Comment activer l’administration déléguée dans le contexte de Zero Trust

Date de publication: 06/07/2022
feature image

Cet article fait partie de la série Zero Trust d’AvePoint. Ne manquez pas nos prochains articles pour tout savoir sur les stratégies et solutions de mise en place de l’architecture Zero Trust et combler les failles de sécurité de votre organisation. Si vous avez manqué notre premier article, lisez l’introduction, « Comment aligner la collaboration M365 avec l’architecture de confiance de votre agence ».


En savoir plus :


Malgré les efforts continus des agences pour aligner leurs plans de sécurité sur l’architecture Zero Trust, une exigence imposée par le mémorandum M-22-09 du gouvernement fédéral des États-Unis, nous n’avons pas vu beaucoup de progrès dans l’exécution de ces stratégies. Cela vaut particulièrement pour les grandes entités centralisées qui réunissent des services et des bureaux autrefois distincts.

Tandis que les équipes de sécurité souhaiteraient mettre en œuvre un modèle du privilège minimum pour répondre aux normes de l’architecture Zero Trust, les agences fédérales qui ont consolidé leurs différents services et bureaux sur une plateforme centralisée comme Microsoft 365 doivent prendre une décision cruciale. Elles peuvent soit autoriser chaque organisme à accéder à l’ensemble de l’entité, soit verrouiller les droits d’administrateur et alourdir la tâche des équipes informatiques pour gérer le moindre aspect de chaque service.

Heureusement, il existe une troisième option. Dans cet article, nous allons voir comment vous pouvez utiliser l’administration déléguée à l’échelle de votre solution cloud pour combiner le contenu avec des privilèges basés sur les rôles afin d’aligner la structure de sécurité de votre organisation avec l’architecture Zero Trust sans alourdir la charge de travail des équipes informatiques.

Les avantages de l’administration déléguée

Le principe des privilèges minimum, qui limite tous les utilisateurs aux seules autorisations nécessaires pour accomplir leur tâche, est un élément fondamental de l’architecture Zero Trust car il permet aux agences d’appliquer à la lettre la maxime « ne jamais faire confiance » : si vos employés ont uniquement accès au contenu nécessaire, les conséquences d’une compromission des informations d’identification, des actes d’une personne malveillante ou d’un piratage sont limitées.

Dans une administration centralisée, un modèle du privilège minimum alourdit considérablement la charge de vos administrateurs généraux, qui doivent parfois passer le plus clair de leur temps à gérer des utilisateurs, du contenu et l’accès à vos espaces de travail et applications Microsoft 365 pour s’assurer que seuls les utilisateurs ayant un besoin de savoir peuvent accéder à tel ou tel contenu.

M365 fournit un modèle d’administration basé sur les rôles, qui permet au service informatique central de conférer à des utilisateurs qui ne sont pas des administrateurs généraux des privilèges d’administration limités, comme la possibilité de gérer la distribution des licences, de créer une nouvelle boîte aux lettres de ressources ou de réinitialiser un mot de passe. Néanmoins, pour respecter les normes d’une architecture Zero Trust, une agence doit aller plus loin dans l’administration déléguée et diviser les responsabilités de chaque administrateur par service, champ d’application et fonction.

De nombreuses agences travaillent par exemple avec des prestataires gouvernementaux qui peuvent fréquemment ajouter ou supprimer des membres à des projets. Généralement, c’est à l’organisation informatique centrale responsable de l’entité qu’incombe la lourde tâche de gérer ces modifications de personnel, créer des utilisateurs, gérer les licences et supprimer les anciens utilisateurs. Avec l’administration déléguée, ces tâches d’intégration et de débarquement des utilisateurs peuvent être confiées aux équipes des prestataires, qui sont mieux à même de gérer cette responsabilité.

