Bon, maintenant que j’ai Office 365, je fais quoi ? Partie 3

Office 365, Gouvernance version 3.0: Conformité & Sécurité

La notion de conformité est à peu près aussi vague que celle de gouvernance.

Il s’agit d’un besoin métier, entendez donc par-là que chacun aura des besoins différents à ce sujet. Exemple très simple : demandez autour de vous ce qu’est un document confidentiel et comptabilisez le nombre de réponses différentes pour vous faire une idée de la complexité de la tâche. Car oui, la mise en place d’un plan de conformité est complexe et nécessite une profonde réflexion préalable, au même titre qu’un plan de gouvernance (Redécouvrez la Partie 1 et la Partie 2 de la série).

J’ai commencé à aborder ce point il y a trois ans avec mes clients, lors de leur passage sur Office 365 (ou sur SharePoint on premises). Si la mise en place d’un plan de gouvernance sonnait comme une évidence malgré parfois le manque de recul qu’ils pouvaient avoir, je me suis souvent retrouvé confronté à l’argument imparable : « nous ne sommes pas mûrs pour cela ».

Problème, aujourd’hui cet argument ne tient plus car on demande justement aux entreprises, ou organisations au sens large, d’être prêtes à cela. Pis, il n’est plus seulement question d’être prêt théoriquement, mais également en pratique. Pour prendre deux exemples contraignants pour les organisations, prenons la réglementation EU-GDPR ou les nouvelles prérogatives de la CNIL.

• Dans le premier cas, la gestion des informations relatives à la vie privée est désormais légiférée au niveau européen
• Dans le second, la CNIL a, désormais, la possibilité d’être proactive sur les contrôles qu’elle effectue, et les pénalités financières qu’elle peut infliger, peuvent s’élever à 4% du chiffre d’affaires mondial d’une entreprise.

Du point de vue légal, Il est donc obligatoire aujourd’hui pour les entreprises de se prémunir contre le risque d’infraction à des réglementations (on retrouve ici la notion de conformité).

Au-delà des aspects légaux, il y a toujours un point sur lequel les entreprises ne sont pas prêtes : c’est le risque de perte d’information, sensibles ou non. Ce risque est souvent négligé parce que dans la grande majorité des cas, la source en sera humaine et sans volonté de nuire. Ce risque étant généralement situé entre la chaise et le clavier d’un poste de travail, comment mettre en place des garde-fous à la fois souples et efficaces ?

• Efficaces pour intercepter des comportements inappropriés/inattendus et gérer le facteur « Dark Data »
• Souples pour éviter une perte d’adoption de vos plateformes et la croissance du facteur « Dark IT »

Chose à ne pas faire #1 : trop brider le système

Et par extension les utilisateurs. La notion de Dark IT définit l’ensemble de processus informatiques mis en place en dehors du contrôle de l’IT, voire en dehors de sa connaissance. A trop brider un système, on ouvre la porte à la mise en place de processus parallèles car les utilisateurs ont maintenant très souvent pris l’habitude d’utiliser des outils collaboratifs publics pour leur usage personnel. Prenons par exemple un Office 365 dans lequel la collaboration est réduite à sa plus simple expression (celle d’un référentiel documentaire auquel seuls les internes ont accès). Que vont faires les utilisateurs ayant besoin de partager du contenu avec l’extérieur ? Les solutions sont nombreuses : OneDrive, Drop Box, Box, Google Drive et consorts. De là, comment s’assurer que les données partagées sont censées l’être ? Comment s’assurer de la sécurité de ces données partagées ?

Pourquoi ne pas envisager soit d’autoriser les partages externes avec les solutions natives offertes par Microsoft, soit des solutions tierces offrant plus de protection ?

