C’est une mésaventure qui pose bien le sujet : dans une entreprise de taille respectable (environ 1000 personnes), un conflit avec un collaborateur a abouti à son licenciement dans des conditions un peu houleuses. Apriori, la séparation s'était tout de même bien passée. Mais quelques semaines plus tard, des collaborateurs remontaient des problèmes : ici et là, des fichiers importants avaient disparu. En fait, avant de partir, le salarié indélicat s'était promené dans tous les dossiers des serveurs de fichiers et avait supprimé des fichiers. Pas trop, pour ne pas lever d'alerte, mais assez pour créer de beaux problèmes. Vous imaginez les difficultés de restauration partielle sur le vieux serveur de fichiers, plusieurs semaines plus tard !
Ce problème avait ouvert les yeux des dirigeants de l’entreprise sur l’importance de gérer correctement la sécurité des fichiers dans l’entreprise sur le vieux serveur de fichiers, car tout le monde avait accès à tout, et avec tous les droits possibles, y compris la suppression. Le plus dommage, c’était que cette entreprise disposait depuis plusieurs années de coûteuses licences Microsoft 365. Ils se sont subitement rendus compte qu’ils n’en faisaient rien du tout, à part utiliser la messagerie. Echaudé par cette expérience, la décision avait été prise de décommissionner le serveur de fichier pour migrer sur Microsoft 365 (lire cet article sur ce sujet), réfléchir à une stratégie documentaire et de protection, activer des étiquettes, etc.
Cette mésaventure pourrait arriver à un grand nombre d’entreprise car très rares sont celles qui ont pris ce sujet à bras-le-corps. Ce serait une bonne chose pourtant, parce que les enjeux sont énormes et les risques extrêmement nombreux :
le risque que des fichiers importants et patrimoniaux disparaissent,
le risque que ces fichiers sont altérés ou modifiés, par accident ou malveillance,
le risque d’une trop large diffusion, et donc d’une perte de confidentialité en interne,
le risque d’une divulgation à l’extérieur de l’entreprise de données sensibles (RGPD),
le risque d’une perte d'efficacité à cause d'une infobésité qui se traduit ici par l’accès à un grand nombre de fichiers dont une grande majorité n’est d’aucune utilité pour la plupart des collaborateurs (mais qui leur polluent le quotidien)
Dans le passé, les entreprises pouvaient se cacher sous l’excuse des outils. Les classiques (et vieux) serveurs de fichiers, dignes et nobles héritiers des premiers balbutiements de la « bureautique » des années 1980 ne sont pas très pourvus en solutions dans ce domaine, à part faire positionner (par la DSI) des droits sur des dossiers. Et puis on pouvait se rassurer en se disant qu’il n’y a pas de moteur de recherche : c’est déjà difficile de trouver les fichiers utiles, alors ça ne serait vraiment pas de bol qu’un utilisateur non autorisé tombe par hasard sur des fichiers confidentiels mal protégés.
Mais avec Microsoft 365, ces excuses ne tiennent plus. Non seulement les solutions existent mais surtout, elles ne pardonnent plus les manquements en termes de gestion des droits et des rôles sur les documents. Le moteur de recherche global de Microsoft 365 ne fait pas dans la dentelle : si des fichiers sensibles sont mal protégés, ils vont remonter comme des bulles de gaz du fond d’un lac ! Et maintenant, il y a Copilot qui se nourrit des données disponibles pour répondre aux questions des utilisateurs. Certes, Copilot respecte les droits sur les informations pour ne pas divulguer de secret. Mais si les droits sont mal positionnés, il pourrait bien lâcher quelques confidences au fil de ses conversations avec les utilisateurs.
Problème : sur ce sujet, les entreprises manquent cruellement d’ambition et de moyen. Elles manquent d’ambition, car personne ne fait de ce sujet un chantier stratégique même si les RSSI sont souvent en première ligne contre vent et marée (ils ont souvent le mauvais rôle).
