Ces dernières années, le travail à distance a pris une ampleur considérable et les préoccupations en matière de sécurité ont augmenté. Voici nos principales recommandations pour renforcer la sécurité de Microsoft 365 pour vos équipes.

La prise de conscience de la valeur stratégique du travail à distance est assez récente. Alors que les entreprises expérimentent la collaboration numérique depuis un certain temps déjà, nous avons tous pu voir si cela pouvait vraiment fonctionner après la crise COVID, lorsque nous avons été contraints de l’adopter en masse.

Et à la surprise générale, c’est comme si cette solution était sous nos yeux depuis le début ! Mais l’innovation s’accompagne de nouveaux défis. Si le travail à distance et les technologies qui le permettent changent notre façon de travailler collectivement, nous sommes également confrontés à la nécessité de mettre à jour notre façon de penser la sécurité.

Dans une enquête menée en 2021 auprès de décideurs en matière d’informatique et de sécurité, 83 % des personnes interrogées ont déclaré que « l’augmentation du nombre de travailleurs à distance accroît le risque d’incident au niveau de la sécurité » dans l’ère post-COVID.

Pour commencer, nous sommes confrontés à des collaborateurs travaillant à domicile et utilisant des appareils connectés en dehors d’un réseau central. Les appareils ou les réseaux non sécurisés sont des failles majeures que les pirates vont désormais cibler.

Même les plateformes de collaboration populaires telles que Microsoft 365 ont une protection limitée si les employés de votre entreprise ne prennent pas les mesures nécessaires de leur côté.

Et pour couronner le tout, la nature « self-service » de Microsoft 365 maintient de nombreuses organisations sur le qui-vive. La confusion sur la façon de rationaliser les demandes croissantes des utilisateurs finaux, l’utilisation efficace des ressources dans Microsoft 365, les invités non surveillés, le partage externe, sont des points qui empêchent les responsables informatiques de penser à des projets à valeur ajoutée.

Les entreprises doivent automatiser les processus et devenir proactives plutôt que réactives, surtout lorsqu’il s’agit de sécurité. Il faut mettre en place des politiques qui permettent de vous alerter sur la sécurité au lieu que vous essayiez activement de trouver où elle pourrait se trouver.

Pour fermer toutes les portes par lesquelles les pirates peuvent entrer, nous avons mis en évidence 3 points cruciaux que les responsables informatiques doivent garder à l’esprit lorsqu’ils cherchent à renforcer la sécurité dans Microsoft 365. Voyons quels sont ces points et comment ils peuvent transformer votre organisation pour qu’elle devienne proactive plutôt que réactive.

 

Conseil 1 : Stratégie de « Zero Trust » pour renforcer la sécurité du travail à distance sur Microsoft 365

 

Qu’est-ce que la sécurité « Zero Trust » ?

 

Comme son nom l’indique, la sécurité « Zero Trust » repose sur le principe suivant : « ne jamais faire confiance, toujours vérifier ». L’implication n’est pas que les utilisateurs finaux ne sont pas dignes de confiance, mais que les organisations ne peuvent tout simplement pas se permettre de prendre ce risque.

Dans un cadre de confiance zéro, la sécurité de chaque utilisateur et de chaque appareil est vérifiée avant d’être autorisé à interagir avec le réseau de l’organisation. L’accès aux informations est limité en fonction de ce que l’employé doit voir. Des contrôles et des équilibres permanents sont maintenus pour s’assurer que le dispositif ou le réseau de l’employé ne constitue pas une menace à tout moment.

Mais surtout, la devise « ne jamais faire confiance, toujours vérifier » devient le fondement de la politique de sécurité de l’entreprise dans tous ses aspects. Dans Microsoft 365, une politique de sécurité de confiance zéro devrait commencer par l’activation de l’authentification multifactorielle (MFA).

 

Qu’est-ce que l’authentification multifactorielle (MFA) ?

 

L’authentification multifactorielle (MFA) ajoute une couche supplémentaire de sécurité en vérifiant l’identité de l’utilisateur lors de la connexion, uniquement après que l’utilisateur ait correctement saisi le mot de passe. Microsoft 365 vérifie l’identité de l’utilisateur par le biais de messages, d’appels téléphoniques ou de notifications d’applications.

Nous l’appelons « multifactorielle » car deux facteurs de vérification ou plus sont impliqués dans la vérification de l’identité de l’utilisateur. En dehors de Microsoft 365, les facteurs autres que le mot de passe peuvent également être une empreinte digitale, un mail, une reconnaissance faciale…

 

Comment activer l’authentification multifactorielle avec Microsoft 365 ?

