Xuan AHEHEHINNOU : sécuriser l’entreprise avec Office 365

Au fil de mes rencontres, de mes échanges et de mes missions, je rencontre des personnes qui conservent pour Office 365 une certaine méfiance.

Héberger les données ailleurs que dans l’entreprise, accéder aux outils via internet continue à faire peur.

Paradoxalement, de grands groupes ont parfois plus confiance que de petites PME pourtant autant visées par des attaques massives.

L’actualité est riche sur ce sujet, et le nombre des attaques est sans cesse croissant. J’ai donc demandé à un expert reconnu, Xuan AHEHEHINNOU de nous donner son avis sur le sujet, et de expliquer si Office 365 est une opportunité ou un risque en matière de sécurité informatique.

Xuan, peux-tu te présenter en quelques mots ?

Après avoir obtenu mon diplôme de DUT en informatique de gestion, je me suis plié à l’exigence du service militaire obligatoire.

J’ai débuté au sein de la Brigade de Sapeurs-Pompiers Paris ; où j’ai eu l’opportunité d’allier des activités de service d’incendie et de secours et de technicien au sein du service télécommunications et informatique ; par un service militaire long de 2 ans suivi d’une période d’engagement de 3 ans.

Mon parcours professionnel s’est ensuite enrichi par une carrière significative de 13 au sein de Bouygues Construction. Carrière pendant laquelle j’ai occupé les postes de technicien support, administrateur systèmes et réseaux, responsable des déploiements d’infrastructures réseau et télécoms, expert système, puis architecte système.

Après avoir passé 5 ans chez Nelite France en tant que leader technique sur les solutions de gestion des identités et des accès & communications unifiées, Abalon m’a permis de relever le challenge consistant à compléter l’expertise de l’entreprise sur Office 365 par une expertise sur la cybersécurité,

J’occupe ainsi désormais le poste de ‘Microsoft 365 Solution Architect’ au sein d’Abalon.

Quelles sont les actualités en matière d’attaques informatiques ?

Au cours de l’année 2019, dans le monde, une moyenne de 80 cyberattaques par mois a été observée. Les cybermenaces, évoluent et se diversifient. En effet, toute la surface d’attaque est exploitée, tant sur les composants des systèmes d’information qu’à l’encontre les utilisateurs.

Les cyberattaques les plus courantes sur les composants d’infrastructures exploitent des manques en terme gestion des identités et des accès, des vulnérabilités logicielles ou matérielles, des défauts de configuration.

Les arnaques auprès des utilisateurs visent principalement l’hameçonnage (phishing), l’ingénierie sociale et l’arnaque au président.

Au-delà des chiffres qui peuvent être discutables en fonction des sources, un nombre conséquent d’entreprises ont déjà été victimes de cyberattaques, des petites entreprises jusqu’aux grands groupes cotés en bourse, des entreprises privées comme publiques.

Quelle que soit la taille de l’entreprise, une cyberattaque a toujours des conséquences néfastes sur l’activité voire sur l’image de l’entreprise. Les impacts, à plus ou moins long terme, sont :

  • la perturbation voire l’indisponibilité de la production et/ou des services numériques mis à disposition des clients/fournisseurs/partenaires,

  • la perte financière,

  • l’exfiltration voire la divulgation de données internes.

J’ai réalisé des missions auprès d’entreprises de différentes tailles après qu’elles aient subi une cyberattaque, et ai pu à la fois y constater à la fois une surface d’attaque peu maîtrisée et à la fois m’y faire relater la majorité voire la totalité des impacts listés.

Que risquent les entreprises qui ne sont pas attentives ?

Étant majoritairement amorcées par du phishing, les attaques représentant actuellement la menace informatique la plus sérieuse pour les entreprises et institutions sont opérées par des rançongiciels (ransomwares). Soixante neuf des incidents relatifs à ce type d’attaque ont été traités par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Les groupes d’attaquants opérant ces rançongiciels s’appuient sur un important écosystème cybercriminel, ils s’emploient à exfiltrer de grandes quantités de données présentes sur le système d’information compromis avant l’action de chiffrement. Ils se servent ensuite de la menace de divulgation de ces données afin d’exercer une pression supplémentaire sur les victimes et ainsi les inciter à payer la rançon.

