Blog IDECSI

Sécurité SharePoint et surpartage : quelles conséquences ?

Rédigé par Mona Piquet | Sep 2, 2019 6:30:13 AM

Sur-partage des informations de l’entreprise : quelles en sont les conséquences ?

L’ultra mobilité, le cloud, les outils digitaux, les plateformes collaboratives accompagnent la transformation des environnements de travail et refaçonnent la gestion des flux d’information. Il devient possible de communiquer, d’échanger et de collaborer partout en temps réel entre collègues et avec tous les partenaires de l’entreprise en interne comme en externe.

Cependant de nouveaux risques émergent liés au partage d’informations, notamment lorsque celui-ci n’est plus maitrisé. Selon une récente étude, 3/4 des cadres supérieurs estiment que des employés ont accidentellement mis en danger les données de leur entreprise [1]. Qu’il soit illégitime, involontaire ou inapproprié, le sur-partage de données, overshare en anglais, est une des conséquences des outils digitaux.
Zoom sur l’outil collaboratif Microsoft SharePoint online qui illustre ce concept de surpartage.

SharePoint augmente et facilite les partages

Les dernières évolutions de SharePoint et des applications Office 365 en particulier ont été pensées pour simplifier l’usage, réduire toute complexité et ainsi améliorer et fluidifier les échanges pour plus d’efficacité. L’espace de travail devient partagé, la messagerie collaborative et le tout a été interconnecté pour une accessibilité accrue du service de contenu géré par SharePoint. Chaque opération est devenue très transparente pour l’utilisateur qui collectionne, dans une interface intuitive et simplifiée, sans le savoir, de puissantes fonctionnalités. Une nouvelle dimension apparaît : l’autonomie. Le technicien intervient de moins en moins sur l’utilisation quotidienne des outils, il est désormais possible pour les utilisateurs d’être autonomes. Les utilisateurs sont-ils tous sensibilisés au pouvoir qu’ils ont au sein du système d’information ou du data center ? Aux conséquences que peuvent-avoir leurs actes ?

Qu’est-ce qu’un surpartage dans SharePoint online ?

On définit surpartage ou overshare lorsque qu’une personne partage plus d’informations ‘personnelles’ qu’elle ne le souhaite. Les outils comme SharePoint ou Teams permettent de partager des dossiers très facilement sans même en être le propriétaire, avec une équipe, dont les membres peuvent à leur tour les partager, et ainsi de suite – provocant une réaction en chaîne non maîtrisée.

L’utilisation est tellement simplifiée que certaines actions sont complètement transparentes. Par exemple lorsqu’un utilisateur créé une équipe Teams, il créée, sans le savoir, un nouveau groupe Office 365, qui créé lui-même un site SharePoint dans lequel seront stockés les fichiers de l’équipe « Teams ».

Et dans la plupart des cas, le propriétaire n’a pas connaissance de ces activités car chaque personne a ensuite la possibilité de partager en interne comme en externe, que ce soit de façon délibérée ou non, de manière appropriée ou non et sans connaitre l’importance du document. Un simple partage peut se retrouver à la vue et accessible de tous les utilisateurs en interne ou chez un partenaire.

On peut ainsi identifier deux problématiques autour du sur-partage des utilisateurs :

  • Partages illégitimes, externes et anonymes : Comment s’armer contre la fuite de données ?
  • Partages involontaires, inappropriés : Comment s’assurer que la situation n’échappe pas aux utilisateurs ?

Même s’il est possible de paramétrer les modalités de partages et certains paramétrages, aujourd’hui « 79% ne croient pas que les outils existants sont « très efficaces » pour protéger « l’information sensible » d’une manipulation accidentelle ou d’une cyberattaque [2] ». Pour lutter contre le partage illégitime, involontaire ou inapproprié, il faut pouvoir comprendre ce qui est légitime de ce qui ne l’est pas au sein de la plateforme et des usages de chacun…

Que cela représente-t-il pour la Sécurité ?