Mais surtout, les entreprises manquent souvent de spécialistes de la question en interne, à la fois sur le concept de la protection de la données (stratégies, etc) mais aussi sur les outils (groupes, outils Microsoft 365, …). Les entreprises (même les plus grandes) manquent cruellement de vrais experts des outils, comme SharePoint à minima.
SharePoint est pourtant un outil très puissant pour gérer les droits de manière précise. Mais attention, ce n’est pas une baguette magique : mis entre les mains d’une personne qui n’y connaît strictement rien, ou qui n’a aucune conscience de l’importance de bien gérer les droits, vos fichiers ne sont finalement pas mieux protégés que dans vos vieux serveurs de fichiers. C’est même pire car le moteur de recherche global pourrait bien révéler la misère en termes de gestion des droits.
Bref, pour évoquer ce sujet, et vous donner les moyens de bien comprendre tous ces principes notamment dans SharePoint, j’ai diffusé cette vidéo-conférence qui fait le tour de la question.
J’y rappelle les enjeux d’une bonne gestion des droits, mais aussi le principe des groupes (groupes SharePoint, groupe Microsoft 365, groupe de sécurité). Et puis, je pars à l’exploration du mécanisme des droits dans SharePoint, de manière à la fois détaillée mais aussi vulgarisée. Vous découvrirez le principe des groupes SharePoint, les niveaux d’autorisation, le principe de l’héritage des droits, les liens partagés, les audiences.
En conclusion, retenez ceci :
La maîtrise des droits sur vos fichiers représente un enjeu stratégique, que vous l’acceptiez ou pas. Cet enjeu apparaît plus clairement quand il y a un problème de divulgation ou de corruption des fichiers, mais il est alors trop tard.
C’est un chantier complexe qui nécessite la mobilisation de beaucoup de monde car c’est l’affaire de tous et tout le temps : sans implication managériale (à tous niveaux), rien ne se fera car tout le monde aura toujours d’autres choses à faire.
Il est nécessaire de mener une réflexion de niveau d’entreprise pour mettre en place les stratégies et gouvernances nécessaires. On peut par exemple réfléchir à des groupes de population auto alimentés qu’il sera possible d’utiliser selon les circonstances, un peu comme des touches d’un clavier de pianos. Par exemple, le groupe des managers de l’entreprise, le groupe des collaborateurs de tel métier, etc. Cela nécessite d’avoir un « Active Directory » (annuaire d’entreprise) propre et à jour, ce qui est encore trop rarement le cas.
La maîtrise des outils est absolument nécessaire. Si vos utilisateurs ne comprennent pas la différence entre OneDrive, SharePoint, Teams, vous n’arriverez à rien, c’est garanti sur facture. C’est pour cette raison que ce chantier est très souvent un sous chantier d’une démarche de déploiement des usages de Microsoft 365, qui est une démarche de transformation de l'entreprise et non un projet informatique, comme je l'évoque dans mon dernier livre (cliquez).
il est indispensable qu’il y ait au sein de votre entreprise (à la DSI par exemple) quelques « ceintures noires » SharePoint capables de construire les sites SharePoint et d’aider les équipes. Laissez tomber l’idée de former tout le monde à la construction de sites SharePoint : c’est trop complexe, trop long, trop cher, et complètement inefficace pour des personnes qui font qu’un site SharePoint par an, voir moins. Mieux vaut avoir des experts qui ne font que ça, mais qui le font bien, dans les règles de l’art et dans les règles de l’entreprise.
Misez sur la simplification des droits : stop aux « plats de spaghettis », ce nom que l’on donne aux droits donnés au petit bonheur la chance sur les sites SharePoint, personne par personne.
A suivre la partie 2 de cette conférence dans une vidéo plus courte, consacrée à la gestion des droits dans Teams, dans OneDrive et dans d’autres outils de Microsoft 365.
Dans cette attente, n’hésitez pas à me contacter si vous souhaitez un accompagnement sur tous ces sujets. Je serai ravi de vous aider à aborder la question sous le bon angle.
Comments