Revue des droits d'accès sur les outils collaboratifs M365

La revue de droits, d’habilitations, ou encore la re-certification, consiste à s’assurer que les droits d’accès des utilisateurs au niveau des données soient conformes à la politique de sécurité Microsoft 365 d'une entreprise et d’institutions (publiques comme privées) et à l’activité de l’utilisateur.

Souvent mis en place et maitrisés sur les environnements on-premise et internes aux entreprises, les principes de la revue de droits semblent bien plus complexes à mettre en œuvre aujourd’hui sur la partie cloud notamment. Et surtout depuis que l’utilisateur est devenu administrateur dans ses comptes.

Pourquoi est-il indispensable d’améliorer le processus de re-certification ? Comment engager efficacement les collaborateurs dans le processus de revue de droits ?

• Les objectifs d'une revue de droits d'accès
• Une revue de droits pour répondre à des enjeux de sécurité, de responsabilité et de conformité
• Impliquer l’utilisateur dans la revue de droits est devenu indispensable
• La méthodologie unique d’IDECSI pour simplifier la revue de droits
  
  
  

Les objectifs d’une revue des droits d'accès

La revue de droits d’accès consiste à revalider à un instant T les accès et permissions et d’identifier les risques liés aux accès, droits et partages de fichiers, pour garder une gouvernance des données saine au niveau sécurité et conformité en réduisant les failles et les vulnérabilités du SI.

Mais avec la transformation digitale et l’accélération d’usage d’outils collaboratifs par les collaborateurs, la revue de droits à évolué et ses fonctions se sont élargies pour couvrir une meilleure gestion du risque.

1. Une revue des droits d'accès pour répondre à des enjeux de sécurité, de responsabilité et de conformité

La revue de droits s’inscrit dans un plan stratégique de cybersécurité pour une entreprise, et permet de gérer le risque inhérent à la maîtrise du partage d’informations notamment sur les outils collaboratifs Microsoft 365.

Suivre et sécuriser l’accès aux données

La mauvaise maîtrise des outils collaboratifs peut causer des incidents involontaires de fuite de données par les salariés. En effet, l’analyse de logs est bien trop importante pour pouvoir suivre et sécuriser chacun des accès, droits, partages et configurations au niveau global de l’entreprise.

Le process de revue de droits ne peut plus se contenter de faire valider les accès et droits d’une messagerie ou d’un espace de stockage aux collaborateurs. Elle doit maintenant déterminer les propriétaires des listes, des dossiers, des fichiers, les accès effectués, les droits hérités, les configurations de partages (anonyme, pour toute l’entreprise), les appareils synchronisés, les applications ayant des droits sur les données (SharePoint, Teams, OneDrive).

Certifier la conformité des accès à la donnée

Avec la transformation numérique, de nombreuses réglementations et normes ont émergé ces dernières années pour cadrer et réglementer cet enjeu comme notamment la loi RGPD. Les entreprises doivent répondre à un ensemble d’obligations et de lois applicables concernant leurs données, plus ou moins strictes selon le secteur d’activités (ex : secteur bancaire et de la santé). Elles sont soumises à des obligations d’audit pour vérifier dans quelle mesure les directives nationales voire européennes sont respectées par l’entreprise.

Il faut prouver que la confidentialité et l’intégrité des données sont respectées, que les accès aux fichiers sensibles sont légitimes et que les données sont accédées par les bonnes personnes.

Dans ce contexte, la revue des droits va permettre de rectifier et corriger si nécessaire des accès, droits et partages, et protéger légalement l’intégrité des données (ex : canaux de communication dans Teams, données échangées en interne et en externe).

Avoir une politique sécurité conforme permet de détenir des normes reconnues comme la certification ISO 270001. Elle a pour objectif de protéger l’entreprise de toute perte et altération de données et permet de suivre des bonnes pratiques conceptuelles pour une sécurité globale.

La revue des droits d'accès en faveur d’une responsabilité numérique

La revue de droits va également servir des intérêts écologiques en permettant à l’utilisateur de détenir une meilleure hygiène numérique et de s’inscrire dans une démarche de Green IT en faisant un état des lieux des fichiers à supprimer ou plus utilisés sur sa messagerie ou encore sur OneDrive.

La protection des données est devenue un réel sujet stratégique pour les entreprises car elle peut avoir des impacts économiques, légaux et juridiques. Pour autant, la revue des droits ne peut se faire sans l’utilisateur, l’engager dans cette démarche permet de répondre à de nombreux objectifs de sensibilisation, d’adoption et de remédiation.

2. Impliquer l’utilisateur dans la revue des droits d'accès est devenu indispensable

Un des principes clés de la revue des droits d'accès c’est la responsabilisation des reviseurs. Aujourd’hui qui de mieux placé que l’utilisateur pour revalider et corriger les accès et les droits sur ses propres fichiers dont il est désormais le gestionnaire ?

