Comment aligner la collaboration M365 avec l’architecture de confiance de votre agence

Date de publication: 09/08/2022
feature image

Cet article fait partie de la série de Zero Trust d’AvePoint. Restez à l’écoute pour d’autres articles sur les stratégies et les solutions pour mettre en œuvre une architecture Zero Trust et combattre les lacunes de votre sécurité au cours des prochains mois.


En savoir plus : 


Alors que le travail hybride continue d’être la norme, les équipes de cybersécurité et informatiques au sein du gouvernement américain doivent se demander comment aligner les modèles de travail flexibles récemment adoptés et la protection continue des missions de la nation. Les menaces constantes telles que la cybercriminalité, le ransomware et les données surexposées font qu’il est essentiel pour les agences de revoir leur modèle de sécurité et de s’orienter vers un choix plus moderne comme Zero Trust. 

Pour lancer notre série sur Zero Trust et la collaboration M365 de votre agence, cet article vous présentera les sujets suivants : 

Qu’est-ce que l’architecture Zero Trust ?

L’architecture Zero Trust est un type d’architecture de sécurité moderne. Contrairement aux approches de sécurité traditionnelles, qui supposent une confiance implicite pour les personnes à l’intérieur de votre réseau, l’architecture Zero Trust (ZTA) suit le principe « ne jamais faire confiance, toujours vérifier ». Bien qu’il ne s’agisse pas d’une nouvelle stratégie (elle a été introduite à l’origine par un analyste de Forrester à la fin des années 2000), l’augmentation récente de l’adoption du cloud et du travail hybride a entraîné une forte hausse du nombre d’entreprises suivant des approches de Zero Trust pour leur sécurité. En fait, un rapport de Microsoft a révélé que 76 % des organisations ont au moins commencé à mettre en œuvre une stratégie Zero Trust. 

Le gouvernement fédéral américain ne fait pas exception. Après l’inclusion de la ZTA en 2021 dans le décret présidentiel sur la cybersécurité, le gouvernement fédéral a publié le document M-22-09, qui introduit une stratégie fédérale d’architecture Zero Trust dans le but de lutter contre les cybermenaces de plus en plus sophistiquées et persistantes, qui menacent la sécurité publique et la vie privée. Toutes les agences fédérales sont tenues de respecter des normes spécifiques de cybersécurité et d’atteindre des objectifs spécifiques de sécurité de Zero Trust d’ici la fin de l’année fiscale 2024.

Il existe de nombreux articles scientifiques sur la définition de Zero Trust, mais en bref, cette approche moderne de la sécurité peut être présentée en 5 piliers principaux : 

  • Réseau : cette approche traditionnelle de la sécurité vise à empêcher les acteurs malveillants d’entrer dans votre environnement. S’ils ne peuvent pas y entrer, ils ne peuvent pas vous attaquer. 
  • Appareil : en s’appuyant sur le réseau, la sécurité des appareils (souvent appelés points de terminaison) garantit la sécurité du matériel qui se connecte à votre réseau. Ce point est particulièrement important car de plus en plus d’organisations adoptent le modèle « apportez votre propre appareil » (BYOD) pour les technologies informatiques et cellulaires. 
  • Application : du code à la visibilité (à tout moment et en tout lieu), toutes les applications doivent être sécurisées pour garantir l’absence de portes dérobées, que ce soit intentionnellement ou par négligence. 
  • Utilisateur : l’authentification de l’utilisateur, récemment associée à l’authentification multifacteur (MFA), est la préoccupation la plus populaire pour ce pilier. Cependant, ces dernières années, l’identité unique, l’historique d’audit et l’autorisation sont également devenus des éléments clés du succès de ce pilier dans la ZTA. 
  • Données : les données et la protection des informations essentielles de notre pays sont au cœur de la ZTA. Une protection réussie des données nécessite des métadonnées, une classification et une segmentation. 

