Les 5 défis de la gestion des risques dans Microsoft 365

author
Date de publication: 08/05/2020
feature image

La période que nous vivons actuellement est sans précédent. Et si certaines entreprises avaient soigneusement préparé et opéré leur transition vers le cloud, de nombreuses autres ont dû modifier ou accélérer leurs plans en réponse à la pandémie mondiale. En quelques semaines, le commerce s’est effondré dans le monde entier :

  • Des entreprises sont passées en mode virtuel ou ont fermé
  • Les gens restaient chez eux et consommaient moins
  • La société tournait au ralenti

En savoir plus : 


Un guide gratuit sur pourquoi et comment la sauvegarde d’Office 365 n’a jamais été aussi importante en raison de la recrudescence du teletravail. Téléchargez l’eBook gratuitement !


 

Les responsables des services d’information, de la gestion des risques, de la protection de la vie privée et de la sécurité ont dû faire face à des situations sans précédent. Nous devons maintenant à la fois :

  • Préserver l’intégrité des entreprises en évitant les incidents de sécurité résultant de vulnérabilités connues ou inconnues ;
  • Gérer l’émergence de nouvelles formes d’attaques liées à l’évolution des dispositifs de sécurité technique et physique suite aux changements d’environnement prévus et imprévus ;
  • Gérer l’investissement en se basant sur un profil de risque pertinent ;
  • Préparer l’entreprise au monde de demain, uniformiser les règles de continuité de service et de récupération d’urgence, et adapter les politiques et procédures à la technologie et aux solutions de sécurité ;
  • Changer d’échelle pour accélérer la mise en place de programmes d’optimisation des TI et de nouveaux paradigmes.

Du jour au lendemain, de nombreuses entreprises ont dû mettre la quasi-totalité de leurs effectifs en télétravail, ce qui s’est traduit par une forte accélération (que les uns et les autres y soient prêts ou non) de l’utilisation des technologies de cloud (telles que Microsoft Office 365) et une véritable explosion du volume de données. Mais que ces données soient générées par et au sein de votre entreprise, ou collectées par votre entreprise auprès d’un tiers (client, fournisseur, partenaire ou autre), la seule façon de les protéger efficacement est de bien les comprendre.

Est-ce qu’elles contiennent des informations sur vos clients ou vos employés, sur la propriété intellectuelle, sur des communications sensibles, des informations personnelles identifiables, des renseignements médicaux, des données financières, etc. ? Plus précisément, quel est l’impact de cette transformation brutale du cloud en termes de gestion des risques d’entreprise ?

Pourquoi voudriez-vous mettre vos données, vos systèmes, voire héberger toute votre infrastructure, sur l’ordinateur de quelqu’un d’autre ? L’intérêt du cloud est évident : un coût total de possession réduit et moins de maintenance pour les administrateurs informatiques. En hébergeant vos applications et en stockant vos données dans le cloud, vous pouvez réduire vos coûts et améliorer l’accès à vos contenus.

Le cloud offre de nombreux avantages aux équipes informatiques des petites et des grandes entreprises, ainsi qu’aux fournisseurs de technologie et à leurs clients, en permettant aux entreprises d’investir beaucoup moins dans l’infrastructure et les ressources qu’elles doivent héberger, gérer, administrer et entretenir en interne. Elles peuvent ainsi investir dans les applications de pointe qu’elles développent au sein d’un environnement entièrement redondant hébergé en externe (et ce à un coût nettement moins élevé !).

Mais dans le même temps, pour les entreprises soumises à des exigences réglementaires, le passage au cloud n’est pas sans risque. Les cinq variables importantes à prendre en compte sont :

  1. L’accès et le contrôle

Certaines entreprises s’inquiètent à l’idée de stocker leurs données « hors de leurs murs », notamment en raison du haut niveau d’accès et de contrôle sur les informations dont disposent les administrateurs informatiques non-salariés dans l’entreprise, mais aussi par manque de confiance dans les moyens technologiques existants pour sécuriser et gérer les accès utilisateur et l’authentification, voire par crainte d’actions intentionnelles ou accidentelles des employés ou des sous-traitants.

  1. Les données sensibles

Pour les entreprises qui envisagent de passer au cloud, la question n’est pas de savoir SI elles vont passer au cloud, mais CE QU’ELLES VONT METTRE dedans. À quelques rares exceptions près, la plupart d’entre elles déplaceront une partie de leurs données dans le cloud, que ce soit volontairement ou non.

Dans certaines entreprises, chaque employé conserve déjà ses données dans des systèmes de stockage cloud comme Dropbox ou Yahoo. Le plus souvent, la raison invoquée est « leur facilité d’utilisation et d’accès ». Les administrateurs et les responsables de la sécurité informatiques sont souvent agacés par cette pratique, qui s’explique généralement par le fait que les entreprises rendent leurs propres systèmes trop difficiles à utiliser.

  1. La dépendance vis-à-vis du fournisseur de services

Vous devez évaluer votre niveau de confiance dans le fournisseur de services cloud qui vous est proposé. Votre confiance dans le prestataire que vous choisissez et sa transparence vis-à-vis des pratiques de sécurité et de protection des données doivent peser dans votre décision. Par exemple, que vous dit-il sur ses procédures de sauvegarde et de récupération des données ?

  1. La souveraineté des données

Si votre entreprise est soumise à des exigences en termes de souveraineté des données, vous devez non seulement vous assurer que vos données restent « dans le pays », mais également que les sauvegardes de ces données y restent aussi. Et le même raisonnement s’applique à la destruction des données légalement défendables et aux exigences en matière de gestion des documents d’archives. Vous devez toujours savoir où se trouvent toutes les copies de vos données, et cela pose un réel défi à la plupart des entreprises qui utilisent leur propre système. Veillez également à exprimer clairement ces attentes à vos fournisseurs de cloud.

