{"id":606,"date":"2019-06-10T08:58:59","date_gmt":"2019-06-10T12:58:59","guid":{"rendered":"https:\/\/itergy.com\/blog\/youre-vulnerable-and-you-dont-even-know-it-microsoft-office-365-security-misconfigurations\/"},"modified":"2023-02-16T14:38:25","modified_gmt":"2023-02-16T19:38:25","slug":"vous-etes-vulnerable-et-vous-ne-le-savez-meme-pas-problemes-de-configuration-de-la-securite-microsoft-office-365","status":"publish","type":"blog","link":"https:\/\/itergy.com\/fr\/blogue\/vous-etes-vulnerable-et-vous-ne-le-savez-meme-pas-problemes-de-configuration-de-la-securite-microsoft-office-365\/","title":{"rendered":"Vous \u00eates vuln\u00e9rable. Et vous ne le savez m\u00eame pas: probl\u00e8mes de configuration de la s\u00e9curit\u00e9 Microsoft Office 365"},"content":{"rendered":"\n

 <\/p>\n

La division de la cybers\u00e9curit\u00e9 du d\u00e9partement de la S\u00e9curit\u00e9 int\u00e9rieure des \u00c9tats-Unis, ou CISA, a r\u00e9cemment publi\u00e9 un rapport<\/a> sur l\u2019\u00e9tat de la s\u00e9curit\u00e9 dans les d\u00e9ploiements de Microsoft Office 365<\/u>. Le rapport cadre avec les constatations que nous avons faites au cours des derni\u00e8res ann\u00e9es : bon nombre d\u2019organisations adoptent Office 365 sans faire une \u00e9valuation ad\u00e9quate<\/u> de leurs besoins en mati\u00e8re de s\u00e9curit\u00e9, en d\u00e9terminant comment ces besoins doivent \u00eatre pris en charge par Office 365. Bien que le rapport de la CISA mette l\u2019accent sur quatre vuln\u00e9rabilit\u00e9s critiques, nous sommes d\u2019avis qu\u2019il en existe beaucoup d\u2019autres qui ne sont pas aussi \u00e9videntes, mais au moins aussi importantes.<\/p>\n

Gestion du cycle de vie des recrues et des d\u00e9parts<\/h1>\n

Cet aspect semble \u00e9vident, mais vous seriez surpris du nombre d\u2019organisations que nous \u00e9valuons<\/u> qui poss\u00e8dent toujours des comptes actifs, dans Active Directory<\/u> et Office 365, pour des gens qui ont quitt\u00e9 l\u2019entreprise. Non seulement ces organisations paient pour des licences inutilis\u00e9es, mais cette situation cr\u00e9e une faille qui permet \u00e0 un utilisateur de se connecter au client Office 365 et d\u2019interagir avec les autres par usurpation d\u2019identit\u00e9.<\/p>\n

Dans ce sc\u00e9nario, une solution possible serait d\u2019automatiser au moins la cr\u00e9ation et la suppression des comptes utilisateurs et de lier ces t\u00e2ches \u00e0 la solution de gestion des ressources humaines du client. \u00c0 la base, la mise en place de ces mesures est assez simple et aidera certainement \u00e0 corriger une telle faille de s\u00e9curit\u00e9.<\/p>\n

La protection des messages : un combat de tous les jours, pas une configuration unique<\/h1>\n

Exchange Online Protection convient \u00e0 beaucoup d\u2019entreprises, mais il se peut que ce service ne suffise pas \u00e0 prot\u00e9ger convenablement votre organisation. L\u2019\u00e9ducation des utilisateurs doit \u00eatre un processus continu, accompagn\u00e9 de tests r\u00e9guliers pour v\u00e9rifier si les gens sont pr\u00eats \u00e0 cliquer sur n\u2019importe quoi dans un courriel. Les gens au sein de votre organisation n\u2019ont pas tous les m\u00eames aptitudes en TI, donc certains cliqueront in\u00e9vitablement sur des liens d\u2019hame\u00e7onnage si le message se rend dans leur bo\u00eete de r\u00e9ception. Ils tiennent pour acquis que la solution de protection filtrera tous les courriels malveillants, et que si un message se rend \u00e0 leur bo\u00eete de r\u00e9ception, il n\u2019y a aucun risque.<\/p>\n

