Quand un RSSI évalue une démarche de sensibilisation, la question n'est jamais "est-ce que ça marche en théorie" mais "est-ce que ça a marché ailleurs, dans un contexte comparable au mien". Quatre organisations, quatre secteurs, quatre tailles différentes : voici ce que donne la même méthode (donner à l'utilisateur la visibilité et les moyens de corriger lui-même ses partages à risque) appliquée à des environnements M365 très différents.
Le point commun à ces quatre cas : aucun n'a nécessité de mobiliser des ressources IT massives, et chacun produit des résultats mesurables en quelques semaines à quelques mois.
La Communauté d'agglomération de Cergy-Pontoise gère un environnement M365 de 3 000 utilisateurs, plus de 800 équipes Teams et autant d'espaces OneDrive. En 2020, l'agglomération constate une explosion de l'usage des outils collaboratifs. Un audit mené en 2022 révèle l'ampleur du problème : la DSI décrit une situation de "Far West" où les utilisateurs partagent librement, sans gouvernance associée, et où il devient impossible de vérifier manuellement les droits sur des milliers d'espaces.
Cette situation est particulièrement sensible dans la perspective d'un déploiement de Copilot. L'assistant IA accède à tout ce à quoi l'utilisateur a déjà droit : une donnée sur-exposée mais jusque-là invisible devient immédiatement découvrable dès l'activation de l'IA générative. L'agglomération adopte donc en 2023 un plan de sécurisation avec un volet sensibilisation, en amont de ses futurs usages de l'IA.
La philosophie retenue est simple : plutôt que de fournir à la DSI des rapports complexes à traiter, l'utilisateur reçoit directement les moyens de contrôler ses propres partages. "L'utilisateur a le pouvoir de partager, on lui donne maintenant la responsabilité et les outils pour contrôler ce qu'il fait."
La mise en place mobilise moins d'une demi-journée de travail pour la DSI. Lors de la première campagne, les utilisateurs suppriment eux-mêmes 1 796 risques sur leurs partages. Six mois plus tard, une seconde campagne supprime 70 % des risques restants, sans que le volume total de risques n'ait augmenté entre les deux, signe d'une amélioration durable des pratiques plutôt que d'un effet ponctuel et isolé dans le temps.
Deux découvertes concrètes illustrent l'intérêt de l'approche. Des accès à des boîtes mail de directeurs sont restés actifs chez d'anciennes assistantes après un changement de poste, sans que personne ne s'en aperçoive. Plusieurs équipes Teams se révèlent configurées en mode "Public" par méconnaissance plutôt que par nécessité réelle, les utilisateurs pensant cette configuration obligatoire pour partager du contenu. Dans les deux cas, l'utilisateur corrige directement depuis son interface, et comprend pourquoi la configuration initiale représentait un risque.
Vincent Breil, Responsable du service pilotage transverse et appui stratégique
Avec plus de 28 000 utilisateurs, SUEZ évolue dans un environnement où la donnée circule en permanence entre collaborateurs, partenaires externes et collectivités. La collaboration est au cœur de la performance du groupe, mais elle s'accompagne d'une croissance continue du stockage, de l'ordre de 10 % tous les six mois, et donc d'un risque accru de surexposition des données.
Face à ce constat, SUEZ structure un programme de gouvernance autour de cinq axes complémentaires, en s'appuyant sur DETOX :
En seulement trois mois, le groupe libère plus de 110 To de données obsolètes tout en réduisant la surface d'exposition de ses partages. Le résultat dépasse le seul enjeu sécurité : il devient aussi un argument financier direct sur les coûts de stockage M365, ce qui facilite l'adhésion des équipes IT comme des directions financières, et accélère l'adoption de nouvelles règles de gouvernance dans Teams et SharePoint.
Robin Foucault, Chef de projet sécurité
Le Groupe Lactalis, leader mondial des produits laitiers, accompagne la transformation numérique de ses équipes à l'échelle internationale. Avec la généralisation de Microsoft 365 et l'arrivée prochaine de Copilot, le groupe choisit d'anticiper les impacts de l'IA sur la gestion et la sécurité de ses données plutôt que de les subir après déploiement.
L'objectif est double. D'abord, garantir un environnement M365 sain et maîtrisé avant l'activation de Copilot, pour éviter que l'assistant IA ne rende immédiatement découvrables des données jusque-là sur-exposées sans conséquence visible. Ensuite, impliquer les utilisateurs finaux dans la gouvernance de la donnée en leur redonnant un rôle actif sur leurs propres accès, partages et fichiers obsolètes.
Lactalis mobilise précisément DETOX Cybermois pour diagnostiquer les risques liés aux données exposées, engager ses équipes autour d'une action concrète et mesurable, et poser les bases d'une gouvernance des données durable, compatible avec ses futurs usages de l'intelligence artificielle. Cette démarche s'inscrit dans une stratégie plus large de renforcement de la culture de la donnée auprès des collaborateurs, pas seulement dans une réponse technique ponctuelle.
Hélène Bernardini, CISO Groupe Lactalis
BPCE-IT, la filiale IT du Groupe BPCE, initie Walkyrie, un vaste programme de cybersécurité destiné à renforcer la protection des données sur son environnement Microsoft 365. Le déclencheur : une adoption massive des outils collaboratifs combinée à une augmentation exponentielle des volumétries de données, qui rend indispensable un dispositif capable de contrôler, surveiller et réduire les risques d'exposition à grande échelle.
BPCE-IT s'appuie sur la solution IDECSI pour établir une gouvernance robuste de ses données, structurée autour de quatre objectifs : réduire les risques de fuite en identifiant et corrigeant les expositions excessives, se mettre en conformité via des revues régulières des droits d'accès et de partage, responsabiliser les utilisateurs en leur offrant une visibilité directe sur leurs propres partages, et mesurer l'efficacité de la démarche grâce à des KPIs définis en amont.
Dans le cadre de ce programme, les utilisateurs de BPCE-IT effectuent au total 36 000 corrections sur leurs accès et partages.
Vincent Rey, Leader Adjoint et responsable des solutions de protection de la donnée, BPCE-IT
|
Organisation |
Secteur |
Échelle |
Durée observée |
Résultat clé |
|
Cergy-Pontoise |
Collectivité publique |
3 000 utilisateurs |
2 campagnes sur 6 mois |
1 796 risques supprimés, puis 70 % des risques restants |
|
SUEZ |
Énergie |
28 000 utilisateurs |
3 mois |
110 To de stockage libérés |
|
Lactalis |
Agroalimentaire |
Groupe international |
Campagne DETOX Cybermois |
Tenant assaini avant déploiement Copilot |
|
BPCE-IT |
Banque |
Filiale IT du Groupe BPCE |
Programme Walkyrie |
36 000 corrections |
Une collectivité, un groupe énergie, un groupe agroalimentaire, une filiale IT bancaire : quatre tailles et quatre secteurs différents, mais une même mécanique à chaque fois. L'IT ou l'équipe sécurité oriente la démarche, fixe le périmètre et supervise les résultats. Les utilisateurs, eux, remédient directement sur leurs propres données, sans passer par un ticket ou une demande au support.
Cette répartition des rôles explique pourquoi les quatre organisations obtiennent des résultats à l'échelle de milliers, parfois dizaines de milliers, de corrections sans alourdir la charge de leurs équipes IT. Et dans deux des quatre cas (Cergy-Pontoise, Lactalis), la démarche est explicitement positionnée comme un prérequis avant le déploiement de Copilot, pas comme un projet de sécurité isolé.
Vous souhaitez évaluer ce que révélerait un diagnostic sur votre propre environnement M365 ?