Ouvrir le partage externe avec Office 365 passe par plusieurs étapes. La première consiste en une configuration des collections de sites SharePoint online qui auront cette fonctionnalité activée. La seconde, pour chaque collection de sites, consiste à définir comment le partage peut être fait :

• avec des utilisateurs externes déclarés dans l’annuaire de l’organisation
• avec des utilisateurs externes qui accéderont au partage via un lien et un compte Microsoft (live.com, outlook.com, hotmail…)
• avec des utilisateurs externes qui accèderont au contenu via des liens anonymes

Ceci a, néanmoins, deux inconvénients : le premier est de ne pas pouvoir assigner la possibilité de partage externe à des utilisateurs distincts. Le second est de nécessiter plusieurs opérations de la part des externes pour accéder au contenu. Le troisième est la difficulté de monitorer clairement ces partages externes. Tout ceci peut avoir un impact négatif sur l’adoption et favoriser l’utilisation de moyens parallèles.

Avec l’apparition de Groups, de nouvelles collections de sites sont disponibles et toute la complexité de partage qui va avec.  Par défaut, le paramètre de partage des collections de sites SharePoint qui font partie d’un groupe Office 365 autorise le partage avec les utilisateurs externes déclarés dans l’annuaire de l’organisation. Ceci signifie que malgré une configuration fine pouvant être faite pour SharePoint online, il est néanmoins facile d’avoir des partages externes actifs (même si relativement maitrisés). Et donc de perdre le contrôle sur le contenu.

Chose à ne pas faire #2 : croire que le contenu est maîtrisé

Le Dark Data. Selon la définition de Gartner, il s’agit de l’ensemble des « données qui échappent à l’organisation de l’entreprise : ce qui n’est pas répertorié par l’entreprise mais par les salariés eux-mêmes qui cachent ces données volontairement ou involontairement ». Ces données, qui sont donc non structurées – du moins pas au sens de ce qu’attendrait l’entreprise –, non sécurisées, dispersées sur des emplacements potentiellement publics (serveurs de fichiers ou encore stockages cloud type OneDrive, Google Drive, Dropbox…).

Selon l’IDC (International Data Corporation), jusqu’à 90% des données des entreprises constitueraient ce Dark Data. Imaginez donc un iceberg. La partie visible : ce que vous connaissez. La partie immergée : le reste.

Prenons en exemple le cas d’un office de HLM il y a des années en arrière. Cet office mettait à disposition des quelques 12000 gardiens d’immeuble un fichier dans lequel un champ de commentaires devait être rempli avec les différentes interventions menées dans les logements (telles que des réparations électriques, plomberies, etc.). Sur dénonciation, il est apparu que ce champ contenait d’une part beaucoup d’informations relatives à la vie privée des locataires, mais également une collecte de données subjectives ou d’infraction (« alcoolique », « violence conjugale », « ancien SDF addiction boisson »…) ou relatives à la santé des personnes.

Pouvoir explorer ces données, les rendre intelligibles et les exploiter est une obligation pour les organisations ou entreprise. Tout d’abord l’exposition de ces données peut avoir un effet désastreux en termes d’image, voire coûteux en réparation de préjudices et amendes.

Ensuite, la dispersion de ces données peut s’avérer être une perte d’information, car si elles étaient exploitées, elles pourraient être une source de profitabilité. Imaginons le cas d’un manufacturier quelconque dont les retours clients et les opérations de service après-vente ne seraient pas connus du service de recherche et développement. Les défauts ne seraient pas corrigés – ou sur le tard – faisant traîner des coûts qui pourraient être identifiés plus tôt.

Enfin, car il est important d’identifier les données importantes de celles inutiles. Les doublons de fichiers stockés dans des emplacements différents, les données sans aucun rapport avec l’activité, etc. On peut estimer assez facilement à 30% les données qui n’ont absolument aucun intérêt pour l’entreprise. Sauf que ces données occasionnent des coûts, en termes de stockage, de gouvernance, etc. Enfin, parce que les emplacements de stockage non maîtrisés n’ont peut-être – certainement – pas le degré de sécurité requis pour la protection de certaines informations.

