déploiement.

L'objectif est double. D'abord, garantir un environnement M365 sain et maîtrisé avant l'activation de Copilot, pour éviter que l'assistant IA ne rende immédiatement découvrables des données jusque-là sur-exposées sans conséquence visible. Ensuite, impliquer les utilisateurs finaux dans la gouvernance de la donnée en leur redonnant un rôle actif sur leurs propres accès, partages et fichiers obsolètes.

Lactalis mobilise précisément DETOX Cybermois pour diagnostiquer les risques liés aux données exposées, engager ses équipes autour d'une action concrète et mesurable, et poser les bases d'une gouvernance des données durable, compatible avec ses futurs usages de l'intelligence artificielle. Cette démarche s'inscrit dans une stratégie plus large de renforcement de la culture de la donnée auprès des collaborateurs, pas seulement dans une réponse technique ponctuelle.

Hélène Bernardini‭, ‬-1"Cette collaboration avec IDECSI nous a permis d'impliquer activement nos collaborateurs dans la gestion des droits d'accès et la cybersécurité au quotidien, renforçant ainsi notre culture de sécurité."
Hélène Bernardini, CISO Groupe Lactalis


 

BPCE : 36 000 corrections dans le cadre du programme Walkyrie

BPCE-IT, la filiale IT du Groupe BPCE, initie Walkyrie, un vaste programme de cybersécurité destiné à renforcer la protection des données sur son environnement Microsoft 365. Le déclencheur : une adoption massive des outils collaboratifs combinée à une augmentation exponentielle des volumétries de données, qui rend indispensable un dispositif capable de contrôler, surveiller et réduire les risques d'exposition à grande échelle.

BPCE-IT s'appuie sur la solution IDECSI pour établir une gouvernance robuste de ses données, structurée autour de quatre objectifs : réduire les risques de fuite en identifiant et corrigeant les expositions excessives, se mettre en conformité via des revues régulières des droits d'accès et de partage, responsabiliser les utilisateurs en leur offrant une visibilité directe sur leurs propres partages, et mesurer l'efficacité de la démarche grâce à des KPIs définis en amont.

Dans le cadre de ce programme, les utilisateurs de BPCE-IT effectuent au total 36 000 corrections sur leurs accès et partages.

Vincent REY"Ces campagnes nous ont permis de réduire l'exposition de nos données. Les utilisateurs sont satisfaits par l'ergonomie de la solution et apprécient être au cœur de la démarche."
Vincent Rey, Leader Adjoint et responsable des solutions de protection de la donnée, BPCE-IT


 

Ce que ces 4 retours d'expérience ont en commun

 

Organisation

Secteur

Échelle

Durée observée

Résultat clé

Cergy-Pontoise

Collectivité publique

3 000 utilisateurs

2 campagnes sur 6 mois

1 796 risques supprimés, puis 70 % des risques restants

SUEZ

Énergie

28 000 utilisateurs

3 mois

110 To de stockage libérés

Lactalis

Agroalimentaire

Groupe international

Campagne DETOX Cybermois

Tenant assaini avant déploiement Copilot

BPCE-IT

Banque

Filiale IT du Groupe BPCE

Programme Walkyrie

36 000 corrections

 

Une collectivité, un groupe énergie, un groupe agroalimentaire, une filiale IT bancaire : quatre tailles et quatre secteurs différents, mais une même mécanique à chaque fois. L'IT ou l'équipe sécurité oriente la démarche, fixe le périmètre et supervise les résultats. Les utilisateurs, eux, remédient directement sur leurs propres données, sans passer par un ticket ou une demande au support.

Cette répartition des rôles explique pourquoi les quatre organisations obtiennent des résultats à l'échelle de milliers, parfois dizaines de milliers, de corrections sans alourdir la charge de leurs équipes IT. Et dans deux des quatre cas (Cergy-Pontoise, Lactalis), la démarche est explicitement positionnée comme un prérequis avant le déploiement de Copilot, pas comme un projet de sécurité isolé.

Vous souhaitez évaluer ce que révélerait un diagnostic sur votre propre environnement M365 ?

7 4

 

Protection des données, discutons de votre projet ?

 

Contactez-nous
video background