Responsabiliser l’utilisateur et le rendre autonome dans la gestion des données

L’utilisateur est devenu quasiment administrateur des accès et partages de ses fichiers. Il devrait pouvoir suivre ce qui se passe sur sa donnée et supprimer un accès aussi facilement qu’il en partage un.

Pour cela, il est important de lui donner des outils intuitifs et simples à utiliser. En ayant une meilleure visibilité de ses opérations, l’utilisateur pourra plus facilement devenir acteur et responsable dans la protection de ses données.

L’inclure dans le processus de revue de droits d'accès va lui permettre de se rendre acteur sur la durée de vie de ses partages, de la légitimité des accès donnés, et des configurations mises en place.

Au-delà de lui faire garder une meilleure hygiène numérique, la revue des habilitations va augmenter la confiance du salarié dans les outils collaboratifs Teams, SharePoint et OneDrive. Cela participe à une meilleure sensibilisation, notamment de bonnes pratiques sécurité des outils collaboratifs.

D’un processus complexe à mettre en place à une démarche facilitée grâce à l’implication de l’utilisateur

La revue de droits est un projet d’envergure et complexe à mettre en place pour les équipes IT dû à :

• Un volume important de données à traiter
• Une identification difficile des propriétaires de ressources cloud et on-premise
• Un engagement utilisateur parfois difficile à mettre en place
• Un suivi difficile du projet et des actions IT futures à mettre en place dû à un manque de visibilité sur la re-certification des données par les utilisateurs

Les facteurs clés d’une bonne revue des droits d'accès est l’automatisation des tâches, la visibilité sur les opérations effectuées ainsi que l’identification des propriétaires de fichiers et groupes. Ces facteurs permettent la bonne maitrise dans le temps des accès, droits et partages pour la sécurité et la conformité de ses données.

L’implication de l’utilisateur dans la démarche d’une revue des droits d'accès est aujourd’hui incontournable aux vues du contexte. Pour autant, le processus peut parfois se révéler complexe à mettre en place lorsqu’il faut analyser un volume important de donnée dans un temps imparti. Pour répondre efficacement à ces objectifs, il est possible de s’aider d’une solution experte pour gérer cette volumétrie et gagner en capacité d’analyse et de remédiation.

→ Découvrez le cas client SNCF pour en savoir plus sur la re-certification de sites SharePoint

3. La méthodologie unique d’IDECSI pour simplifier la revue des droits d'accès

IDECSI a développé une solution unique afin de simplifier la revue des droits d'accès en 6 étapes majeures et d’embarquer le collaborateur avec efficacité dans le dispositif de sécurité.

MyDataSecurity, l’outil incontournable pour engager les collaborateurs dans la revue des droits d'accès

Grâce à un dashboard interactif, user-friendly et personnalisé d’IDECSI : MyDataSecurity, le collaborateur a une vue unifiée des opérations effectuées sur ses données (ex : droits, accès, partages). Il peut effectuer une analyse rapide de son environnement lors d’un processus de revue des habilitations. Il reçoit des notifications par les équipes IT afin de valider ou non certaines de ses opérations. Il peut remédier directement par lui-même lorsqu’il constate une anomalie et a la possibilité d’alerter les équipes IT lors d’un début de compromissions. (ex : droits qu’il n’a pas lui-même créé).

Parallèlement, les équipes IT détiennent également une vision centralisée des opérations effectuées par les utilisateurs grâce à Advanced Monitoring.

Ils ont ainsi la possibilité de faire remonter plus facilement les informations à l’utilisateur et automatiser des opérations de sécurité. La mise en place d’une revue de droits est alors simplifiée par l’implication de l’utilisateur et une visibilité centralisée des opérations permettant :

• Des recherches plus rapides pour un gain de temps optimisé
• Des audits en temps réel pour anticiper les actions futures IT
• Des KPI précis pour suivre la progression des campagnes de re-certification

La revue de droits, un processus permettant une meilleure gouvernance des données :

L’autonomie des collaborateurs dans l’usage d’outils collaboratifs a favorisé les erreurs humaines et de configurations. Pour autant, ils sont les plus à même à savoir si leurs permissions sont légitimes.

Il est donc important de les intégrer aux processus de revue des droits d’accès pour une meilleure gouvernance dans le temps des données d’un point de vue sécurité et conformité.

Pour simplifier ce processus de revue de droits, il est important de s’équiper d’une solution experte capable de donner de la visibilité aux équipes IT et aux collaborateurs sur les permissions accordées sur Teams, OneDrive et SharePoint. La solution unique d’IDECSI permet une détection collaborative et démultipliée, par l’implication de l’utilisateur, une mécanique automatisée et une analyse fine de vos données.