Outre l’exploration des données « à but lucratif », il faut aussi tenir compte du facteur sécurité. Dans tout le Dark Data, figurent aussi des informations potentiellement nuisibles.

Prenons par exemple le cas d’un laboratoire pharmaceutique menant une étude clinique. Une fois l’étude terminée, les résultats peuvent être communiqués publiquement (du moins, dans le périmètre du laboratoire et des chercheurs) à la condition sine qua non d’avoir atteint un degré d’anonymisation affectant les participants, les médecins, le laboratoire ayant mené l’expérimentation). Seuls les résultats peuvent être rendus publics. Prenons un assistant qui masque une colonne de fichier Excel contenant les noms des personnes ayant participé aux tests, avant publication (par méconnaissance des outils, en tout bonne foi). Prenons enfin un laboratoire pharmaceutique ayant demandé l’expérimentation, qui trouve trace de ce document publié non anonymisé, et qui voit toute sa phase d’expérimentation annulée par ce simple fait. Dans ce cas, aucune volonté de nuire, mais une fuite d’information légalement inacceptable.

Pour explorer ces données, il n’y a pas vraiment d’autre choix que celui de l’analyse des documents. Il peut s’agir d’analyser les métadonnées, les modèles, des zone précises du document – entête ou pied de page par exemple – ou tout simplement d’en faire une analyse sémantique en se basant sur des règles telles que des dictionnaires, des expressions régulières, etc.

Comme pour une migration, un tel projet se compose de plusieurs phases

1. Analyse des risques

Consiste en une phase de définition, avec les métiers, ce qui qui relève du risque pour l’entreprise. Par exemple, qu’est-ce qu’un document confidentiel (le nombre de réponses à cette question peut s’avérer particulièrement élevé) ? Quelle donnée est confidentielle ? Quelles réglementations doivent être suivies (CNIL, GDRP, méthodologies internes…) ? Mais également en allant au-delà de la définition des données « à risque », définir un comportement à adopter face à un cas concret. Par exemple, que faire lorsqu‘un contenu confidentiel est trouvé hors de son périmètre restreint de diffusion ? Que faire si des contenus inappropriés sont trouvés dans des espaces non prévus pour les héberger ?

2. Définition des règles de recherche

Une fois que l’on sait ce que l’on recherche, d’un point de vue métier, il s’agit de le formaliser par des tests simples. Nous chassons les documents confidentiels ? Techniquement, comment cela se traduit-il ? Un pied de page avec une valeur « confidentiel ». Ou un template particulier. Ou un document contenant une référence à des mots clés précis. Ou encore ceux créés par des VIP. Ou tous les documents du service de ressources humaines… beaucoup de possibilités qui peuvent également être mixés pour définir différents niveaux de criticité (un document RH avec le nom des plus hauts dirigeants et le mot clé « salaire », au hasard). On définira également le périmètre de recherche pour chaque règle, et le type de recherche, temps réel versus planifiée.

3. Action selon les résultats de scan

Pour chaque violation, définir une action. Si la violation est une certitude et qu’une automatisation de la réaction est possible, on peut se passer d’un contrôle manuel, mais quid d’une situation qui requiert une action humaine pour analyser le risque ? Par exemple, un projet ultra confidentiel identifié par le code « concorde » nécessite un scan large pour éviter toute fuite d’information. Concorde étant également le nom d’un avion, d’une place parisienne, un verbe conjugué un arbitrage peut être utile et donc un processus par mise en quarantaine et gestion d’incident plus approprié.

Chose à ne pas faire #3 : croire que la technique peut tout résoudre

La sécurité est, en effet, l’affaire de tous. Et si la technique peut aider, beaucoup, il ne faut pas sous-estimer la puissance de calcul nécessaire pour scanner en continu des centaines de milliers de documents. Une grande majorité des problèmes relève, en fait, du comportement des utilisateurs, il ne faut donc pas hésiter à les impliquer dans le processus, par des formations, des rappels, etc.

