> Cloud > Bon, maintenant que j’ai Office 365, je fais quoi ?

Bon, maintenant que j’ai Office 365, je fais quoi ?

Cloud - Par Fabrice Di Giulio - Publié le 25 janvier 2018
email

Découvrez notre série d’articles sur la gouvernance à la fois technique et fonctionnelle de Office 365. Comment faciliter l’adoption et améliorer la productivité ? Partie 1 : Les usages à prendre en compte pour un passage au Cloud réussi

Bon, maintenant que j’ai Office 365, je fais quoi ?

Office 365 : Partie 1

J’ai eu l’occasion ces derniers mois de rencontrer plusieurs clients ayant décidé de migrer vers Office 365, chez qui le projet est soit non démarré bien que les licences aient été achetées, soit en pause après initialisation de leur tenant et utilisation par quelques utilisateurs clé de l’IT.

Un des points communs entre ces différents comptes est l’absence d’une réflexion de fond sur les possibilités offertes la plateforme dans le Cloud. Un autre point commun est l’absence d’un sponsor fort pour pousser la migration du métier vers le Cloud (la migration des données est un sujet maintes fois abordés et ne pose globalement pas de problème particulier).

Transition entre les systèmes existants

La plupart du temps, se présente alors un problème de taille : côté IT, les objectifs structurels sont atteints (suppression du TCO des infrastructures liées à Exchange, SharePoint…) alors que côté métier, un véritable changement doit être géré. Il s’agit non seulement d’intégrer les usages dans une nouvelle solution, mais également de réussir la transition entre les systèmes.

Ces enjeux sont plus difficiles à cerner par l’IT – surtout sans l’implication d’utilisateurs clé des métiers dans le projet – et plus difficiles à mettre en place.

La réflexion est donc primordiale, car l’intégration de ces besoins est fortement vectrice d’adhésion et d’utilisation de la nouvelle plateforme. Et donc facteur de succès.

Mais pas seulement, ces points seront traités dans les articles prochains, pour en revenir aux usages, l’usage principal reste la mise en place de la collaboration.

Comment collabore-t-on aujourd’hui ?

En jouant au ping-pong avec la messagerie, ou via des partages de fichiers. Essentiellement.

Le premier scénario fait la part belle à la perte d’information et à la duplication des données. En scénarisant la création d’un document par un membre d’un groupe projet, on aurait :

  • Occurrence 1 : le créateur du document l’enregistre dans son système de fichiers et envoie une copie par email aux N personnes censées collaborer sur le projet / document.
  • Occurrence 2 : chaque destinataire enregistre la pièce jointe sur son système de fichiers et, en cas de modification, envoie à son tour une version modifiée (sans réelle notion de versions) du document à N personnes.
  • Occurrence 3 : idem occurrence 2.

En admettant que quatre personnes seulement soient destinatrices du fichier aux trois occurrences, et que chacune de ces personnes fassent des annotations au fichier d’origine, nous pourrions avoir jusqu’à deux instances du fichier à l’occurrence 1 (une dans le système de fichier et une envoyée) ; jusqu’à dix à l’occurrence 2 (deux à l’origine, plus une copie par destinataires et une nouvelle version pour chacun dans la messagerie) ; jusqu’à au moins dix-huit à l’occurrence 3, en admettant qu’aucune personne n’ait envoyé des fichiers en double.

Avec ce système, se pose également les problèmes d’incohérences de version, de perte d’information, de difficulté de consolidation, de sécurité…

Le second scénario est moins chaotique mais ne résout cependant pas les problèmes de duplication de l’information. Au lieu d’avoir des données clonées dans la messagerie et un système de fichiers, on arrive souvent à un système de fichiers avec des fichiers renommés type _v1, _v2, etc. Si bien sûr de la discipline est mise en place dans la gestion de l’espace partagé.

Implémenter cet usage dans Office 365 peut se faire de la même façon, cependant, tous les outils sont disponibles pour mettre en place une « véritable » solution collaborative.

Ceci passe par l’intégration des outils (Exchange, SharePoint, OneDrive, Office, Dynamics), la coédition, la mise en place de niveaux de permissions par utilisateurs ou par groupes d’utilisateur, de versioning, ainsi que la possibilité de gérer le cycle de vie des informations.

Cet ensemble de fonctionnalités permet de réduire considérablement les risques de perte d’information, mais également les coûts liés à une mauvaise gestion des données.

L’objectif de cet effort d’implémentation est de parvenir à un système dans lequel 1 – SharePoint online est le support de stockage des informations ; 2 – le schéma de collaboration est mieux défini, passant d’un modèle anarchique à un modèle structuré / sécurisé / coédition ; 3 – les échanges entre utilisateurs sont contrôlés, à différents niveaux, pour éviter toute perte d’information ou implémenter des mécanismes de DLP au plus près de l’information.

Parmi les grands enjeux figure également la sécurisation de l’information. Cet enjeu est porté par le légal, les RSSI, sous trois canaux d’impulsions :

  • Aspects internes (confidentialités de l’information)

Il s’agit principalement d’assurer un cloisonnement et/ou une catégorisation de l’information, ainsi que de fournir une ou des solutions permettant de borner l’utilisation qui en est faite.

