Pour maitriser la sécurité Microsoft 365, il est important d’avoir une vue d’ensemble sur les éléments clés qui constituent le tenant (les utilisateurs, les ressources, les groupes, les configurations…) afin de gérer les risques liés aux données partagées, comme le risque de surexposition des données ou de non-conformité des accès.
Cet article analyse les différents groupes et types de partages dans Microsoft 365 et propose des recommandations pour réduire les risques associés. Dans un environnement où les données sont fréquemment partagées, la configuration des groupes et des types de partages dans Microsoft 365 est essentielle pour éviter les risques de surexposition.
Grâce à la plateforme IDECSI, nous mettrons en lumière les indicateurs clés à suivre pour identifier les risques potentiels à corriger sur OneDrive, Teams et SharePoint.
Au programme :
Supervision des groupes publics et privés
Il existe dans Microsoft 365 plusieurs configurations de groupes qui présentent des spécificités et, en fonction de la configuration de votre Teams ou SharePoint, cela a un impact direct sur les accès et droits accordés aux différents utilisateurs :
Groupes publics
Ces groupes sont accessibles à tous les utilisateurs de l’organisation et sont généralement créés ou liés à un Teams ou à un SharePoint. Ils peuvent présenter un risque élevé si des informations sensibles y sont partagées sans contrôle adéquat. Il est important de noter que les utilisateurs peuvent non seulement rejoindre le groupe sans autorisation spéciale, mais aussi accéder au contenu du site, qui est en lecture seule pour tous les internes. Les groupes publics dans Microsoft 365 doivent être surveillés de près pour éviter la surexposition des données. Une revue régulière des permissions est recommandée pour s’assurer que seules les personnes nécessaires ont accès.
Bien que les groupes privés soient moins exposés, ils ne sont pas exempts de risques. Une gestion proactive des permissions et des partages est nécessaire pour maintenir la sécurité.
→ La supervision des groupes privés et publics permet d'identifier des points problématiques comme les groupes Microsoft 365 sans propriétaires ou composés d'utilisateurs extérieurs.
Groupes M365 sans propriétaire
Les groupes sans propriétaire peuvent devenir des points de vulnérabilité. Il est important de désigner des propriétaires pour chaque groupe afin de garantir une gouvernance continue des accès et des partages. Pour les tenants avec une licence Azure AD P1, il est possible d’activer une fonctionnalité permettant de promouvoir des utilisateurs actifs en tant que propriétaires.
Groupes avec informations sensibles
Il est essentiel d’identifier les groupes contenant des informations sensibles et de s’assurer que seuls les utilisateurs autorisés y ont accès. L’utilisation d'étiquettes de confidentialité peut aider à classifier, cartographier et protéger ces données. Cependant, certains clients préfèrent éviter cette option car cela pourrait mettre en avant des externes avec des comptes de type Membre (ou interne).
Groupes M365 avec des invités
L’ajout d’invités externes dans les groupes M365 doit être contrôlé rigoureusement. Les invités doivent avoir des permissions limitées et leur accès doit être régulièrement revus.
Supervision des liens de partages anonymes et à toute l'entreprise
Les liens de partages anonymes permettent à n’importe qui d’accéder à un fichier ou dossier sans authentification préalable. Par exemple, il se peut que dans votre OneDrive et SharePoint, vous ayez rapidement partagé des fichiers sur lesquels vous avez travaillé, sans vous rendre compte que c'était un partage anonyme. Bien que cela puisse être très "pratique" dans certains contextes, comme les appels d’offres, ces liens présentent des risques significatifs pour la sécurité et l’intégrité des données :
- Il important de mettre en place des revues régulières des accès et permissions auprès des propriétaires de données pour qu’ils suppriment les liens obsolètes, qui ne sont plus utiles, au profit de liens à des groupes ou personnes spécifiques.
- Si les données sont classifiées avec des étiquettes de confidentialité comme avec Microsoft Purview (C3 – Confidentiel, C4 – Secret…), il est recommandé d’évaluer le nombre de liens de partages actifs, afin de mener des actions de vérification et de remédiation par le propriétaire ou directement par les équipes de supervision.
→ La supervision des liens de partages, et particulièrement les partages anonymes, permet d'identifier les partages à risque sur des fichiers confidentiels et classifiés :
- supprimez les liens anonymes qui ne sont plus nécessaires et remplacez-les par des liens sécurisés nécessitant une authentification
- sensibilisez vos utilisateurs pour qu’ils favorisent les liens sécurisés de partages comme à des personnes spécifiques ou à minima "company link"
Supervision de liens de partages externes et aux groupes
Les liens de partage externes sont spécifiquement créés pour donner accès à des utilisateurs en dehors de votre organisation. Cela est souvent nécessaire lorsque vous collaborez avec des partenaires, des consultants ou d’autres tiers qui utilisent leur email professionnel pour travailler avec vous.
Les liens de partage à des groupes permettent à plusieurs utilisateurs d’accéder à des données via leur appartenance à un groupe spécifique. Cela peut poser des risques si les utilisateurs ne devraient pas ou plus avoir accès à ces données.
→ La supervision des liens de partage externes et aux groupes est essentielle car au fil du temps, les fonctions et les organisations des personnes peuvent évoluer, mais ils peuvent toujours donner des droits d’accès aux données partagées initialement. En contrôlant régulièrement ces liens et en ajustant les permissions en fonction des besoins actuels, vous pouvez minimiser les risques et réduire les accès illégitimes, non conformes.
Supervision Microsoft 365 avec IDECSI
IDECSI a mis en place une Business Intelligence accessible via des tableaux de bord pour suivre les indicateurs clés du tenant Microsoft 365 (ressources, groupes, utilisateurs...) et avoir le niveau d'exposition des données sur la base des accès, droits, partages et des configurations.
Grâce à la collecte de métadonnées par la plateforme, la BI permet de restituer une vue d’ensemble des risques potentiels comme les partages anonymes et externes, les groupes sans propriétaire, les utilisateurs avec de multiples points d'attention, afin de prendre des mesures proactives de remédiation pour sécuriser vos informations comme des campagnes de revue des accès et des partages auprès des propriétaires de données concernés.
Exemple de l'état général des groupes Microsoft 365 : leurs propriétaires, membres, invités et propriétés.
Exemple de l'état des partages anonymes sur des fichiers classés.
Avec IDECSI, il devient facile d'auditer le tenant régulièrement et de lancer des mesures correctives auprès de gestionnaires de données via des campagnes de revue de droits. Chaque collaborateur peut accéder et visualiser les risques sur ses données et les corriger directement pour renforcer la sécurité de OneDrive, Teams, Sharepoint. Le suivi des campagnes de revue de droits sont disponibles également depuis la BI : nombre de remédiations, action par utilisateur... afin de suivre l'efficacité de la campagne et de relancer si nécessaire.
Avoir une bonne visibilité sur les usages et les comportements des utilisateurs vis à vis des données stockées et partagées dans les applications Microsoft 365 permet aux équipes IT et Digital workplace d’ajuster la politique et les efforts de sensibilisation en rappelant les bonnes pratiques de gouvernance et de sécurité à adopter. Les équipes IT peuvent identifier et prévenir les risques de fuite de données et les problèmes de non-conformité, tout en responsabilisant les utilisateurs en qualité de gestionnaire de données.