Ensuite, celui qui souhaite soustraire des informations y arrivera TOUJOURS. Dès lors que l’accès aux données est possible, on peut les faire fuiter : par une photo sur un smartphone, une clé USB, une simple réécriture de mémoire d’informations confidentielles, etc.

La mise en place d’une stratégie de gouvernance de la sécurité est obligatoire désormais (elle l’était également avant, mais sous-estimée, trop coûteuse eu égard aux bénéfices, ou tout simplement jugée trop complexe).

• Les différentes réglementations internationales dissuadent de plus en plus les entreprises de ne pas mettre en place ce type de stratégie
• La responsabilité du RSSI évolue
• Les DPO (Digital Protection Officer) sont mis en place pour veiller au respect de la protection des données

La transformation est en cours, mais ce qui était un frein au choix d’Office 365 par manque de réponses à ces questions, ne l’est plus aujourd’hui. Microsoft fournit une base de protection au niveau plateforme et DLP, ses partenaires permettant d’aller beaucoup plus loin sur les terrains techniques et fonctionnels.

Le contexte étant posé, je détaillerai dans mon prochain article l’offre de protection proposée par Microsoft pour Office 365, ainsi que l’offre de certains de ses partenaires proposant des solutions ayant une couverture beaucoup plus large.

Chose à ne pas faire #1 : trop brider le système

Et par extension les utilisateurs. La notion de Dark IT définit l’ensemble de processus informatiques mis en place en dehors du contrôle de l’IT, voire en dehors de sa connaissance. A trop brider un système, on ouvre la porte à la mise en place de processus parallèles car les utilisateurs ont maintenant très souvent pris l’habitude d’utiliser des outils collaboratifs publics pour leur usage personnel. Prenons par exemple un Office 365 dans lequel la collaboration est réduite à sa plus simple expression (celle d’un référentiel documentaire auquel seuls les internes ont accès). Que vont faires les utilisateurs ayant besoin de partager du contenu avec l’extérieur ? Les solutions sont nombreuses : OneDrive, Drop Box, Box, Google Drive et consorts. De là, comment s’assurer que les données partagées sont censées l’être ? Comment s’assurer de la sécurité de ces données partagées ?

Pourquoi ne pas envisager soit d’autoriser les partages externes avec les solutions natives offertes par Microsoft, soit des solutions tierces offrant plus de protection ?

Ouvrir le partage externe avec Office 365 passe par plusieurs étapes. La première consiste en une configuration des collections de sites SharePoint online qui auront cette fonctionnalité activée. La seconde, pour chaque collection de sites, consiste à définir comment le partage peut être fait :

• avec des utilisateurs externes déclarés dans l’annuaire de l’organisation
• avec des utilisateurs externes qui accéderont au partage via un lien et un compte Microsoft (live.com, outlook.com, hotmail…)
• avec des utilisateurs externes qui accèderont au contenu via des liens anonymes

Ceci a, néanmoins, deux inconvénients : le premier est de ne pas pouvoir assigner la possibilité de partage externe à des utilisateurs distincts. Le second est de nécessiter plusieurs opérations de la part des externes pour accéder au contenu. Le troisième est la difficulté de monitorer clairement ces partages externes. Tout ceci peut avoir un impact négatif sur l’adoption et favoriser l’utilisation de moyens parallèles.

Avec l’apparition de Groups, de nouvelles collections de sites sont disponibles et toute la complexité de partage qui va avec.  Par défaut, le paramètre de partage des collections de sites SharePoint qui font partie d’un groupe Office 365 autorise le partage avec les utilisateurs externes déclarés dans l’annuaire de l’organisation. Ceci signifie que malgré une configuration fine pouvant être faite pour SharePoint online, il est néanmoins facile d’avoir des partages externes actifs (même si relativement maitrisés). Et donc de perdre le contrôle sur le contenu.

