Au fil de mes rencontres, de mes échanges et de mes missions, je rencontre des personnes qui conservent pour Microsoft 365 une certaine méfiance.
Héberger les données ailleurs que dans l’entreprise, accéder aux outils via internet continue à faire peur. Paradoxalement, de grands groupes ont parfois plus confiance que de petites PME pourtant autant visées par des attaques massives.
L’actualité est riche sur ce sujet, et le nombre des attaques est sans cesse croissant. J’ai donc demandé à un expert reconnu, Xuan AHEHEHINNOU de nous donner son avis sur le sujet, et d’expliquer si Microsoft 365 est une opportunité ou un risque en matière de sécurité informatique.
Xuan, peux-tu te présenter en quelques mots ?
Après avoir obtenu mon diplôme de DUT en informatique de gestion, je me suis plié à l’exigence du service militaire obligatoire.
J’ai débuté au sein de la Brigade de Sapeurs-Pompiers Paris ; où j’ai eu l’opportunité d’allier des activités de service d’incendie et de secours et de technicien au sein du service télécommunications et informatique ; par un service militaire long de 2 ans suivi d’une période d’engagement de 3 ans.
Mon parcours professionnel s’est ensuite enrichi par une carrière significative de 13 au sein de Bouygues Construction. Carrière pendant laquelle j’ai occupé les postes de technicien support, administrateur systèmes et réseaux, responsable des déploiements d’infrastructures réseaux et télécoms, expert système, puis architecte système.
Après avoir passé 5 ans chez Nelite France en tant que leader technique sur les solutions de gestion des identités et des accès & les communications unifiées, Abalon m’a permis de relever le challenge consistant à compléter l’expertise de l’entreprise sur Microsoft 365 par une expertise sur la cybersécurité. J’occupe ainsi désormais le poste de ‘Microsoft 365 Solution Architect’ au sein de la société Abalon.
Quelles sont les actualités en matière d’attaques informatiques ?
Au cours de l’année 2020, dans le monde, le taux d’augmentation des cyberattaques par ransomware a été augmenté de 148%. Les cybermenaces, évoluent et se diversifient. Avec la tendance à la double extorsion, Les cybercriminels ne se contentent plus de chiffrer les données, ils menacent de les divulguer ou d’en vendre les plus sensibles.
Les cyberattaques les plus courantes sur les composants d’infrastructures exploitent des manques en terme gestion des identités et des accès, des vulnérabilités logicielles ou matérielles, des défauts de configuration. Les arnaques auprès des utilisateurs visent principalement l’hameçonnage (phishing), l’ingénierie sociale et l’arnaque au président.
Au-delà des chiffres qui peuvent être discutables en fonction des sources, un nombre conséquent d’entreprises ont déjà été victimes de cyberattaques, des petites entreprises jusqu’aux grands groupes cotés en bourse, des entreprises privées comme publiques.
Quelle que soit la taille de l’entreprise, une cyberattaque entraîne toujours des conséquences majeures sur l’activité et sur l’image de l’entreprise.
Que risquent les entreprises qui ne sont pas attentives ?
Étant majoritairement amorcées par du phishing, les attaques représentent actuellement la menace informatique la plus sérieuse pour les entreprises et institutions sont opérées via des rançongiciels (ransomwares).
Les groupes d’attaquants opérant ces rançongiciels s’appuient sur un important écosystème cybercriminel, ils s’emploient à exfiltrer de grandes quantités de données présentes sur le système d’information compromis avant l’action de chiffrement. Ils se servent ensuite de la menace de divulgation de ces données afin d’exercer une pression supplémentaire sur les victimes et ainsi les inciter à payer la rançon.
Pour les entreprises, il existe le risque en matière de sanction en cas de divulgation de données à caractère personnel depuis l’entrée en vigueur du RGPD, le risque de forte perte financière relative à la rupture d’activité voire également au paiement d’une rançon, le risque d’atteinte à l’image de l’entreprise, le risque d’espionnage industriel. Liste de risque à laquelle j’ajoute personnellement l’impact psychologique sur le personnel des entreprises victimes.