Prenons par exemple les cas récurrents (du moins dans la presse) du fichier contenant les salaires des collaborateurs d’une entreprise se retrouvant sur un espace public, ou d’un document confidentiel transmis à un tiers (j’ai beaucoup d’autres cas d’usage qui seront abordés dans le troisième article de cette série).

La diffusion de ces fichiers relève plus souvent de l’inattention et de la méconnaissance du risque que de la malveillance. Cependant, le coût, en terme d’image ou en terme financier peut être catastrophique.

La problématique principale ici est le cloisonnement des données. On pourrait tout à fait y répondre en envisageant une architecture hybride ou une architecture online avec de multiples tenants. Mais la rationalisation des coûts attendue en règle générale peut être un frein à ces solutions. De plus, cette situation ne favoriserait pas l’adoption, les utilisateurs ayant à basculer entre de multiples systèmes, avec potentiellement des méthodes d’authentification différentes et des identifiants de connexion différents.

C’est dans ce périmètre que peuvent rentrer en considération plusieurs solutions.

  • Mise en place d’une solution de protection des données (DLP) configurée pour le tagging et la classification des documents, avec une réponse configurée si une violation des règles est identifiée (exemple : supprimer un fichier confidentiel d’un espace public et avertir de ce fait)
  • Mise en place d’une solution de gestion des permissions (RMS) pour empêcher une utilisation non attendue d’un document (par exemple, en interdire l’impression)
  • Mettre en place des solutions tierces pour une gestion plus sécurisée et auditée des partages d’information avec des utilisateurs externes
  • Aspects externes (influence de la technologie d’accès à l’information).

Il s’agit de contrôler à la fois l’accès à l’information et la diffusion de l’information vers les utilisateurs externes (par la mise en place de partage sécurisé vers des partenaires par exemple) ou les informations publiées sur des réseaux sociaux.

Lors de la bascule d’un environnement sur le Cloud, il faut prendre en compte que les moyens d’accès à l’information vont être multipliés : les périphériques professionnels / certifiés tels que desktop, laptop mais également les périphériques mobiles (tablettes, smartphone) et privés.

Comment s’assurer que la sécurité du SI est assurée tout en en ouvrant l’accès à tout type de périphérique pour en faciliter l’adoption ?

Plusieurs pistes sont possibles.

  • Mise en place d’une solution de protection des données (DLP) pour en éviter le fuitage
  • Authentification à facteurs multiple (MFA) pour la protection de données situées dans un périmètre sensible
  • Gestion des périphériques mobiles (MDM) pour la suppression à distance de données professionnelles en cas de perte ou vol d’un smartphone
  • Aspects réglementaires / Conformité à une réglementation

Sur ce point, l’approche est fondamentalement basée sur les risques. J’ai l’habitude d’introduire ce sujet avec un constat : « il peut y avoir une violation de réglementation, je ne sais ni où, ni qui, ni comment, ni quand ».

Ce sujet peut être un véritable frein à l’adoption d’Office 365, si l’on prend en considération les nombreuses réglementations qui peuvent être amenées à être respectées ainsi que les nombreux médias qui permettent une violation.

Prenons l’exemple simplissime d’un numéro de carte de crédit. Il peut se trouver dans un document, dans une métadonnée, dans un fil de discussion sur une liste de type forum, dans Yammer, dans un email (sujet ou objet), dans une entité de Dynamics CRM…

Dans certains cas, il sera acceptable de rencontrer cette information, dans d’autres cas, non. Ce qui va piloter la solution à mettre en place, c’est la possibilité d’identifier si la présence d’une information recherchée – ici, un numéro valide de carte de crédit – est conforme à une règle fonctionnelle, légale ou interne. Savoir si une information est bien 1. Là où elle est censée se trouver 2. Visible de ceux qui sont censés y avoir accès 3. Et si ce n’est pas le cas, proposer une action appropriée.

Ce point sera très important, notamment avec l’adoption en Europe de la réglementation GDPR (European Union General Data Protection Regulation).

Migrer vers le Cloud ne constitue pas simplement un changement d’infrastructure mais également un changement d’usage. Ceci suppose une adaptation côté IT (administration, optimisation, monitoring) mais également coté métier (conformité et gouvernance). Les deux se rejoignant en générale autour de la sécurisation.

C’est sur ces points que seront abordés les différents articles de cette série, sur la gouvernance à la fois technique et fonctionnelle de Office 365.

Le thème central restera de savoir comment en faciliter l’adoption et améliorer la productivité, en simplifiant les tâches des utilisateurs.

Accédez au parties 2 et 3 de ce dossier

Bon, maintenant que j’ai Office 365, je fais quoi ? Partie 2 · iTPro.fr

Bon, maintenant que j’ai Office 365, je fais quoi ? Partie 3 · iTPro.fr

Téléchargez cette ressource

Guide de Sécurité IA et IoT

Guide de Sécurité IA et IoT

Compte tenu de l'ampleur des changements que l'IA est susceptible d'entraîner, les organisations doivent élaborer une stratégie pour se préparer à adopter et à sécuriser l'IA. Découvrez dans ce Livre blanc Kaspersky quatre stratégies efficaces pour sécuriser l'IA et l'IoT.

Cloud - Par Fabrice Di Giulio - Publié le 25 janvier 2018