L’intégration de ces piliers dans votre structure peut sembler décourageante, surtout quand nous savons que l’architecture Zero Trust ne peut être mise en œuvre sans changements majeurs des pratiques de sécurité. Cependant, l’approche a fait ses preuves et, avec les bonnes solutions permettant de simplifier ces changements, votre environnement peut être plus sûr tout en réduisant la complexité de la sécurité et les coûts opérationnels. 

Rejoignez-nous : Zero Trust et votre agence : ce qu’il faut faire pour mettre la théorie en pratique (en anglais) 

Pourquoi avez-vous besoin d’une architecture Zero Trust ?

Pour mieux comprendre comment mettre en œuvre la ZTA, vous devez comprendre pourquoi elle est nécessaire. Historiquement, un modèle de sécurité typique qui prévalait était le suivant : « S’ils ne peuvent pas accéder à mon réseau, ils ne peuvent pas accéder à notre contenu. » C’est pourquoi la plupart des bonnes pratiques de sécurité privilégiaient les approches basées sur le périmètre, comme les pare-feu ou les systèmes d’isolation des navigateurs. En fait, les piliers du réseau et de l’appareil existent pour cette raison précise, car ils sont toujours valables dans le cadre de votre approche de la sécurité aujourd’hui. 

Ces stratégies constituaient la première ligne de défense, axée sur la sécurisation des systèmes et la prévention des menaces dès leur entrée sur le réseau. Dans ces pratiques, si votre première ligne de défense était efficace, vous n’aviez pas besoin d’une deuxième. Vous pouviez être sûr que vos applications, vos espaces de travail et vos données étaient en sécurité avec un minimum d’efforts supplémentaires. 

Si ces méthodes fonctionnaient à l’époque, lorsque la plupart des environnements, qu’ils soient physiques ou numériques, étaient bien définis, ce n’est plus le cas aujourd’hui pour deux raisons essentielles. La beauté des outils de collaboration modernes, tels que Microsoft 365, est que votre équipe peut travailler de n’importe où, sur n’importe quel appareil, mais cela constitue sa propre malédiction. Cette flexibilité ouvre la porte aux utilisateurs distants, aux pratiques « apportez votre propre appareil » et à un plus grand nombre de personnes travaillant dans des espaces partagés et non privés, ce qui introduit un grand nombre de vulnérabilités et de risques que les stratégies traditionnelles ne peuvent pas combattre.

En outre, l’hypothèse selon laquelle toute personne à l’intérieur de votre réseau est digne de confiance et que toute personne à l’extérieur ne l’est pas est dépassée. Selon IBM, près d’une violation de données sur dix est due à des initiés malveillants. Dans le cadre des pratiques de sécurité traditionnelles, ces menaces internes sont libres d’accéder à vos informations sensibles et de les infiltrer en raison du manque de granularité des contrôles de sécurité. Comme le recommande le principe du moindre privilège, seules les personnes qui ont besoin de savoir doivent avoir accès à vos informations sensibles. 

Les espaces de travail modernes exigent des pratiques de sécurité modernes. L’adoption d’approches innovantes en matière de sécurité, telles que Zero Trust, est essentielle pour une collaboration sûre. 

Pourquoi l’espace de travail est le sixième pilier de Zero Trust ?

Maintenant que nous comprenons pourquoi l’architecture Zero Trust est nécessaire pour la sécurité de votre agence, parlons de la manière de la mettre en œuvre. L’Institut américain des normes et des technologies (NIST) a publié des conseils sur l’adoption de Zero Trust en tant qu’agence fédérale et a fourni des modèles de déploiement qui vous aident à verrouiller l’accès et à protéger vos informations. Leurs recommandations vous encouragent à couvrir toutes les sources de données, à sécuriser les communications et à éliminer les hypothèses générales. 

Ce dernier point est essentiel : les hypothèses générales concernant la sécurité de vos espaces de collaboration ont peut-être été la pierre angulaire de la sécurité du périmètre, mais elles pourraient maintenant causer votre perte. Nous avons pu constater de visu que la sécurisation de votre réseau ou de votre appareil n’est pas une mesure de sécurité efficace. Qu’il s’agisse d’un initié malveillant qui vole et vend des secrets ou d’un employé négligent qui compromet involontairement ses propres informations d’identification, les menaces internes sont partout. Vous ne pouvez plus supposer que votre contenu est sécurisé simplement parce que votre réseau l’est. 