Quels sont selon toi les principaux talons d’Achille des entreprises ?
Selon moi, le principal sujet technique, critique, et sous-évalué par les entreprises est la gestion des identités numériques, il s’agit pourtant du sujet qui est au cœur de la sécurité informatique. Les plus importantes lacunes en gestion des identités sont :
la faiblesse voire l’absence de gouvernance,
des manques de robustesse dans le système d’authentification,
le manque de compétences techniques
En l’occurrence, ce manque de compétences techniques concerne l’Active Directory, qui fournit des services centralisés d'identification et d'authentification pour quasiment toutes les entreprises.
Les autres faiblesses techniques concernent les sujets liés à la gestion des accès, la gestion des périphériques, la gestion des données et la gestion des applications. De manière générale, le talon d’Achille des entreprises est de ne pas être suffisament en capacité de répondre à la question : qui accède à quoi, comment, et à quel moment ?
Se posent aussi les problématiques de budget alloué à la cybersécurité (investissement dans les solutions techniques, constitution des équipes) et la nécessité d’aborder le sujet cybersécurité dans tous les projets digitaux. Soit la définition, l’évolution permanente et l’application d’une stratégie de cybersécurité.
Pour être factuel, je constate encore trop fréquemment des usages et des contextes à risque , en voici un échantillon :
un compte bureautique possède des privilège d’administration d’au moins un des composants d’infrastructure,
un directeur communique son mot de passe à son assistante pour qu’elle gère son calendrier,
des transferts automatiques de mails sont mis en place vers des boîtes aux lettres personnelles,
un compte générique est partagé par plusieurs prestataires de la société X,
un compte d’administration a accès à toutes les données, dont les données de finance, de paie, et des ressources humaines
les comptes des collaborateurs et prestataires partis sont toujours actifs,
des mots de passe sont stockés dans un fichier bureautique, voire écrits sur des supports papier
un serveur Active Directory est accessible directement depuis internet,
les utilisateurs ne savent pas que les mails indiquant qu’ils ont gagné un iPhone sont des arnaques,
un unique architecte Active Directory dans un contexte international de dizaines de milliers d’utilisateurs,
etc, etc…
Certaines entreprises se méfient du Cloud : ont elles raison ?
Le fait que n’importe qui puisse accéder aux données dans le cloud est bien entendu un a priori. Les solutions cloud professionnelles chiffrent de manière efficace toute connexion et utilisent de nombreux procédés pour stocker efficacement et sûrement les données.
Lorsque l’on se pose la question « est-ce que le cloud est suffisamment sécurisé ? », il est également nécessaire de se poser la question « est-ce que le système d’information actuellement on-premises * est suffisamment sécurisé ? ».
(*) on parle d'hébergement "On-Premises" pour parler de l'utilisation de serveurs installés dans les locaux de l'entreprise gérés par les propres moyens de l'entreprise. Par opposition au Cloud, dont les moyens d'hébergement sont en dehors de l'entreprise et gérés par une société tierce (Microsoft, Amazon, etc).
La majorité des entreprise se méfiant du cloud ont déjà certainement une part de « Shadow IT » où des employés stockent des informations professionnelles sur le cloud public et des supports non sécurisés comme des clés USB ou des smartphones personnels.
Qui dit cloud, dit service managé. Les contraintes et exigences de sécurité physiques et informatiques reposent dans ce cas sur les certifications de sécurité confidentialité et conformité du fournisseur de services cloud, qui propose de véritables garanties contractuelles. Force est de constater que la gestion de la sécurité des environnements on-premises porte sur une surface d’attaque devenue extrêmement difficile à maîtriser et où le principe de sécurité périmétrique s’avère désormais insuffisant, d’autant plus que les menaces peuvent venir du périmètre dit « de confiance » via une identité ou un périphérique d’entreprise compromis par exemple.
Dans un contexte on-premises, en l’occurrence : comment s’assurer que tous les composants d’infrastructure soient maintenus à jour afin de s’affranchir exhaustivement des vulnérabilités ?