 

Pour configurer l’authentification multifactorielle sur Microsoft 365, suivez ces étapes :

  1. Connectez-vous au centre d’administration de Microsoft 365.
  2. Sélectionnez « Afficher tout ».
  3. Sélectionnez ensuite « Azure Active Directory ».
  4. Maintenant, sélectionnez ‘ »Gérer les paramètres de sécurité par défaut ».
  5. Dans le coin supérieur droit de l’écran, vous verrez la section « Activer les paramètres de sécurité par défaut ».
  6. Appuyez sur « Oui »
  7. Cliquez sur « Sauvegarder »

 

Conseil 2 : Équilibrer le self-service et les risques de sécurité sur Microsoft 365

 

L’environnement moderne de Microsoft 365 est conçu autour de la philosophie du self-service. L’idée est que les responsables informatiques doivent avoir le contrôle et la souplesse nécessaires pour aborder la gestion de l’infrastructure informatique, dont la sécurité fait partie. Mais cela crée-t-il un chaos pour les équipes informatiques qui sont poussées dans une gestion du changement ?

Eh bien, malheureusement, oui. Pour sortir de ce mode réactif, les aspects de la gestion informatique, tels que les risques de sécurité, doivent trouver un équilibre avec le niveau de self-service que Microsoft 365 préconise.

 

La sécurité des données passe par une bonne gouvernance dès le départ

 

Cela semble assez simple, non ? Eh bien, oui, ça l’est en réalité ! Le moment où vous décidez de créer un environnement de travail hybride ou entièrement distant est le moment où vous devez réviser votre politique de sécurité des données. La mise en place de règles, telles que l’activation de l’authentification multifactorielle ou l’accès de tous les employés aux seuls réseaux sécurisés, est le début d’une bonne politique de gouvernance.

Les fonctions de self-service donnent aux utilisateurs une plus grande liberté d’accès aux fonctionnalités de création de groupes/équipes, de partage externe et d’accès aux invités, sans passer par un processus d’approbation dirigé par le service informatique. Cette liberté accrue des utilisateurs s’accompagne toutefois de risques pour la sécurité. Le service informatique peut diminuer ces menaces en mettant en œuvre une stratégie de gouvernance pour protéger le contenu et les données des employés dans tous les produits qu’ils utilisent.

Vous souhaitez donner aux employés la possibilité de bénéficier d’une fonctionnalité de self-service afin d’éviter que les utilisateurs ne dépendent pas du service informatique ? L’activation du self-service encourage également les utilisateurs à rester dans Microsoft Teams et les applications approuvées, où le service informatique peut garder un œil sur ce qui est créé et partagé. Si les restrictions sont trop nombreuses, les employés risquent de se tourner vers des approches et des outils détournés, c’est-à-dire vers le shadow IT.

Mais si vous allez trop loin, vous risquez de voir des utilisateurs non formés accéder aux mauvaises choses aux mauvais endroits et créer des problèmes de sécurité. ShareGate, recommandons une solution intermédiaire, le self-service, qui permet aux utilisateurs d’accéder aux outils dont ils ont besoin, de la manière dont ils le souhaitent, avec quelques conseils et une gouvernance solide.

Dans Microsoft 365, la gouvernance inter-produits comprend la définition de règles qui peuvent s’appliquer à plusieurs produits à la fois. Pour mettre en œuvre la gestion multi-produits, les professionnels de l’informatique doivent d’abord comprendre comment tous les outils et applications de Microsoft 365 sont connectés d’un point de vue administratif. Ils doivent ensuite utiliser ces connaissances pour créer une stratégie de gouvernance qui assure la sécurité du contenu sur toutes les plateformes et tous les appareils.

L’application de politiques de sécurité qui garantissent que tous les employés soient constamment contrôlés en matière de sécurité est une réelle plus-value pour les responsables informatiques. Vous n’avez pas à être continuellement à l’affût des failles que les pirates peuvent exploiter. Vous savez qu’une procédure est suivie pour se prémunir contre ce genre de problème.

 

Types de sécurité des données

 

Alors, à quoi ressemble la sécurité des données ? Pour commencer, examinons ce que nous essayons d’obtenir : nous voulons nous protéger contre les accès non autorisés. Pour ce faire, examinons tous les types de sécurité des données qui peuvent nous aider à atteindre cet objectif :

  • Le cryptage : Le cryptage convertit les données dans un format illisible et attribue une clé de sécurité à l’utilisateur autorisé. Les pirates regarderont les données mais ne pourront pas déchiffrer leur signification sans la clé.
  • L’effacement des données : Dans de nombreux cas, les pirates peuvent encore avoir accès aux données après leur suppression. L’effacement des données permet d’écraser les données d’origine pour s’assurer qu’elles soient complètement effacées. Pour les responsables informatiques qui doivent se débarrasser d’informations sensibles, l’effacement des données garantit que les données sensibles de l’entreprise soient supprimées définitivement.
  • Le masquage des données : Dans le cas du masquage des données, les entreprises modifient les données d’origine en changeant les valeurs pour créer une « fausse version » inutilisable par les pirates. Cela peut sembler similaire au cryptage des données, mais ce n’est pas le cas. Dans ce cas, les valeurs sont modifiées, mais les données restent lisibles. En revanche, dans le cas du cryptage, les données sont brouillées pour les rendre totalement illisibles. Par exemple, le pirate pourrait lire le dossier d’un employé mais ne trouverait rien de significatif puisque les noms ont été délibérément modifiés en « Jean Martin ». Mais avec le cryptage, le pirate verrait un format de texte illisible tel que « PA$1#K@ ».
  • La résilience des données : La résilience des données est la capacité d’une entreprise à absorber tout type de défaillance ou d’intrusion du système et à se rétablir. La résilience peut être mesurée en observant la rapidité avec laquelle l’entreprise a pu se redéployer après des circonstances imprévues.