L’administration déléguée s’inscrit également dans une bonne pratique de sécurité, en permettant au propriétaire d’une information de gérer ses propres données. Cet aspect est particulièrement utile pour les agences travaillant avec des données sensibles qui sont souvent mandatées pour n’autoriser que l’équipe propriétaire des données à connaître l’existence de ces dernières.

Lacunes de l’administration déléguée native

Historiquement, lorsque la plupart du travail des agences fédérales se faisait sur site, l’« administration déléguée » se faisait naturellement. La plupart des agences possédaient plusieurs fermes de serveurs qui appartenaient généralement aux différents services et bureaux, ce qui permettait à chaque service de contrôler sa structure collaborative, ses stratégies de sécurité et ses procédures de gouvernance. Aujourd’hui, à l’heure où les agences migrent vers le cloud et centralisent tous leurs services et bureaux dans Microsoft 365, l’administration déléguée nécessite une plus grande coordination pour garantir son efficacité et sa sécurité.

Des capacités natives vous permettent de segmenter qui a accès à quoi et de déléguer les tâches administratives. Microsoft 365 possède par exemple des rôles d’administration du service, comme ceux d’administrateur SharePoint et d’administrateur Exchange. Ces rôles confèrent à l’utilisateur la possibilité d’administrer SharePoint dans son intégralité à l’échelle de toute l’entité. SharePoint va plus loin avec l’accès Administrateur de la collection de sites qui vous permet de sélectionner manuellement les différentes collections de sites qui relèvent de la portée de chaque utilisateur et d’attribuer des autorisations administratives.

Bien que cela soit toujours mieux que le fait de laisser aux administrateurs généraux la lourde tâche de gérer eux-mêmes le contenu, votre équipe informatique doit recourir à un processus manuel pour déterminer qui gère quoi. Votre équipe informatique doit identifier la portée du contenu et la faire correspondre avec le privilège de chaque utilisateur. En cas de modification ou de suppression des responsabilités du site d’un utilisateur par un autre administrateur, ces responsabilités devront être modifiées ou rajoutées manuellement. Enfin, vous devrez suivre manuellement quelles collections de sites appartiennent à qui afin de vous assurer qu’aucun utilisateur n’a trop de privilèges.

Lisez cet article : Nouvelle solution AvePoint EnPower d’AvePoint pour transformer l’administration de Microsoft 365

Comme vous le voyez, non seulement l’attribution d’un contenu adapté aux administrateurs est un processus extrêmement manuel, mais vous avez également besoin d’un processus pour suivre la modification des autorisations et les réinitialiser ou prendre le risque que chaque administrateur n’ait pas l’accès requis quand il en a besoin.

Ce processus est très fastidieux et laisse une très grande place à l’erreur. Multipliez ces efforts pour chaque type de contenu, notamment les sites SharePoint, les boîtes aux lettres Exchange, les canaux Teams et les dossiers OneDrive, et votre équipe informatique passera toutes ses journées à gérer les autorisations et l’accès au contenu.

Lorsque vous voulez mettre en place une architecture Zero Trust grâce à une meilleure gestion des autorisations, les capacités natives ne sont tout simplement pas efficaces ni adaptées aux agences fédérales.

Une administration déléguée optimisée et sécurisée

AvePoint EnPower d’AvePoint optimise l’administration déléguée en répartissant les autorisations, ce qui permet aux agences d’adapter et d’aligner les autorisations d’administration à l’échelle de leur entité M365 afin de répondre à leurs besoins opérationnels et sécuritaires.

En combinant une approche du contrôle des accès basé sur les rôles avec une définition automatisée de la portée du contenu, les tâches quotidiennes comme la réinitialisation du mot de passe d’un utilisateur, la configuration d’une nouvelle boîte aux lettres de ressource ou la suppression des sites SharePoint inactifs ne seront accessibles qu’aux administrateurs qui en ont besoin à l’échelle du contenu concerné.

