Tout savoir sur la Sécurité des données Microsoft 365

Microsoft, grâce à sa suite Microsoft 365 (anciennement Office 365), domine le marché des outils collaboratifs avec 300M de licences et plus de 50 millions d’abonnés.
Les grandes entreprises, les ETI, ou encore les plus petites entreprises ont déjà bien déployé ces solutions pour augmenter la productivité et la collaboration de leurs équipes. En parallèle, des solutions pour sécuriser les données sur Microsoft sont essentielles.

En effet, les solutions M365 offrent une flexibilité sans précédent en matière de partage d'informations et de collaboration, permettant aux employés de se connecter à leur environnement de travail sur différents appareils et depuis n’importe quel endroit.

Cependant, cette flexibilité d’accès aux documents, aux données et aux autres informations de l'entreprise via SharePoint, OneDrive, Exchange, crée de nombreux problèmes et des opportunités pour des cyber-attaques très ciblées sur le système d'information.

C’est pourquoi la protection des données est un enjeu important, et les entreprises ont un intérêt prioritaire à couvrir ce sujet.
Nous revenons à travers cet article sur les risques et les moyens fournis par Microsoft pour sécuriser et gérer les données sans freiner l’usage des outils.

• Introduction : Microsoft 365
• Les grands défis sur Microsoft 365
• Les risques sur les données dans Microsoft 365
• Les services de sécurité pour Microsoft 365

Introduction : Office 365 devient Microsoft 365

Microsoft a fait évoluer son offre Office 365, désormais Microsoft 365 notamment en terme de tarification, de fonctionnalités, et continue de proposer des services cloud pour faire gagner en productivité les entreprises.

Microsoft 365 est une offre complète intégrant différentes briques pour améliorer le travail collaboratif et la gestion des données.
Les différents outils ou services sont répartis sur différents volets d’usages :

1. Les outils Microsoft de communication

Microsoft Exchange

Le premier et le plus connu, Microsoft exchange, intègre Microsoft Exchange Server et Microsoft Outlook. C’est un service de messagerie et de système d’exploitation de messagerie, disponible on-premise ou dans le cloud.

Yammer

Yammer est un réseau social d’entreprise facilitant la communication entre groupes de collaborateurs : partage de connaissance, réussite, communication top-down, création de communauté.

2. Les outils Microsoft de collaboration

Microsoft Teams

Microsoft Teams qui devient l’outil central de la suite, compte en 2022 plus de 270 Millions d’utilisateurs mensuels actifs à travers le monde et +330 000 entreprises utilisent Teams au niveau mondial.

Teams est une plateforme de communication et de collaboration qui facilite les échanges, les partages et qui permet d’organiser des réunions à distance. L’outil est composé de 3 parties : chat, réunion, groupes de collaboration (appelés équipes).

OneDrive for Business

OneDrive est un outil de stockage individuel et de partages occasionnels utilisant la technologie cloud.

SharePoint

SharePoint permet de créer des sites web, des intranets et des centres de stockage de documents. Il facilite le stockage, l’organisation, le partage ainsi que la consultation d’informations. SharePoint est disponible on-premise mais également dans le cloud avec SharePoint Online.

3. Microsoft Power Platform

Microsoft Power Platform regroupe un ensemble de solutions de développement cloud sans code. Les trois principaux outils sont :

Power Automate

Anciennement Microsoft Flow, Power Automate permet de créer et automatiser des tâches, des processus pour faciliter le travail des collaborateurs.

Power Apps

C’est un service de développement d’applications métiers. C’est le studio de création des applications avec des connecteurs entre les solutions Microsoft.

Power BI

Power BI est un service d'analyse commerciale de Microsoft. Il vise à fournir des visualisations interactives et des capacités de business intelligence avec une interface suffisamment simple pour que les utilisateurs finaux puissent créer leurs propres rapports et tableaux de bord.

4. Microsoft Azure Active Directory

Active Directory c’est l’annuaire derrière tous ces outils qui permet au service informatique et aux administrateurs d'identifier, d'authentifier et de gérer les données, les applications et les utilisateurs du réseau interne de l'entreprise.

Les administrateurs bénéficient d’une gestion centralisée des utilisateurs et des droits d’accès, des rôles et privilèges ainsi que d’un contrôle centralisé de la configuration des utilisateurs. Une mise en œuvre correcte de la sécurité Azure Direction est essentielle pour protéger l'entreprise contre les accès non autorisés.

Les grands défis sur Microsoft 365

Le déploiement de la suite Microsoft 365 génère des changements profonds pour les équipes IT et les utilisateurs sur la sécurité des données. Quels sont les grands défis à relever ?

