La sécurité des informations est un sujet très sensible pour toutes les entreprises. Openhost tente chaque jour d’améliorer la protection des données utilisateurs en s’appuyant à la fois sur les toutes dernières technologies à disposition mais aussi en appliquant une politique simple et précise permettant ainsi à tous les utilisateurs de se protéger des risques informatiques.
En entreprise, une bonne politique de sécurité a pour objectif de placer les données des utilisateurs en sécurité mais sans toutefois nuire à la productivité des collaborateurs. Microsoft Cloud App Security et Azure Information Protection proposent de nouvelles évolutions qui vous permettront de sécuriser plus simplement et plus efficacement les données qui transitent via les suites Office 365 Professionnel et Office 365 Business Pro.
Il est important de garder en tête que les utilisateurs en entreprise ne sont pour la plupart pas familier de l’informatique malgré leurs utilisations habituels de différents devis dans leur vie personnel (smartphone, tablette, ordinateurs portables… ). Lorsque l’on définit une politique de sécurité en entreprise, il est donc nécessaire d’en tenir compte afin de fixer des règles simples et efficaces qui pourront dès lors être respectées de tous.
Généralement 5 labels de sécurité est un standard qui permet de faire face à toutes les situations tout en restant suffisamment simple à prendre en compte. Ces 5 niveaux de protection sont configurés dans votre suite Office 365 afin de protéger de façon native tous les documents internes.
Les 5 niveaux de protection peuvent donc être définis de la manière suivante :
Par exemple en créant un nouveau document Word Office, le niveau standard de protection est au niveau « Général » qui désigne un document professionnel interne. En fonction des données qui seront stockées dans ce document, l’utilisateur pourra de lui-même redéfinir le niveau de sécurité le plus adapté. En imposant de base un niveau de protection des documents sur « Général » alors vous êtes certains que vos collaborateurs auront de base des documents suffisamment protégés.
En appliquant une politique de sécurité automatisé sous MCAS (Microsoft Cloud App Security), les fichiers avec un certain niveau de sécurité défini seront automatiquement bloqués s’il y a tentative d’envoi vers une plateforme de cloud public. Cette fonctionnalité est compatible avec tous les grands fournisseurs de stockage cloud publics (Azure, Amazon Web Service, Google Cloud, Dropbox, etc.).
Bien entendu la politique de sécurité globale peut ne pas être suffisante en fonction de la taille de votre entreprise. Il est donc possible de créer des entités spécifiques représentant des groupes de personnes qui possèdent des accès spécifiques. Cette fonctionnalité permet donc de limiter l’accès à certains fichiers en fonction du statut de la personne dans l’entreprise.
Par exemple, si vous appartenez au service juridique de l’entreprise, les documents que vous traitez sont confidentiels mais il est aussi important d’en limiter l’accès en interne. La définition d’un sous-label « Juridique » ou « Service Juridique » vous permettra donc de ne laisser accès à ce document que les personnes qui ont droit d’accès sur ce même groupe. Une bonne pratique est dans un premier temps de définir des sous-labels par département puis d’ajuster en fonction des besoins internes. Il est aussi possible de créer des sous-labels pour des projets spécifiques si ce projet requiert un niveau de confidentialité restreint aux seuls membres du groupe.
Comme vu précédemment, il est essentiel de bien délimiter les accès des utilisateurs en fonction de leurs rôles et statuts. Pour cela Azure Protection Information vous offre la possibilité de définir des politiques de sécurité spécifiques et indépendantes les unes des autres.
Sur cette capture d’écran on aperçoit donc 3 politiques de sécurité différentes : la première concerne l’ensemble des utilisateurs et permet de placer de manière spontanée le niveau de sécurité sur « Général », les 2ème et 3ème s’adressent à des groupes d’utilisateurs plus spécifiques et comportent donc des mesures de sécurité plus restrictives (le niveau de sécurité moyen pourrait par exemple être placé sur « Hautement Confidentiel / Projet Samos » ou « Confidentiel / Managers » dès le départ par exemple).
Si un utilisateur appartient à un groupe spécifique, il aura donc une politique de sécurité spécifique appliquée sur chacun des documents produits, si aucune politique n’est en place alors ce sera la politique globale qui s’applique.
Il est bien connu que le premier facteur de risques informatiques en entreprise est le comportement de l’utilisateur lui-même, qui fait malheureusement souvent défaut à la politique de sécurité IT interne. Encourager l’utilisateur à avoir un comportement plus responsable et adéquat est donc nécessaire !