 

Quatre principes de bonne gouvernance

 

Les principes de bonne gouvernance s’appliquent également à votre politique de sécurité des données. Les responsables informatiques doivent chercher à intégrer les principes suivants pour trouver le parfait équilibre entre self-service et sécurité :

  1. L’équité : Un environnement de gestion réactive signifie également s’assurer que les employés ne sont pas surchargés de mesures de sécurité qu’ils doivent constamment suivre. Si une politique de confiance zéro doit être appliquée, elle doit aussi être équitable pour les employés afin de maintenir leur productivité.
  2. La fiabilité : La confiance zéro, de par sa conception, est synonyme de fiabilité. Les organisations doivent tenir chaque membre de la hiérarchie responsable de la sécurité des données. Qu’il s’agisse du PDG, du responsable informatique ou du nouveau stagiaire, la politique de sécurité doit s’appliquer à tous.
  3. La responsabilité : Pour les responsables informatiques, garantir des mesures de sécurité solides est une responsabilité qui a beaucoup de poids. La responsabilité implique également de s’assurer que la capacité à surveiller le personnel ne franchit pas les limites éthiques en prétendant assurer la sécurité de tous. Une bonne gouvernance implique de comprendre vos responsabilités et le poids qu’elles représentent, ainsi que de créer des processus qui vous permettent de les assumer.
  4. La transparence : Même dans un environnement de politique de sécurité où la confiance est nulle, c’est en s’assurant que les employés savent dans quelle mesure ils sont surveillés que l’on développe la confiance. Le fait d’être ouvert sur les mesures de sécurité qui doivent être prises contribue à faire comprendre pourquoi vous devez prendre ces mesures.

 

Conseil n° 3 : Des routines de sécurité pour surmonter les menaces

 

Parallèlement aux avantages de la démocratisation du travail et des technologies telles que Microsoft 365 qui la permettent, il y a forcément certaines limites.

Mais comme cela fait partie du jeu, comment faire en sorte que les équipes informatiques puissent rationaliser les tâches de sécurité ?

Premièrement, soyez conscient des types de risques de sécurité qui peuvent menacer votre environnement Microsoft 365. Ensuite, veillez à ce que certaines tâches de sécurité soient exécutées quotidiennement.

Types de risques que les équipes informatiques doivent garder à l’esprit

 

Pour garantir une sécurité maximale, les équipes informatiques doivent garder à l’esprit tous les types de menaces susceptibles de poser des risques de sécurité. Les risques de sécurité les plus importants peuvent provenir de :

  • Phishing
  • Logiciels malveillants
  • Cloud Data
  • Ransomware
  • Exposition des données
  • Menaces internes

Pour surmonter ces menaces tout en restant proactives, les équipes informatiques peuvent mettre en place une routine quotidienne expliquée dans la section suivante.

 

Tâches quotidiennes de sécurité informatique pour rester à l’affût des risques de sécurité

 

Les tâches quotidiennes suivantes doivent être effectuées pour être proactif plutôt que réactif :

  1. Rapports centralisés et exploitables : Une façon d’être proactif est de créer des rapports personnalisés préétablis adaptés aux besoins internes de votre organisation. Des rapports quotidiens qui vous tiennent au courant, vous donnent une vue d’ensemble de l’environnement de travail à distance décentralisé et génèrent des informations exploitables, permettent aux problèmes de se révéler d’eux-mêmes plutôt que de vous obliger à les rechercher activement.
  2. Évaluation des risques : L’une des tâches quotidiennes de sécurité à approfondir consiste à effectuer des évaluations de risques. La création d’une structure permettant d’automatiser les rapports mettant en évidence le niveau de risque de sécurité auquel votre infrastructure informatique est actuellement confrontée vous permet de rester conscient du seuil de sécurité que votre organisation peut absorber.
  3. Automatiser la conformité aux politiques : Définir des politiques de sécurité est une chose, mais veiller à ce qu’elles soient appliquées dans toute la hiérarchie organisationnelle en est une autre. Une tâche de routine cruciale à exécuter devrait consister à dimensionner correctement les paramètres d’autorisation et à vérifier que tout le monde s’y conforme.

 

La question logique que tout responsable informatique se pose probablement est la suivante : comment cela est-il possible avec Microsoft 365 ? L’automatisation d’activités telles que la conformité aux politiques et les rapports personnalisés nécessite de plonger dans les scripts Powershell pour effectuer le travail.

Heureusement, ShareGate automatise la surveillance de la sécurité dans Microsoft 365 et bien plus encore. Une plateforme centralisée est disponible pour tout surveiller en un seul endroit et faire en sorte que votre équipe informatique n’ait pas à chercher les failles de sécurité. Être proactif signifie créer des politiques où les problèmes se révèlent d’eux-mêmes sans nécessiter de mesures réactionnaires.

 

Retrouvez l’article original ICI