Pour les entreprises, il existe le risque en matière de sanction en cas de divulgation de données personnelles depuis l’entrée en vigueur du RGPD, le risque de forte perte financière relative à la rupture d’activité voire au paiement de rançon, le risque d’atteinte à l’image de l’entreprise, le risque d’espionnage industriel. Liste de risque à laquelle j’ajoute personnellement l’impact psychologique sur le personnel des entreprises victimes.

Quels sont selon toi les principaux talons d’Achille des entreprises ?

Selon moi, le principal sujet technique critique et sous-évalué par les entreprises est la gestion des identités numériques, il s’agit pourtant du sujet qui est au cœur de la sécurité informatique.

Les plus importantes lacunes en gestion des identités sont :

  • la faiblesse voire l’absence de gouvernance,

  • des manques de robustesse dans le système d’authentification,

  • le manque de compétences techniques.

En l’occurrence, ce manque de compétences techniques concerne l’Active Directory, qui fournit des services centralisés d'identification et d'authentification pour quasiment toutes les entreprises.

Les autres faiblesses techniques concernent les sujets liés à la gestion des accès, la gestion des périphériques, la gestion des données et la gestion des applications. De manière générale, le talon d’Achille des entreprises est de ne pas être en capacité de répondre à la question : qui accède à quoi, comment, et à quel moment ?

Se posent aussi les problématiques de budget alloué à la cybersécurité (investissement dans les solutions techniques, constitution des équipes) et la nécessité d’aborder le sujet cybersécurité dans tous les projets de transformation digitale. Soit la définition, l’évolution permanente et l’application d’une stratégie de cybersécurité.

Pour être factuel, je constate encore trop fréquemment des usages et contextes à risque , en voici un échantillon :

  • un directeur communique son mot de passe à son assistante pour qu’elle gère son calendrier,

  • des transferts automatiques de mails sont mis en place vers des boîtes aux lettres personnelles,

  • un compte générique est partagé par tous les prestataires de la société X,

  • un compte d’administration a accès à toutes les données, dont les données de finance, de paie, et des ressources humaines

  • les comptes des collaborateurs et prestataires partis sont toujours actifs,

  • des mots de passe stockés dans un fichier bureautique, voire écrits sur des supports papier

  • un serveur Active Directory est accessible directement depuis internet,

  • les utilisateurs ne savent pas que les mails indiquant qu’ils ont gagné un iPhone sont des arnaques,

  • un unique architecte Active Directory dans un contexte international de dizaines de milliers d’utilisateurs,

  • etc…

Certaines entreprises se méfient du Cloud : ont elles raison ?

Le fait que n’importe qui puisse accéder aux données dans le cloud est bien entendu un a priori. Les solutions cloud professionnelles chiffrent de manière efficace toute connexion et utilisent de nombreux procédés pour stocker efficacement et sûrement les données.

Lorsque l’on se pose la question « est-ce que le cloud est suffisamment sécurisé ? », il est également nécessaire de se poser la question « est-ce que le système d’information actuellement on-premises * est suffisamment sécurisé ? ».

(*) on parle d'hébergement "On-Premises" pour parler de l'utilisation de serveurs installés dans les locaux de l'entreprise gérés par les propres moyens de l'entreprise. Par opposition au Cloud, dont les moyens d'hébergement sont en dehors de l'entreprise et gérés par une société tierce (Microsoft, Amazon, etc).

La majorité des entreprise se méfiant du cloud ont déjà certainement une part de « Shadow IT » où des employés stockent des informations professionnelles sur le cloud public et des supports non sécurisés comme des clés USB ou des smartphones personnels.

Qui dit cloud, dit service managé. Les contraintes et exigences de sécurité physiques et informatiques reposent dans ce cas sur les certifications de sécurité confidentialité et conformité du fournisseur de services cloud, qui propose de véritables garanties contractuelles.

Force de constater que la gestion de la sécurité des environnements on-premises porte sur un surface d’attaque devenue extrêmement difficile à maîtriser et où le principe de sécurité périmétrique s’avère désormais insuffisant, d’autant plus que les menaces peuvent venir du périmètre dit « de confiance » via une identité ou un périphérique d’entreprise compromis par exemple.

Dans un contexte on-premises, en l’occurrence : comment s’assurer que tous les composants d’infrastructure soient maintenus à jour afin de s’affranchir exhaustivement des vulnérabilités ?