49% des entreprises ont eu au moins une fuite de données avérée dans leur environnement SharePoint ces deux dernières années.
Aussi avec toutes les évolutions de la plateforme SharePoint (depuis 2002), difficile d’imaginer un dispositif efficace pour encadrer ces opérations et sécuriser ces flux d’informations. Cette notion de sur-partage devient un sujet de sécurité majeur dès lors que l’intégrité des informations est concernée, tant d’un point vue technique (création d’une faille de sécurité) que d’un point de vue éthique (confidentialité des informations). Dans les deux cas, l’overshare représente une menace pour le système d’information, les utilisateurs et leurs données.

Webinars flash sécurité Microsoft 365

La gouvernance des partages : du bon dosage de la contrainte dans la sécurité

La gouvernance est souvent orientée sur le contrôle que la DSI veut mettre en place, avec les différentes règles de contrainte que l’utilisateur doit respecter. Le risque principal est que cette gouvernance reste figée dans le temps, ce qui va rendre impossible toute évolution de l’outil vers de nouveaux usages et opportunités. L’autre risque est que les utilisateurs contournent les règles face à des outils bridés.

En effet, le premier réflexe est souvent de contraindre, de mettre en place des protocoles pour chaque situation, mais cela demande du temps et des ressources. Par exemple, dans certaines entreprises il faudra pour la création d’un site SharePoint justifier la demande, attendre la validation d’un comité ce qui peut prendre parfois quelques jours de délais pour la création d’un site SharePoint. Même chose pour les partages externes, il faudra ajouter le prestataire sur une whitelist, créer un site dédié…

Techniquement, c’est une méthode fiable, mais dans la pratique cela met des barrières dans l’expérience utilisateur de SharePoint ce qui va augmenter le phénomène de shadow IT redouté par la DSI.

Donner de la visibilité aux utilisateurs, simplement

La sensibilisation et la formation des utilisateurs ne suffisent plus. Comment donner plus de visibilité sur ces actions involontaires pour réduire les éventuelles brèches de sécurité en entreprise ou tout simplement la fuite de données par l’overshare ?

Aujourd’hui, il existe plusieurs options pour visualiser dans SharePoint qui a la permission de faire quoi ou pour réduire le risque d’un surplus de partage. Mais seuls des utilisateurs aguerris pourront s’affranchir de la complexité de paramétrage de l’outil, or c’est un outil collaboratif qui se veut simple et facile d’accès.

Par conséquent, si les utilisateurs sont autonomes dans l’utilisation « normale » de SharePoint au quotidien, ils pourraient également l’être dans la gestion de partage de leurs données. Personne n’aime partager plus d’informations que nécessaire ou savoir ses fichiers accessibles et visibles par tous les collaborateurs de l’entreprise. Idéalement, les utilisateurs devraient pouvoir suivre ce qui se passe dès lors qu’ils partagent une information (dossier, fichier, contenu). Comprendre et visualiser les conséquences de leurs actions, c’est d’une part sensibiliser mais également responsabiliser. Ils seront ainsi en mesure de s’impliquer positivement dans la sécurité de leurs données et de celles de l’entreprise.

L’approche IDECSI

Pour lutter contre le partage illégitime, involontaire ou inapproprié, il faut pouvoir comprendre ce qui est légitime de ce qui ne l’est pas au sein de la plateforme et des usages de chacun. Grâce à un monitoring continu et l’analyse des logs, IDECSI révèle les partages inhabituels ou suspicieux sur Microsoft 365. Et mieux encore avec MyDataSecurity les utilisateurs peuvent via un tableau de bord visualiser qui accède à quoi et qui a la permission d’y accéder.

La solution IDECSI collecte et analyse les opérations dans l’environnement Office 365, notamment SharePoint, OneDrive, Teams et détecte les actions sensibles. Ainsi, ces partages pourront être directement communiqués au propriétaire et rectifiés si besoin. La visibilité est un point essentiel pour pouvoir suivre ce qui se passe, éviter les cas de sur-partages et les risques de fuite de données.

[1] Article "Cybersécurité : sensibiliser ne suffit plus, il faut faire évoluer la formation" - Silicon 22/07/2019

[2] Rapport "Protecting Sensitive Data in Microsoft SharePoint" - Ponemon