  1. Le contrôle de la fonctionnalité

Ensuite, assurez-vous d’avoir compris comment votre fournisseur de cloud déploiera les « futures améliorations » du service qu’il vous propose. L’un des grands avantages du cloud est que les fournisseurs de services comme Microsoft, Amazon et d’autres peuvent constamment innover et réactualiser leurs offres. C’est très intéressant d’un point de vue technologique, mais cela peut avoir des conséquences sur la confidentialité et la sécurité des données.

D’ailleurs, et ce n’est pas une surprise, la confidentialité et la sécurité des données sont toujours les premières préoccupations lorsqu’une entreprise passe au cloud ! Les équipes chargées de la protection de la vie privée, de la sécurité ou de l’information désactivent souvent des fonctionnalités d’Office 365 comme le partage externe et le stockage dans OneDrive ou Yammer par crainte de ne pas pouvoir contrôler le comportement de leurs utilisateurs. Mais sachez que ces fonctions peuvent être activées par défaut !

La manière la plus simple de le faire est de vous assurer que toutes les mises à jour fournies à votre système s’effectuent d’abord dans un environnement de « test » ou « hors production » de votre entité, pour que vos équipes de sécurité et de protection des données puissent évaluer précisément tous les risques avant d’intégrer les nouvelles fonctionnalités à vos données et systèmes de production. Avant de vous lancer, vous devriez au moins disposer d’une période d’observation, le temps d’évaluer les nouvelles fonctionnalités avec vos équipes de protection de la vie privée, de sécurité et de conformité.

Les données sont partout ; structurées ou non structurées, immobiles ou en mouvement, elles transitent par des canaux d’information divers, les sites internet et les applications web, elles sont transmises via des messageries instantanées et des systèmes de collaboration sur site et dans le cloud, et « dorment » dans des dépôts de données, des bases de données et des file shares.

Comme je l’ai déjà évoqué, l’étiquetage et la classification des données permettent à l’entreprise d’avoir une meilleure compréhension et un meilleur contrôle des données qu’elle détient et qu’elle partage. Et les métabalises permettent d’optimiser les programmes d’investigation électronique et d’archivage de documents tout en protégeant et en contrôlant le flux d’informations.

De nombreuses entreprises mettent en place des règles de classification des données qui sont plus théoriques qu’opérationnelles. En d’autres termes, elles ont une politique d’entreprise qui n’est pas appliquée, ou dont la mise en œuvre est laissée à l’appréciation des « utilisateurs professionnels » ou des propriétaires des données. Le problème posé par un système professionnel basé sur la « confiance » en l’utilisateur est qu’il est difficile de prévoir la pertinence d’une décision ou la proportion de données correctement étiquetées. Des propos inappropriés ont-ils été échangés ? Des informations sensibles ou confidentielles ont-elles été partagées ? Les politiques de confidentialité et de conformité sont-elles contournées, que ce soit délibérément ou involontairement ? À qui faites-vous confiance ? L’utilisateur ou la machine ?

AvePoint Compliance Guardian est une stratégie complète de gestion de la sécurité, des incidents portant atteinte à la vie privée et des violations reflétant de manière réaliste la protection des données et la gestion des risques au sein de votre entreprise. Compliance Guardian apporte également à Office 365 des fonctionnalités importantes, et notamment :

  • Des règles de classification qui vont au-delà d’Office 365 et s’appliquent également aux serveurs File Shares ou SharePoint hébergés sur site.
  • Des rapports d’analyse de fichiers qui aident les clients à préparer leur migration vers le cloud avant de déplacer des données sensibles.
  • Des rapports sur le risque d’entreprise qui identifient les cas de partage excessif ou les données sensibles dans de multiples systèmes.
  • Des plans d’action et des notifications d’incidents qui aident les clients à réduire les risques en temps réel.

Le cloud peut réellement vous simplifier la vie et vous aider à gérer vos données et vos systèmes de manière beaucoup plus sécurisée et extensible. Mais en ce qui concerne la confidentialité et la sécurité de vos données, mieux vaut garder les pieds sur terre, même si vos applications se trouvent dans le ciel !


Vous souhaitez suivre notre série ? N’oubliez pas de vous abonner à notre blog !

author

Dana Louise Simberkoff is the Chief Risk, Privacy and Information Security Officer at AvePoint. She is responsible for AvePoint’s privacy, data protection, and security programs. She manages a global team of subject matter experts that provide executive level consulting, research, and analytical support on current and upcoming industry trends, technology, standards, best practices, concepts, and solutions for risk management and compliance. Ms. Simberkoff is responsible for maintaining relationships with executive management and multiple constituencies both internal and external to the corporation, providing guidance on product direction, technology enhancements, customer challenges, and market opportunities. Ms. Simberkoff has led speaking sessions at data privacy and security events around the globe. She was featured in Forbes, writes a monthly column for CMSWire, and was highlighted in the CSO Online list of “12 Amazing Women in Security”. She is a current member of the Women Leading Privacy Advisory Board and a past member of the Education Advisory Board for the International Association of Privacy Professionals (IAPP). Ms. Simberkoff holds a BA from Dartmouth College and a JD from Suffolk University Law School. LinkedIn: www.linkedin.com/in/danalouisesimberkoff/en Twitter: http://www.twitter.com/danalouise

Voir tous les articles de Dana S.
Share this blog

Abonnez-vous à notre blog