Globalement, il existe 4 types différents de politiques de protection des données pour les utilisateurs :
La politique de sécurité des fichiers se situe au croisement des 3 premières. En mixant ces différents aspects et en exploitant les bons outils, il est possible de déployer une politique hautement efficace qui permet d’obtenir un niveau de sécurité global et une personnalisation au niveau de chaque utilisateur. Comme vu un peu plus haut, créer des règles automatiques permet de définir de base une politique globale de sécurité mais tout en laissant le choix aux utilisateurs de redéfinir le niveau de sécurité avec ou sans justifications à fournir.
Il est de plus possible d’ajouter des recommandations avancées qui apparaîtront en fonction du contenu du document : Par exemple si un utilisateur est sur le point de sauvegarder un document comportant l’expression « service finance » dans son contenu texte alors un message peut être affiché pour spécifier « Il vous est recommandé de classer votre document en niveau de protection : Confidentiel / Service finance ». Cette manière automatique de pousser des recommandations est très efficace pour éduquer les utilisateurs à faire le bon choix.
Jusque-là nos conseils se sont largement fixés sur la sécurité des documents des utilisateurs en entreprise. Un autre point faible de la sécurité informatique en entreprise est la gestion des emails frauduleux. Malgré les nombreux anti-spam et autres filtres appliqués sur les serveurs de messagerie, les attaques sont toujours présentes et de plus en plus d’entreprises sont touchées.
Protéger les échanges mails tout en ne limitant pas les échanges est donc essentiel pour votre entreprise. Sous Outlook, la protection email est donc renforcée de manière à sécuriser les échanges avec des collaborateurs bénéficiant des mêmes serveurs Exchange (avec Outlook toujours donc) mais aussi avec des clients mails externes tels que Gmail ou Apple.
Il est donc désormais possible de déployer des barrières de protection pour éviter la perte ou le détournement d’informations par mail. L’idée de base est en fait de pouvoir s’assurer que l‘utilisateur qui va consulter le contenu du mail est bel et bien la personne qui est censée le recevoir.
Prenons l’exemple d’un mail encrypté que l’on ne souhaiterait envoyer qu’à certaines personnes. Auparavant il était nécessaire de passer par l’application Outlook ou Outlook Web App (OWA) pour justifier son identité. Désormais lorsqu’une personne recevra un mail crypté, un message l’invitant à se loguer sur son compte Google ou d’utiliser un code à usage unique s’affichera (voir capture ci-dessus). Le code à usage unique sera envoyé sur la boite mail du destinataire ce qui permet de confirmer que c’est bel et bien cette personne qui accédera au contenu du message. Une fois l’identité confirmée, le message s’ouvre sur un environnement mail sécurisé recrée dans le navigateur qui permet d’accéder à toutes les fonctionnalités email classiques.
Les multiples évolutions en termes de solution de sécurisation des données de l’entreprise permettent désormais de mettre en place une politique de sécurité efficace et évolutive. Loin des anciennes chartes de protection qui tendait à impacter négativement la productivité des collaborateurs et des administrateurs système, une politique de sécurité semi-automatisée et flexible permet donc de protéger les données de l’entreprise dans leur ensemble. Si vous souhaitez en savoir plus sur la mise en place d’une telle sécurisation pour les outils Office 365, n’hésitez pas à prendre contact avec notre équipe technique qui vous orientera sur les mesures les plus adaptées à votre entreprise.
Vous souhaitez en savoir plus sur Enterprise Mobility + Security ?
Microsoft Teams, la plateforme de collaboration pour entreprise fête sa 1ère année d’existence. Selon Microsoft, plus de 200 000 entreprises à travers le monde ont adopté ce nouvel outil de collaboration depuis son ajout à Office 365 l’an dernier. Depuis la sortie de Teams, les annonces Office 365 ont beaucoup portées sur les nouveautés de cette […]
Lire la suiteSécurité informatique : les conseils pour sécuriser vos mots de passe Rappelez-vous de l’affaire LinkedIn de 2012. La firme avait subi un piratage massif, qui entraîna la révélation de 117 millions de combinaisons d’identifiants et de mots de passe. Puis les données avaient été mises en vente sur le Dark Web pour 2000€… Un exemple […]
Lire la suiteImportant Cet article fait la promotion d’Hosted Exchange 2013, un produit qui n’est plus commercialisé par Openhost. Nous préconisons désormais Exchange Online. En savoir plus Pour notre dixième vidéo sur notre nouvelle plateforme EX13 dédiée à notre plateforme Hosted Exchange 2013, nous vous proposons une session live de 4 minutes où vous allez découvrir comment […]
Lire la suite