La division de la cybersécurité du département de la Sécurité intérieure des États-Unis, ou CISA, a récemment publié un rapport sur l’état de la sécurité dans les déploiements de Microsoft Office 365. Le rapport cadre avec les constatations que nous avons faites au cours des dernières années : bon nombre d’organisations adoptent Office 365 sans faire une évaluation adéquate de leurs besoins en matière de sécurité, en déterminant comment ces besoins doivent être pris en charge par Office 365. Bien que le rapport de la CISA mette l’accent sur quatre vulnérabilités critiques, nous sommes d’avis qu’il en existe beaucoup d’autres qui ne sont pas aussi évidentes, mais au moins aussi importantes.
Gestion du cycle de vie des recrues et des départs
Cet aspect semble évident, mais vous seriez surpris du nombre d’organisations que nous évaluons qui possèdent toujours des comptes actifs, dans Active Directory et Office 365, pour des gens qui ont quitté l’entreprise. Non seulement ces organisations paient pour des licences inutilisées, mais cette situation crée une faille qui permet à un utilisateur de se connecter au client Office 365 et d’interagir avec les autres par usurpation d’identité.
Dans ce scénario, une solution possible serait d’automatiser au moins la création et la suppression des comptes utilisateurs et de lier ces tâches à la solution de gestion des ressources humaines du client. À la base, la mise en place de ces mesures est assez simple et aidera certainement à corriger une telle faille de sécurité.
La protection des messages : un combat de tous les jours, pas une configuration unique
Exchange Online Protection convient à beaucoup d’entreprises, mais il se peut que ce service ne suffise pas à protéger convenablement votre organisation. L’éducation des utilisateurs doit être un processus continu, accompagné de tests réguliers pour vérifier si les gens sont prêts à cliquer sur n’importe quoi dans un courriel. Les gens au sein de votre organisation n’ont pas tous les mêmes aptitudes en TI, donc certains cliqueront inévitablement sur des liens d’hameçonnage si le message se rend dans leur boîte de réception. Ils tiennent pour acquis que la solution de protection filtrera tous les courriels malveillants, et que si un message se rend à leur boîte de réception, il n’y a aucun risque.
Si vous avez de la difficulté à empêcher vos usagers de cliquer sur des liens malveillants, songez à mieux éduquer les gens ou à mettre en place une solution tierce offrant un niveau supplémentaire de protection. L’acquisition d’une deuxième solution peut entraîner des coûts importants, mais songez à ce qu’il vous en coûterait si votre organisation subissait une grave violation de sécurité.
Sauvegarde d’Office 365
À première vue, la sauvegarde d’une plateforme SaaS peut sembler inutile, voire absurde. Après tout, un des avantages des logiciels hébergés, c’est que vous n’avez plus à vous préoccuper des sauvegardes et de la reprise après sinistre, pas vrai? Durant les premières années d’existence d’Office 365 (et de BPOS, pour ceux qui s’en souviennent), les sauvegardes ne semblaient pas nécessaires. Toutefois, avec l’évolution de la plateforme et l’augmentation du nombre de violations de sécurité au sein des entreprises, il est devenu justifié de faire des copies de sauvegarde des données, y compris les courriels, SharePoint, Teams, la journalisation et d’autres composantes. Qu’arriverait-il si quelqu’un utilisait le compte toujours actif d’un ancien employé pour modifier quelques sites SharePoint? Ou si cette personne décidait d’envoyer des courriels avec des renseignements confidentiels à l’extérieur de l’organisation, puis supprimait les messages envoyés? Il serait impossible de récupérer ces éléments de données après la période de purge par défaut d’Office 365.
Conclusion
En somme, si vous n’avez pas soumis votre organisation à un processus complet de conception pour le déploiement d’Office 365, en vous assurant que votre service de sécurité pose les questions difficiles au sujet de ladite conception, il serait peut-être avisé de réévaluer votre situation actuelle. Il y a des centaines de paramètres de sécurité qui peuvent être mis en place; certains sont évidents, d’autres moins. Des firmes de spécialistes comme la nôtre peuvent évaluer la sécurité de votre client Office 365. L’outil Secure Score peut aussi vous recommander les meilleures pratiques pour renforcer la sécurité de votre environnement. Par ailleurs, si votre organisation est assujettie à des réglementations sur la protection des renseignements personnels, comme le RGPD, la LPRDE ou la norme PCI, vous auriez intérêt à dresser un plan de vos besoins de conformité, en déterminant les paramètres Office 365 qui correspondent à ceux-ci. Vos collègues ne vous remercieront peut-être pas pour cette initiative, mais tout le monde pourra dormir sur ses deux oreilles.