1. Migration cloud Microsoft : un changement de paradigme

En migrant vers le cloud, les responsables informatiques ouvrent leur système d’information et délèguent une partie de la gestion des données aux utilisateurs, comme par exemple le partage d’informations. Il y a encore quelques années sur les serveurs de fichiers (on-premise) seuls quelques répertoires permettaient de partager des fichiers en interne. Aujourd’hui avec l’accélération du cloud et des services comme SharePoint online, les utilisateurs peuvent facilement partager de l’information sans passer par des autorisations particulières données par les équipes IT.
Cela impose un nouveau modèle de gouvernance du cycle de vie de la donnée sur Microsoft 365 où les équipes Workplace, infrastructure et sécurité doivent travailler ensemble.

Cette migration impacte également la gestion de l’identité notamment avec la liberté de collaboration interne/externe.
Il devient indispensable de définir un cadre et de faire évoluer la stratégie de gestion des identités, des niveaux de privilèges accordés (administrateur, internes, invités) et des mesures de sécurité associées (authentification, cycle de vie des invités).

Les équipes sécurité ont moins de visibilité sur ce qui se passe dans l’environnement Microsoft 365.

2. Maitrise des usages sur Microsoft 365

Une fois qu’un socle a été défini, l’enjeu est de maitriser les nouveaux usages sur les outils collaboratifs Microsoft 365 afin d’assurer la sécurité des données et leur intégrité.

Aujourd’hui, il y a un changement de paradigme, l’utilisateur est devenu l’administrateur de ses partages. La gestion des données étant dans la main des utilisateurs, il est important de définir des règles autour des usages afin de clarifier ce que l’utilisateur peut faire et quand.
Une absence de sécurisation et de sensibilisation peut en effet entrainer des erreurs humaines et potentiellement des fuites de données.

L’accompagnement dans la gouvernance et la revue de droits des accès est un enjeu qui concerne à la fois les équipes Workplace et les équipes sécurité.
D’ailleurs le suivi ne s’arrête pas dès l’adoption, les outils Microsoft 365 et les tendances Digital Workplace évoluent, et donc les usages, les opportunités et les menaces aussi.

👉Découvrez les 12 bonnes pratiques à communiquer pour améliorer la sécurité et les usages collaboratifs Microsoft 365.

3. Les contrôles de sécurité

L’un des défis, auxquels les entreprises sont confrontées, est l’inflation des accès et des partages et l’augmentation exponentielle de l’utilisation des outils collaboratifs (Microsoft Teams, SharePoint Online). Le volume des logs d’accès et des objets de configuration à analyser est colossal. Comment identifier les points de vulnérabilité, les compromissions dans le SI rapidement ?

Le dernier enjeu est donc autour de l’implémentation de mesures et d’outils de sécurité pour traiter ces informations et optimiser la charge de travail du SOC.
Cela va passer par la mise en place d’outils de sécurité sur la protection des données, sur l’audit des données Microsoft 365, la détection, le monitoring des données et l’alerting.

Les risques sur les données dans Microsoft 365

40% des entreprises ont vu un ou plusieurs comptes Office 365 de leurs collaborateurs piratés durant l’année 2018. - Etude Cyren and Osterman research

Les risques pesant sur la sécurité des outils collaboratifs Microsoft 365 sont aussi bien internes qu’externes. Le CLUSIF a publié une cartographie des risques sur Office 365 :

Source CLUSIF - CARTOGRAPHIE DES RISQUES OFFICE 365 EN FRANÇAIS

Il existe 3 niveaux de vigilances sur Microsoft 365 :

• Au niveau de l’entreprise - Gestion du tenant Microsoft 365

Au niveau de l’entreprise des risques sur la sécurité des données peuvent survenir avec une mauvaise gestion du tenant Microsoft.

Une modification des objets ou des paramètres de configuration peut impacter les règles de sécurité mises en places ou encore les politiques spécifiques aux données sensibles comme la labellisation Microsoft Purview (MIP). D’ailleurs les données sensibles sont un point de sécurité stratégique, il faut pouvoir les identifier et savoir où elles se trouvent.

Les comptes à privilèges ou administrateurs, si ils sont compromis peuvent avoir de lourdes conséquences sur la sécurité. Il faut être capable d’enclencher un audit de sécurité avec une revue des comptes à privilèges et de monitorer les modifications de configuration.

Au niveau de l’entreprise, nous retrouvons également la gestion des identités. En effet une mauvaise gestion des invités peut poser des problèmes de fuite de données ou des problèmes légaux (conformité). Pour limiter les risques les administrateurs vont devoir travailler sur le cycle de vie des invités, la limite des droits, le contrôle d’accès conditionnel ou encore la sensibilisation.

• Au niveau des applications : Microsoft Teams, SharePoint, Exchange …

Chaque outil de l’environnement Microsoft présente des spécificités qu’il faut connaitre et prendre en compte pour avoir le meilleur paramétrage de sécurité.

Sur les outils de messagerie/communication, le phishing d’Office 365 est une attaque courante et une des plus efficaces. Le risque principal réside sur l’accès à des données sensibles ou l’accès à des comptes administrateurs.

Sur les outils de collaboratifs, on va surtout parler de risques de fuite à travers des partages trop permissifs ou une mauvaise gestion des permissions ou encore une mauvaise gestion des groupes.