Chose à ne pas faire #2 : croire que le contenu est maîtrisé

Le Dark Data. Selon la définition de Gartner, il s’agit de l’ensemble des « données qui échappent à l’organisation de l’entreprise : ce qui n’est pas répertorié par l’entreprise mais par les salariés eux-mêmes qui cachent ces données volontairement ou involontairement ». Ces données, qui sont donc non structurées – du moins pas au sens de ce qu’attendrait l’entreprise –, non sécurisées, dispersées sur des emplacements potentiellement publics (serveurs de fichiers ou encore stockages cloud type OneDrive, Google Drive, Dropbox…).

Selon l’IDC (International Data Corporation), jusqu’à 90% des données des entreprises constitueraient ce Dark Data. Imaginez donc un iceberg. La partie visible : ce que vous connaissez. La partie immergée : le reste.

Prenons en exemple le cas d’un office de HLM il y a des années en arrière. Cet office mettait à disposition des quelques 12000 gardiens d’immeuble un fichier dans lequel un champ de commentaires devait être rempli avec les différentes interventions menées dans les logements (telles que des réparations électriques, plomberies, etc.). Sur dénonciation, il est apparu que ce champ contenait d’une part beaucoup d’informations relatives à la vie privée des locataires, mais également une collecte de données subjectives ou d’infraction (« alcoolique », « violence conjugale », « ancien SDF addiction boisson »…) ou relatives à la santé des personnes.

Pouvoir explorer ces données, les rendre intelligibles et les exploiter est une obligation pour les organisations ou entreprise. Tout d’abord l’exposition de ces données peut avoir un effet désastreux en termes d’image, voire coûteux en réparation de préjudices et amendes.

Ensuite, la dispersion de ces données peut s’avérer être une perte d’information, car si elles étaient exploitées, elles pourraient être une source de profitabilité. Imaginons le cas d’un manufacturier quelconque dont les retours clients et les opérations de service après-vente ne seraient pas connus du service de recherche et développement. Les défauts ne seraient pas corrigés – ou sur le tard – faisant traîner des coûts qui pourraient être identifiés plus tôt.

Enfin, car il est important d’identifier les données importantes de celles inutiles. Les doublons de fichiers stockés dans des emplacements différents, les données sans aucun rapport avec l’activité, etc. On peut estimer assez facilement à 30% les données qui n’ont absolument aucun intérêt pour l’entreprise. Sauf que ces données occasionnent des coûts, en termes de stockage, de gouvernance, etc. Enfin, parce que les emplacements de stockage non maîtrisés n’ont peut-être – certainement – pas le degré de sécurité requis pour la protection de certaines informations.

Outre l’exploration des données « à but lucratif », il faut aussi tenir compte du facteur sécurité. Dans tout le Dark Data, figurent aussi des informations potentiellement nuisibles.

Prenons par exemple le cas d’un laboratoire pharmaceutique menant une étude clinique. Une fois l’étude terminée, les résultats peuvent être communiqués publiquement (du moins, dans le périmètre du laboratoire et des chercheurs) à la condition sine qua non d’avoir atteint un degré d’anonymisation affectant les participants, les médecins, le laboratoire ayant mené l’expérimentation). Seuls les résultats peuvent être rendus publics. Prenons un assistant qui masque une colonne de fichier Excel contenant les noms des personnes ayant participé aux tests, avant publication (par méconnaissance des outils, en tout bonne foi). Prenons enfin un laboratoire pharmaceutique ayant demandé l’expérimentation, qui trouve trace de ce document publié non anonymisé, et qui voit toute sa phase d’expérimentation annulée par ce simple fait. Dans ce cas, aucune volonté de nuire, mais une fuite d’information légalement inacceptable.

Pour explorer ces données, il n’y a pas vraiment d’autre choix que celui de l’analyse des documents. Il peut s’agir d’analyser les métadonnées, les modèles, des zone précises du document – entête ou pied de page par exemple – ou tout simplement d’en faire une analyse sémantique en se basant sur des règles telles que des dictionnaires, des expressions régulières, etc.

