Blog IDECSI

Sécurité des données Teams, SharePoint & OneDrive avec un audit

Rédigé par Daniel Bénabou | Nov 27, 2018 10:00:56 AM

Pour la majorité des clients d’IDECSI, l’Audit est le point de départ à une démarche de protection de la messagerie ou de Microsoft 365. Afin de mieux comprendre comment se déroule cet Audit et surtout ce qu’il peut apporter en matière de sécurité, nous nous sommes rapprochés d’un de nos experts : Giovanni Chitano.

Bonjour Giovanni. En quelques mots, pouvez-vous nous dire ce qu’est un Audit de logs? 

Si je devais le résumer en une phrase, je dirais qu’un Audit propose de faire un état des lieux de sécurité précis, sur une période de temps donnée, d’un ensemble de boites email et de bibliothèques SharePoint ou OneDrive.

Plus concrètement, l’audit repose sur l’usage de la technologie IDECSI pour analyser automatiquement les logs d’accès, les permissions et les configurations associées aux boites mails et ressources auditées. IDECSI va produire un rapport global, ainsi que des rapports individuels et consolidés. Ces rapports sont directement exploitables.

Un expert IDECSI peut également intervenir et s’appuyer sur ces résultats pour définir un niveau de risque global et faire des recommandations qui seront présentées et discutées, lors d’une réunion de restitution. 

En pratique, IDECSI va consulter et analyser les logs de Microsoft 365 pour vérifier les points suivants : 

  • Les accès aux messageries : Qui accède à la messagerie, pour quoi faire, de quelle manière, à quel moment et depuis quel lieu ? 
  • Les permissions et délégations  
  • Les objets de configuration liés à l’utilisateur : Appareils synchronisés (tablettes, smartphones,…), permissions et règles sur les mails et redirections 
  • Les objets de configuration liés à la configuration globale : liste de distribution, journalisation 
  • Cartographie de l’ensemble des devices mobiles (« active sync ») 

Quels sont les risques que vous relevez le plus souvent lors des audits ? 

Il y a d’un côté les problèmes que nous retrouvons de manière très récurrente lors de nos audits, tels que des règles de redirection vers l’extérieur posées par l’utilisateur, des droits full access qui ne sont plus légitimes, par exemple suite à des mouvements internes, ou qui ne sont plus exploités. Ces derniers peuvent avoir été attribués lors d’un remplacement, mais n’ont jamais été supprimés.  

De l’autre côté, il nous arrive régulièrement de repérer des situations particulièrement à risque, telles que : 

  • La redirection d’une boite email complète vers l’extérieur 
  • L’existence de comptes admin non nominatifs ayant accès à toutes les messageries 
  • L’export d’une boite aux lettres complète par un admin 
  • Des connexions simultanées en provenance de plusieurs pays associées à des règles de suppression des messages du dossier « Sent Items » 

Si une entreprise souhaite faire un audit, quelles sont les ressources qu’elle doit engager ? 

Les Audits sont très automatisés et ne requièrent que peu de ressources. Il s’agit principalement d’avoir accès aux logs de la plateforme auditée ainsi que la liste des comptes à analyser. 

De manière plus détaillée, un Audit requiert : 

  • Au démarrage : La liste de ressources à auditer et un compte de service. La mise en place se fait en seulement quelques minutes et ne requiert pas d’accès aux données sensibles. 
  • Phase de collecte (en général 3 semaines) : Un suivi opérationnel léger pendant l’audit  
  • Une réunion de restitution et d’échanges sur les risques  

Pour terminer cette interview, quand conseilleriez-vous à une entreprise de faire un Audit ? 

De manière un peu provocatrice, je dirais que l’Audit devient essentiel à toute entreprise qui réalise que l’email représente un problème sérieux de sécurité. Un check up de ce type, proposant une photographie de l’intégrité des messageries auditées et de l’infrastructure Exchange, est nécessaire au moins une à deux fois par an. 

Il y a aussi des moments dans la vie de l’entreprise où effectuer un audit flash fait sens, notamment dans des périodes où il faut garantir une plus grande confidentialité de l’information (acquisition, mouvements stratégiques importants, tension sociale, etc). Il nous arrive d’ailleurs également d’intervenir après un incident de sécurité pour identifier les éventuels risques résiduels. 

Evidemment, l’Audit s’avère très utile avant la migration vers Office 365 pour cartographier les usages et poser les bonnes questions, ou encore après la migration pour lister les portes d’entrées vers le cloud. 

Quelques mots sur Giovanni, Customer Success Manager chez IDECSI

Avant de rejoindre IDECSI, Giovanni était, comme il le dit, « de l’autre côté de la barrière » en tant que responsable de l’infrastructure, en charge de la sécurité, au sein du cabinet d’expertise comptable Dixon-Wilson.  

En charge également de la migration Microsoft 365, il a une excellente connaissance des infrastructures on-premise, ainsi que des enjeux sécuritaires de la migration vers le cloud.