👉Retrouvez les 5 points clés à savoir sur la sécurité Microsoft Teams

• Au niveau des utilisateurs et des données (droits, permissions)

80% des RSSI sondés ont désigné la gestion des partages par les collaborateurs comme un risque majeur pour les données de l’entreprise – CESIN, Baromètre 2021

L’impact de ces erreurs humaines peuvent parfois être graves, voire irrémédiables et entrainer des risques majeurs sur la sécurité des données et notamment sur les données les plus stratégiques.

La multiplication des méthodes de partage fait qu’une erreur de configuration est toujours possible. Cette erreur peut venir de l’utilisateur.

- Fuite via des partages trop permissifs ou le sur-partage sur SharePoint
- Mauvaise gestion des groupes
- Mauvaise gestion des permissions
- Fuite via le partage d’un lien anonyme
- Mauvaise gestion des droits des invités
- Règle de transfert (inbox rules) dans la messagerie (Outlook, Exchange)
- Délégation non maitrisée

Comment IDECSI pour M365 analyse les activités suspectes et détecte les compromissions ?

Les services de sécurité pour Microsoft 365

Pour protéger la suite Microsoft 365, l’entreprise américaine intègre dans son offre des solutions pour la sécurité des données, les collaborateurs et l’infrastructure informatique.

Microsoft propose une couverture cloud sur des questions centrales liées en particulier à la protection des identités et la gestion des accès, la protection et le contrôle des données sensibles et la gestion des risques.

Protection des identités et des accès

Microsoft Azure Active Directory permet une gestion unifiée des identités et des accès du cloud : gouvernance du cycle de vie des identités, gouvernance du cycle de vie des accès (accès conditionnel, Multi-factor authentification - MFA) et sécurisation de l’accès privilégié pour l’administration.

Protection des données sensibles

Afin de classifier et protéger les données sensibles, Microsoft a développé une solution nommée Microsoft Purview Information Protection (anciennement Microsoft Information Protection). Cet outil se concentre sur l’identification et la protection des données sensibles sur les fichiers, les groupes et les emails de la suite Microsoft 365. Dans les versions Premium de Purview, on retrouve en fonctionnalité principale le scanner. Celui-ci permet d’identifier et de chiffrer automatiquement des données sensibles, de suivre et de contrôler l’accès aux documents.

Gestion des risques

La gestion des risques va passer par la détection de la menace, la vérification et la remédiation. L’outil Microsoft Purview va permettre de détecter les compromissions et d’identifier les menaces et eDiscovery permet de réduire et vérifier le volume de données à traiter pour faire remonter les bonnes alertes dans un SIEM.

Une protection en fonction des licences Microsoft 365 E1, E3 et E5

L’accessibilité de ces outils dépend des niveaux de licences. Les licences choisies vont modifier l’expérience utilisateur et les niveaux de sécurité accordés.
La plus élevé, c’est Microsoft 365 E5 qui propose une sécurité avancée et des outils d’analyse (Power BI pro). En général les entreprises prennent la licence Microsoft E5 seulement pour une population spécifique comme les VIP ou les administrateurs car son coût est élevé.

Le partenariat IDECSI et Microsoft

IDECSI vient compléter l’offre de Microsoft pour renforcer la sécurité des données sur les environnements cloud et on-premise.

Les équipes de Microsoft et d’IDECSI ont travaillé sur un mapping des grandes fonctions de sécurité essentielles de Microsoft 365. Ce document donne une meilleure visibilité aux entreprises sur la construction d’un dispositif global et optimisé. Sur de nombreux uses cases, il présente la pertinence et les avantages d’associer IDECSI et Microsoft.

Sécurité des données Microsoft 365 : la solution IDECSI

Experte sur Microsoft 365, la plateforme de monitoring IDECSI collecte plusieurs sources de données à partir du tenant Microsoft pour distinguer :

• Les logs d’accès (toute activité générée par les utilisateurs finaux sur toutes les ressources)
• Les permissions (tous les droits)
• Les objets de configuration (pour chaque type de ressource, les groupes, ainsi que les objets structurels d'Office365 comme Application Permission, MIP policy...)

Elle couvre l’ensemble des utilisateurs et des ressources cloud et on-premise pour une protection des données Microsoft 365 avancée avec 5 grandes fonctionnalités clés :

• Monitoring avancé
• Détection et alerting temps réel
• Supervision des données sensibles avec l’intégration de Microsoft Purview Information Protection (MIP)
• Revue de droits des accès
• Correction et remédiation

Conscient que les collaborateurs ont de plus en plus de pouvoirs vis-à-vis de la gestion de leurs données, IDECSI se distingue par sa connexion avec les utilisateurs. Ils peuvent gouverner leurs données. IDECSI augmente le pouvoir du collectif de l’entreprise pour gagner en efficacité et en ROI, face aux enjeux de cybersécurité.