Vous choisissez la manière dont les autorisations d’administration sont structurées (par application, emplacement, unité d’affaires, service, assistance informatique hiérarchisée) en fonction de ce qui vous convient le mieux. La portée peut être automatisée en fonction de la configuration Azure Active Directory ou selon des colonnes personnalisées, la convention d’affectation de noms des espaces de travail, ou les métadonnées stockées dans le « property bag » des espaces de travail.

AvePoint EnPower renforce également la granularité d’un administrateur du service : au lieu de disposer de l’intégralité des droits d’administration à l’échelle du service Exchange, un administrateur peut être uniquement autorisé à créer des boîtes aux lettres Exchange, mais pas à les supprimer ni à mettre en place une conservation pour litige suite à une directive émanant d’une équipe juridique. Un autre scénario courant consiste à autoriser un administrateur à superviser l’ensemble des équipes qui appartiennent uniquement à son agence.

AvePoint permet de sécuriser l’administration grâce à des tableaux de bord et des rapports d’activité centralisés, qui vous permettent de surveiller, suivre et vérifier toute l’activité afin de confirmer que les autorisations adaptées ont été conférées. Vous pouvez ainsi identifier rapidement les raisons pour lesquelles une tâche a échoué ou faire une vérification en bloc pour vérifier quelles tendances nécessitent une correction.

Ce qu’il faut retenir

Travailler dans le cloud est une tâche complexe. De ce fait, de nombreuses organisations ont verrouillé les privilèges des administrateurs pour n’en conserver que quelques-uns, en supposant que cette solution est la meilleure pour protéger leurs informations. Malheureusement, cela ne fait qu’alourdir des ressources précieuses en les soumettant à des requêtes et tâches quotidiennes, ce qui augmente la charge de travail des équipes informatiques et limite l’adaptabilité.

Alors que les agences s’efforcent de mettre en place des modèles de privilège minimum et une architecture Zero Trust, ce problème ne fera que s’accentuer du fait que votre équipe informatique devra consacrer un temps considérable à gérer les utilisateurs, le contenu et l’accès et s’assurer que votre entité est sécurisée. Avec l’administration déléguée, votre service informatique central reste responsable des stratégies de gouvernance générales et de la gestion globale de votre entité, mais il peut se décharger de certaines tâches fastidieuses qui ne menacent pas la sécurité de votre agence et les confier à des utilisateurs responsables d’une manière contrôlée.

Il n’existe aucune solution ni technologie capable de vous permettre de répondre aux normes de sécurité du gouvernement, mais l’administration déléguée est une première étape utile capable de vous aider à réduire le risque, décharger le service informatique et sécuriser vos informations sensibles.

Rassemblez votre équipe de sécurité et votre équipe informatique grâce à EnPower d’AvePoint. Demandez une démonstration d’EnPower d’AvePoint dès maintenant et découvrez comment, avec les bons outils, vous pourrez facilement sécuriser votre entité et accroître les effectifs de votre service informatique avec une administration déléguée simplifiée du contenu Microsoft 365 et de la gestion de la sécurité.


Abonnez-vous à la communauté du secteur public Microsoft 365 pour recevoir d’autres conseils et astuces sur l’utilisation de M365 par les services publiques.

Antoine Snow is a senior solutions manager at AvePoint, leading the Public Sector business unit. He has held various positions in IT over the past several years ranging from front-end web developer to Microsoft 365 Service Owner. In his current role, Antoine focuses on governance and adoption challenges plaguing the modern workplace and helping government organizations understand the components of a governance strategy and its implementation. Antoine's views on these topics can be found in various blog posts and has been the focus of one-to-one workshops.

Voir tous les articles de Antoine Snow

I sell software, but my passion is to help translate the needs of the business into the capabilities of available technology. Over two decades in tech I have helped customers analyze collaboration solutions against actual mission needs in helping them select the best path based on their personal critical success factors. Per my training I’m a project manager (PMP), an engineer, an architect, and a designer; but ultimately, I’m a problem solver.

Voir tous les articles de Jay Leask
Share this blog

Abonnez-vous à notre blog