Microsoft 365 révolutionne la collaboration et la productivité en entreprise. Lancé comme une suite traditionnelle, il offre désormais une solution cloud complète. Avec une multitude d’applications, il facilite la collaboration et la gestion des tâches. Cependant, des défis persistent, notamment en matière de sécurité des données. Une approche réfléchie et des mesures adaptées sont nécessaires. Adoptez les meilleures pratiques pour maximiser les avantages du logiciel.
Les principes essentiels pour une utilisation optimale de Microsoft 365
Microsoft 365 représente un écosystème complet de services et d’outils conçus pour améliorer la collaboration, la productivité et la communication au sein des entreprises. Cependant, avec cette richesse de fonctionnalités vient également la nécessité de garantir la sécurité et la protection des données sensibles. Pour aider les organisations à naviguer en toute sécurité dans cette galaxie Microsoft 365 en constante évolution, il est essentiel de comprendre et d’appliquer un ensemble de principes fondamentaux.
Comprendre les fondamentaux de Microsoft 365
Le Cloud Public fonctionne sur une infrastructure de cloud public, permettant un accès à distance aux applications et aux données. Il utilise un modèle de tenant unique mutualisé, sans étanchéité garantie entre les données des différentes entités.
La Philosophie Générale : La plupart des produits, comme Outlook, Teams, OneDrive et Yammer, reposent sur une infrastructure commune, principalement SharePoint. Cela met la sécurité des fichiers et des données principalement sous le contrôle de l’utilisateur.
Principes généraux à applique à Microsoft 365
- Définir et encadrer les cas d’usage : Avant d’adopter les outils, définissez clairement les cas d’usage et établissez des directives pour leur utilisation appropriée.
- Veiller sur la sécurité : Restez informé des dernières mises à jour de sécurité et des évolutions des outils Microsoft 365 pour garantir une protection optimale contre les menaces.
- Évaluer la nécessité de Migration : Étudiez attentivement la nécessité de déplacer tous vos fichiers dans Microsoft 365 et optez pour une approche pragmatique et sécurisée.
- Prévoir une Solution de Secours : Anticipez les éventuels problèmes en prévoyant une solution de secours ou des alternatives pour assurer la continuité des opérations.
- Sensibiliser les Collaborateurs : Impliquez vos collaborateurs dans la démarche de sécurité en les sensibilisant aux bonnes pratiques et aux moyens de protection de chaque outil.
- Mettre en Place des Contrôles Adaptés : Personnalisez les paramètres de sécurité et mettez en place des contrôles appropriés pour chaque outil en fonction de vos besoins spécifiques.
Principes spécifiques des outils de Microsoft 365
Bureautique : Taguez vos documents et vos mails selon leur sensibilité, chiffrez les documents et mails très sensibles.
Outils Collaboratifs : Ne rendez jamais publics les Teams ou OneDrive, limitez l’accès à Delve, établissez des règles de nommage pour garantir une organisation efficace et sécurisée.
Outils de Développement : Confiez les développements à des acteurs de la DSI, appliquez les règles de sécurité, validez l’usage d’applications développées pour les processus métiers.
Sécurité d'accès au tenant et partage d'information
Pour assurer une sécurité maximale lors du partage d’informations avec des tiers, il est crucial de mettre en place des protocoles et des recommandations spécifiques pour chaque type de partage, qu’il s’agisse de partage intra-tenant, de partage extra-tenant (B to B), ou de partage avec des clients ou des partenaires externes (B to C).
Sécurité des Services de Stockage de Données et Dispositif de Contrôle/Reporting
Pour garantir la sécurité des services de stockage de données tels que SharePoint, OneDrive, Outlook, etc., et assurer un contrôle efficace des activités et des incidents, il est recommandé d’utiliser des outils et des solutions de sécurité avancés tels que Azure Information Protection (AIP), Advanced Threat Protection (ATP), et des solutions tierces de contrôle et de reporting.
Objectifs du Document
Ce guide a été élaboré par le Forum des Compétences en collaboration avec Wavestone et avec la participation d’acteurs du monde des banques et assurances. Son but est de synthétiser les conclusions des groupes de travail dédiés à l’environnement Microsoft 365, en mettant l’accent sur les aspects de cybersécurité. Conçu comme un document directeur, il ne prétend pas à l’exhaustivité, mais vise à fournir des lignes directrices claires et pratiques pour aborder Microsoft 365 sous l’angle de la sécurité.