Si vous avez de la difficult\u00e9 \u00e0 emp\u00eacher vos usagers de cliquer sur des liens malveillants, songez \u00e0 mieux \u00e9duquer les gens ou \u00e0 mettre en place une solution tierce offrant un niveau suppl\u00e9mentaire de protection. L\u2019acquisition d\u2019une deuxi\u00e8me solution peut entra\u00eener des co\u00fbts importants, mais songez \u00e0 ce qu\u2019il vous en co\u00fbterait si votre organisation subissait une grave violation de s\u00e9curit\u00e9.<\/p>\n

Sauvegarde d\u2019Office 365<\/h1>\n

\u00c0 premi\u00e8re vue, la sauvegarde d\u2019une plateforme SaaS peut sembler inutile, voire absurde. Apr\u00e8s tout, un des avantages des logiciels h\u00e9berg\u00e9s, c\u2019est que vous n\u2019avez plus \u00e0 vous pr\u00e9occuper des sauvegardes et de la reprise apr\u00e8s sinistre, pas vrai? Durant les premi\u00e8res ann\u00e9es d\u2019existence d\u2019Office 365 (et de BPOS, pour ceux qui s\u2019en souviennent), les sauvegardes ne semblaient pas n\u00e9cessaires. Toutefois, avec l\u2019\u00e9volution de la plateforme et l\u2019augmentation du nombre de violations de s\u00e9curit\u00e9 au sein des entreprises, il est devenu justifi\u00e9 de faire des copies de sauvegarde des donn\u00e9es, y compris les courriels, SharePoint, Teams, la journalisation et d\u2019autres composantes. Qu\u2019arriverait-il si quelqu\u2019un utilisait le compte toujours actif d\u2019un ancien employ\u00e9 pour modifier quelques sites SharePoint? Ou si cette personne d\u00e9cidait d\u2019envoyer des courriels avec des renseignements confidentiels \u00e0 l\u2019ext\u00e9rieur de l\u2019organisation, puis supprimait les messages envoy\u00e9s? Il serait impossible de r\u00e9cup\u00e9rer ces \u00e9l\u00e9ments de donn\u00e9es apr\u00e8s la p\u00e9riode de purge par d\u00e9faut d\u2019Office 365.<\/p>\n

Conclusion<\/h1>\n

En somme, si vous n\u2019avez pas soumis votre organisation \u00e0 un processus complet de conception pour le d\u00e9ploiement d\u2019Office 365, en vous assurant que votre service de s\u00e9curit\u00e9 pose les questions difficiles au sujet de ladite conception, il serait peut-\u00eatre avis\u00e9 de r\u00e9\u00e9valuer votre situation actuelle. Il y a des centaines de param\u00e8tres de s\u00e9curit\u00e9 qui peuvent \u00eatre mis en place; certains sont \u00e9vidents, d\u2019autres moins. Des firmes de sp\u00e9cialistes comme la n\u00f4tre peuvent \u00e9valuer la s\u00e9curit\u00e9<\/u> de votre client Office 365. L\u2019outil Secure Score peut aussi vous recommander les meilleures pratiques pour renforcer la s\u00e9curit\u00e9 de votre environnement. Par ailleurs, si votre organisation est assujettie \u00e0 des r\u00e9glementations sur la protection des renseignements personnels, comme le RGPD, la LPRDE ou la norme PCI, vous auriez int\u00e9r\u00eat \u00e0 dresser un plan de vos besoins de conformit\u00e9, en d\u00e9terminant les param\u00e8tres Office 365 qui correspondent \u00e0 ceux-ci. Vos coll\u00e8gues ne vous remercieront peut-\u00eatre pas pour cette initiative, mais tout le monde pourra dormir sur ses deux oreilles.<\/p>\n","protected":false},"author":50,"featured_media":10649,"parent":0,"menu_order":0,"template":"","blog_tag":[139,152,179],"class_list":["post-606","blog","type-blog","status-publish","has-post-thumbnail","hentry","blog_tag-conformite","blog_tag-data-management-fr","blog_tag-office-365-fr-2"],"acf":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/blog\/606","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/blog"}],"about":[{"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/types\/blog"}],"author":[{"embeddable":true,"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/users\/50"}],"version-history":[{"count":2,"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/blog\/606\/revisions"}],"predecessor-version":[{"id":22510,"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/blog\/606\/revisions\/22510"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/media\/10649"}],"wp:attachment":[{"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/media?parent=606"}],"wp:term":[{"taxonomy":"blog_tag","embeddable":true,"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/blog_tag?post=606"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}