Les approches globales de Zero Trust étendent la protection au-delà du réseau et de l’appareil. L’Agence de la cybersécurité et de la sécurité des infrastructures (CISA) a identifié cinq grands piliers essentiels à l’exécution efficace de la ZTA : l’identité, les appareils, les réseaux, les applications et les données. 

Bien que ce changement améliore votre sécurité, il manque toujours un pilier pour obtenir un cadre Zero Trust vraiment complet : les espaces de travail. Ignorer les environnements de collaboration comme Microsoft Teams ou Groups lors de l’élaboration de votre stratégie de protection des données est un piège dangereux pour votre sécurité. Ces espaces sont des centres de collaboration et de partage d’informations pour la plupart des organisations, mais le contrôle de qui a accès à quoi n’est pas toujours une priorité. Si rien n’est fait, vous risquez de vous retrouver avec des utilisateurs surprivilégiés, des espaces de collaboration non sécurisés et une augmentation exponentielle des risques.

L’autorisation et l’authentification vont de pair dans le cadre Zero Trust, et toutes deux doivent être strictement appliquées dans vos espaces de travail. Vous pouvez éviter les dangers d’un espace de travail non sécurisé en ajustant correctement les contrôles de vos équipes, en utilisant des stratégies telles que l’administration déléguée, les étiquettes de confidentialité, les espaces de travail de catalogue, l’application des stratégies, les informations exploitables, les utilisateurs invités et le partage externe. 

Zero Trust et M365 de votre agence  

Tout cela commence peut-être à vous sembler écrasant, mais il est important de se rappeler qu’un modèle de sécurité plus puissant est essentiel pour renforcer les défenses du gouvernement contre des campagnes de menaces de plus en plus sophistiquées et persistantes. Les efforts de mise en œuvre de Zero Trust ont également des avantages inattendus, comme l’a constaté le rapport de Microsoft : les organisations fonctionnant sous Zero Trust bénéficient d’une agilité accrue (37 %), d’une plus grande rapidité (35 %) et d’une meilleure protection des données des clients (35 %). 

Heureusement, les experts d’AvePoint sont là pour vous aider à aligner votre collaboration avec le mandat de Zero Trust du gouvernement. Dans le cadre de notre série de blogs sur Zero Trust et la collaboration M365 de votre agence, nous présenterons plusieurs stratégies permettant de mettre en œuvre une architecture Zero Trust complète dans vos espaces de travail, ainsi que des solutions permettant d’appliquer les principes Zero Trust à votre collaboration de manière transparente. 

Produits AvePoint 

Vous avez besoin de stratégies pertinentes et réfléchies ainsi que d’un moyen de savoir quelles tâches avaient été effectuées par qui dans quel espace de collaboration ? AvePoint Cloud Governance vous permet d’appliquer automatiquement les stratégies de gouvernance au sein de votre organisation.


Abonnez-vous à la communauté du secteur public Microsoft 365 pour recevoir d’autres conseils et astuces sur l’utilisation de M365 par les services publics. 

Antoine Snow is a senior solutions manager at AvePoint, leading the Public Sector business unit. He has held various positions in IT over the past several years ranging from front-end web developer to Microsoft 365 Service Owner. In his current role, Antoine focuses on governance and adoption challenges plaguing the modern workplace and helping government organizations understand the components of a governance strategy and its implementation. Antoine's views on these topics can be found in various blog posts and has been the focus of one-to-one workshops.

Voir tous les articles de Antoine Snow

I sell software, but my passion is to help translate the needs of the business into the capabilities of available technology. Over two decades in tech I have helped customers analyze collaboration solutions against actual mission needs in helping them select the best path based on their personal critical success factors. Per my training I’m a project manager (PMP), an engineer, an architect, and a designer; but ultimately, I’m a problem solver.

Voir tous les articles de Jay Leask
Share this blog

Abonnez-vous à notre blog