En conclusion, je dirais qu’il est obsolète de se méfier du cloud. Il est vital de faire évoluer les stratégies de cybersécurité en phase avec cette extension de périmètre et des nouveaux usages et contextes liés au cloud. Stratégie sécurité devant entre-autres comporter une sensibilisation régulière des employés afin qu’ils soient conscients des risques et adoptent les bonnes pratiques.

Finalement, la Suite Office 365 est-elle un risque ou une opportunité en matière de sécurité informatique de l’entreprise ?

L’utilisation de Microsoft comme plate-forme de sécurité est pertinent, avec une expertise approfondie et reconnue des fonctions de sécurité intégrées des plates-formes Office 365 et Windows.

L’ouverture au cloud offre l’opportunité de confier une partie de la gestion de la sécurité au fournisseur de services, Microsoft. L’autre partie de la gestion de la sécurité restant à adresser par l’entreprise via une approche par l’analyse de risques et en sécurisant en priorité les identités numériques où la gouvernance des identités reste et restera majoritairement sur l’infrastructure Active Directory on-premises, puis des mécanises basés sur des stratégies d’accès conditionnel dont l’authentification forte.

La suite Office 365 permet d’allier la productivité et la sécurité. En effet, Azure Active Directory, fournisseur d’identités pour Office 365, est une plateforme robuste et éprouvée de gestion et de sécurisation des identités numériques. Notamment, Azure a plus de certifications que tout autre fournisseur de services cloud.

Tous les outils Office 365 présentent l’avantage considérable d’être nativement intégrés avec les politiques de sécurité définies, soit une consolidation des briques de sécurité dans un unique écosystème.

En l’occurrence Microsoft Teams, le hub collaboratif, permet à la fois de centraliser les communications et échanges internes comme externes, tout en y sécurisant efficacement les accès et les contenus et en répondant aux exigences de conformité.

En complément, face aux impacts possibles suite à une cyberattaque, Office 365 offre l’opportunité dans certains contextes d’assurer une continuité de service partielle dans le cas où les infrastructures on-premises sont rendues indisponibles. Par exemple, la continuité du service de messagerie dans le contexte où il est exclusivement hébergé sur Office 365.

Qu’est-ce qu’Office 365 propose comme solution pour améliorer la sécurité informatique ?

« Microsoft Enterprise Mobility + Security » est une plateforme intelligente de sécurité et de gestion de la mobilité.

Cette suite intègre toutes les fonctionnalités de gestion des identités et des accès, de protection des informations, de protection contre les menaces, de gestion des PC et mobiles, et de gestion des applications cloud.

« Microsoft Threat Protection » est un portail offrant une interface simplifiée de gestion consolidée des alertes sécurité, avec la possibilité d’y apporter des remédiations automatiques, ceci de façon transverse à Office 365, Azure AD et Windows.

Concrètement, ces fonctionnalités permettent aux entreprises d’utiliser sereinement Office 365.

Il est important de souligner que, chaque composant de sécurité doit faire l’objet de paramétrage rigoureux relatif aux contraintes et exigences de l’entreprise ainsi aux bonnes pratiques et recommandations de sécurité et de conformité dans les contextes métier.

Quels sont les services que tu proposes pour aider les entreprises à se protéger ?

Pour aider les entreprise à garantir la sécurité de leur futur ou actuel environnement Office 365, je propose des accompagnements de conseil et d’expertise technique sur :

  • La définition et l’évolution de la stratégie de cybersécurité

  • L’implémentation des technologies Microsoft 365 de sécurité et de conformité visant à protéger les identités numériques, les données, et les applications de l’entreprise contre les menaces, attaques et accès illégitimes

  • L’audit sécurité des environnements Office 365, Azure Active Directory et Active Directory

  • La sensibilisation et l’initiation des employés à la cybersécurité.

N'hésitez pas à contacter la société ABALON (cliquer ici) si vous avez besoin d'accompagnement sur ces sujets.

Cliquez pour découvrir les offres de service

Posts à l'affiche
Posts Récents
Archives
Rechercher par Tags
Retrouvez-nous
  • Facebook Basic Square
  • Twitter Basic Square
  • Google+ Basic Square

A propos de


Digital Inside est un site dédié à la promotion, sensibilisation et accompagnement du digital interne au seins des petites, moyennes et grandes entreprises.

  • Facebook Social Icon
  • Twitter Social Icon
  • YouTube Social  Icon