En conclusion, je dirais qu’il est obsolète de se méfier du cloud. Il est vital de faire évoluer les stratégies de cybersécurité en phase avec cette extension de périmètre et des nouveaux usages et contextes liés au cloud. Stratégie sécurité devant entre-autres comporter une sensibilisation régulière des employés afin qu’ils soient conscients des risques et adoptent les bonnes pratiques.
Finalement, la Suite Microsoft 365 est-elle un risque ou une opportunité en matière de sécurité informatique de l’entreprise ?
L’utilisation de Microsoft comme plate-forme de sécurité est pertinente, avec une expertise approfondie et reconnue des fonctions de sécurité intégrées des plates-formes Microsoft 365 et Windows.
L’ouverture au cloud offre l’opportunité de confier une partie de la gestion de la sécurité à un fournisseur de services, comme Microsoft. L’autre partie de la gestion de la sécurité restant à adresser par l’entreprise via une approche par l’analyse de risques et en sécurisant en priorité les identités numériques où la gouvernance des identités reste et restera majoritairement sur l’infrastructure Active Directory on-premises, puis des mécanises basés sur des stratégies d’accès conditionnel pour imposer entre-autres l’authentification forte.
La suite Microsoft 365 permet d’allier la productivité et la sécurité. En effet, Azure Active Directory, fournisseur d’identités pour Microsoft 365, est une plateforme robuste et éprouvée de gestion et de sécurisation des identités numériques et des accès. Notamment, Azure a plus de certifications que tout autre fournisseur de services cloud.
Tous les outils Microsoft 365 présentent l’avantage considérable d’être nativement intégrés entre eux avec les politiques de sécurité définies, soit une consolidation des briques de sécurité dans un unique écosystème. En l’occurrence Microsoft Teams, le hub collaboratif, permet à la fois de centraliser les communications et échanges internes comme externes, tout en y sécurisant efficacement les accès et les contenus tout en répondant aux exigences de conformité.
En complément, face aux impacts possibles à la suite d’une cyberattaque, Microsoft 365 offre l’opportunité dans certains contextes d’assurer une continuité de service partielle dans le cas où les infrastructures on-premises seraient rendues indisponibles. Par exemple, la continuité du service de messagerie dans le contexte où il repose exclusivement sur Microsoft Exchange Online.
Qu’est-ce que Microsoft 365 propose comme solution pour améliorer la sécurité informatique ?
« Microsoft Enterprise Mobility + Security » est une plateforme intelligente de sécurité et de gestion de la mobilité. Cette suite intègre toutes les fonctionnalités de gestion des identités et des accès, de protection des informations, de protection contre les menaces, de gestion des PC et mobiles, et de gestion des applications cloud.
« Microsoft 365 Defender » est un portail offrant une interface simplifiée de gestion consolidée des alertes sécurité, avec la possibilité d’y apporter des investigations et des remédiations automatiques, ceci de façon transverse à Microsoft 365, Azure AD et Windows.
Concrètement, ces fonctionnalités permettent aux entreprises d’utiliser sereinement Microsoft 365. Il est important de souligner que, chaque composant de sécurité doit faire l’objet de paramétrage rigoureux relatif aux contraintes et exigences de l’entreprise ainsi aux bonnes pratiques et recommandations de sécurité et de conformité dans les contextes métier.
Quels sont les services que tu proposes pour aider les entreprises à se protéger ?
Pour aider les entreprises à garantir la sécurité de leur futur ou actuel environnement Microsoft 365, je propose des accompagnements de conseil et d’expertise technique sur :
La définition et l’évolution de la stratégie de cybersécurité
L’implémentation des technologies Microsoft 365 de sécurité et de conformité visant à protéger les identités numériques, les accès, les données, et les applications de l’entreprise contre les menaces, attaques et accès illégitimes
L’audit sécurité des environnements Microsoft 365, Azure Active Directory et Active Directory
La sensibilisation et l’initiation des employés à la cybersécurité.
N'hésitez pas à contacter la société ABALON (cliquer ici) si vous avez besoin d'accompagnement sur ces sujets.
Pour en savoir plus, voyez le dossier sur ce sujet dans le site de la société Abalon :