Comme pour une migration, un tel projet se compose de plusieurs phases

1. Analyse des risques

Consiste en une phase de définition, avec les métiers, ce qui qui relève du risque pour l’entreprise. Par exemple, qu’est-ce qu’un document confidentiel (le nombre de réponses à cette question peut s’avérer particulièrement élevé) ? Quelle donnée est confidentielle ? Quelles réglementations doivent être suivies (CNIL, GDRP, méthodologies internes…) ? Mais également en allant au-delà de la définition des données « à risque », définir un comportement à adopter face à un cas concret. Par exemple, que faire lorsqu‘un contenu confidentiel est trouvé hors de son périmètre restreint de diffusion ? Que faire si des contenus inappropriés sont trouvés dans des espaces non prévus pour les héberger ?

2. Définition des règles de recherche

Une fois que l’on sait ce que l’on recherche, d’un point de vue métier, il s’agit de le formaliser par des tests simples. Nous chassons les documents confidentiels ? Techniquement, comment cela se traduit-il ? Un pied de page avec une valeur « confidentiel ». Ou un template particulier. Ou un document contenant une référence à des mots clés précis. Ou encore ceux créés par des VIP. Ou tous les documents du service de ressources humaines… beaucoup de possibilités qui peuvent également être mixés pour définir différents niveaux de criticité (un document RH avec le nom des plus hauts dirigeants et le mot clé « salaire », au hasard). On définira également le périmètre de recherche pour chaque règle, et le type de recherche, temps réel versus planifiée.

3. Action selon les résultats de scan

Pour chaque violation, définir une action. Si la violation est une certitude et qu’une automatisation de la réaction est possible, on peut se passer d’un contrôle manuel, mais quid d’une situation qui requiert une action humaine pour analyser le risque ? Par exemple, un projet ultra confidentiel identifié par le code « concorde » nécessite un scan large pour éviter toute fuite d’information. Concorde étant également le nom d’un avion, d’une place parisienne, un verbe conjugué un arbitrage peut être utile et donc un processus par mise en quarantaine et gestion d’incident plus approprié.

Chose à ne pas faire #3 : croire que la technique peut tout résoudre

La sécurité est, en effet, l’affaire de tous. Et si la technique peut aider, beaucoup, il ne faut pas sous-estimer la puissance de calcul nécessaire pour scanner en continu des centaines de milliers de documents. Une grande majorité des problèmes relève, en fait, du comportement des utilisateurs, il ne faut donc pas hésiter à les impliquer dans le processus, par des formations, des rappels, etc.

Ensuite, celui qui souhaite soustraire des informations y arrivera TOUJOURS. Dès lors que l’accès aux données est possible, on peut les faire fuiter : par une photo sur un smartphone, une clé USB, une simple réécriture de mémoire d’informations confidentielles, etc.

La mise en place d’une stratégie de gouvernance de la sécurité est obligatoire désormais (elle l’était également avant, mais sous-estimée, trop coûteuse eu égard aux bénéfices, ou tout simplement jugée trop complexe).

• Les différentes réglementations internationales dissuadent de plus en plus les entreprises de ne pas mettre en place ce type de stratégie
• La responsabilité du RSSI évolue
• Les DPO (Digital Protection Officer) sont mis en place pour veiller au respect de la protection des données

La transformation est en cours, mais ce qui était un frein au choix d’Office 365 par manque de réponses à ces questions, ne l’est plus aujourd’hui. Microsoft fournit une base de protection au niveau plateforme et DLP, ses partenaires permettant d’aller beaucoup plus loin sur les terrains techniques et fonctionnels.

Le contexte étant posé, je détaillerai dans mon prochain article l’offre de protection proposée par Microsoft pour Office 365, ainsi que l’offre de certains de ses partenaires proposant des solutions ayant une couverture beaucoup plus large.