Le carburant des entreprises, c'est l'information.
Cette information peut avoir de multiples formes. Ce sont des fichiers bureautiques : Word ou PDF, PowerPoint, Excel, ... Mais l'information, ce sont aussi des données (structurées), de l'actualité, des pages web et surtout les dialogues entre les collaborateurs dans le cadre de la collaboration d'entreprise (mails, messages Teams).
Bref, cette information "ruisselle" partout dans l'entreprise. Mais elle ne concerne pas tout le monde. Si certaines informations doivent être accessibles à tous les collaborateurs, d'autres ne sont destinées qu'à certaines populations de l'entreprise. Une partie de cette information est même carrément "sensible" voire secrète : elle ne doit être accessible qu'à un petit groupe de personnes dument autorisées. C'est par exemple des secrets de fabrication, des stratégies marketing, des plans mais aussi des infos RH.
Bref, la gestion des droits, tout le monde comprend que c'est un sujet stratégique dans les entreprises, et pourtant....
... c'est le grand bazard !
Au travers des audits que je mène dans des entreprises de différentes tailles et de différents secteurs, les effets du grand bazar des droits s'accès sont toujours un peu les mêmes. Ces effets se manifestent sous différentes formes.
Paradoxalement, le symptôme principal c'est que les utilisateurs n'ont jamais accès aux informations auxquelles ils devraient accéder. La plainte que j'entends très souvent c'est : "j'ai déposé des documents pour le projet et les membres du projet n'y ont pas accès : ils m'envoient des mails pour me dire qu'ils ont un message d'erreur en accès, c'est insupportable".
Cette situation se retrouve autant sur de classiques serveurs de fichiers "à l'ancienne" que sur des sites SharePoint (pensés à l'ancienne - nous y reviendrons). Cela génère alors des échanges stériles pour tenter de déverrouiller les accès aux fichiers afin que les personnes en question puissent accéder aux fichiers, avec les pertes d'efficacité à la clé.
Très souvent, dans les très grosses entreprises c'est l'équipe informatique qui gère les droits d’accès: il faut alors ouvrir des "tickets" pour demander une intervention technique afin d’accorder des droits à une ou plusieurs personnes.
Ce mode de fonctionnement par ticket a trois défaut majeurs :
Le processus est souvent fumeux : l'opérateur a rarement la capacité de bien valider que la personne qui fait la demande l'ouverture d'un droit est bien propriétaire de l'espace en question. Du coup, certes les droits s'ouvrent mais sans réelle garantie que la personne qui a fait la demande est bien légitime pour faire cette demande.
Ce mode de fonctionnement peut s'avérer coûteux : ces demandes se font souvent par "ticket" à un prestataire externe (infogérant), et chaque ticket a un coût financier. Il serait intéressant de chiffrer ce que coûte ce cafouillage des droits dans les grandes entreprises.
Cela exacerbe les tensions entre les collaborateurs : ce que je constate dans mes audits, c'est que les personnes qui n'ont pas les bons droits sont agacées, un agacement qui se communique aux propriétaires des fichiers qui ont autre chose à faire que d'ouvrir des tickets, et qui se répercute sur l'intervenant IT qui doit faire l'opération d'ouverture des droits souvent en urgence et sous pression - ce qui occasionne parfois des erreurs.
L'autre effet de cette cacophonie c'est au contraire une ouverture inconsidérée des droits sur des ressources sensibles. Il y a quelques années, j'étais intervenu pour un audit sur une base documentaire SharePoint "marketing" d'une importante société. A force d'ouvrir inconsidérablement les droits au petit bonheur la chance en fonction des demandes, pendant des années, j'avais compté plus de 1000 comptes positionnés sur le fond documentaire classé "confidentiel", alors que seulement une centaine de personnes était censée y accéder. Lorsque j'avais fait mon rapport, beaucoup sont tombés de leur chaise.
Evoquons également les accidents malencontreux avec les partages de fichiers en pièces jointes des mails. Vous avez probablement entendu parler, il y a quelques années, de cette bourde commise par une responsable RH qui avait envoyé aux responsables syndicaux de l'entreprise le fichier des personnes à licencier lors d'un prochain plan économique : elle s'était tout simplement trompée de fichier. J'ai également rencontré un jour un commercial qui m'avait avoué avoir fait une grosse erreur : il devait envoyer un mail à son client, en mettant en pièce jointe la brochure commerciale mais en fait, il avait envoyé à la place la fiche opératoire qui décrivait tout ce qu'il fallait dire au client pour le convaincre de signer. Ça fait désordre.
Même sans pièce jointe, un message reste une source d'information importante et on ne compte plus les erreurs de destinataire de mails ou plus moins importants avec parfois de fâcheuses conséquences, surtout dans un monde où l'information sensible peut se retrouver rapidement sur internet.
Pour les entreprises qui ont déployé Microsoft 365, le moteur de recherche global est sans pitié : il révèle toutes les erreurs de protection, sans état d'âme. On blâme alors l’outil mais non : ce n’est pas un bug. Ainsi, les documents sensibles mal protégés, dont la seule protection jusqu'ici était qu'ils étaient introuvables au fond d'une arboresence abyssale de dossiers, remontent maintenant à la surface comme des bulles de gaz.
Pour utiliser ce moteur, rendez-vous sur https://www.microsoft365.com (la porte d'entrée de Microsoft 365) et dans la zone de recherche en haut de l'écran, tapez vos mots clés. Le moteur cherche partout dans Microsoft 365, dans votre OneDrive et dans tous les sites SharePoint auxquels vous avez accès parce qu'on vous en a donné les droits ou parce que vous y avez accès par accident si les droits sont mal gérés.
Dans une entreprise que j'ai connue, au lancement de Microsoft 365 après une migration de fichiers, le grand jeu était de rechercher le mot "confidentiel" avec les surprises que vous imaginez. Le réflexe de l'entreprise était de chercher le moyen de couper le moteur de recherche, alors que la bonne réponse aurait été de lancer une grande action de sécurisation des données de l'entreprise. Fort heureusement (ou malheureusement), par manque d'accompagnement et de formation, la plupart des collaborateurs ignorent l’existence de ce moteur de recherche global pourtant fort pratique.
Et ne parlons pas des personnels qui quittent votre entreprise en copiant sur une clé USB des milliers de fichiers extraits de vos serveurs de fichiers pour faire un petit cadeau à leur nouvel employeur, votre concurrent.
On sous estime trop à mon sens les impacts de ce cafouillis des droits dans les entreprises, en termes d'efficacité, de productivité, d'agacement, de sécurité, de confidentialité et j'en passe. Il est troublant (et je pèse mes mots) que ce problème ne soit pas en haut de la pile des priorités des entreprises.
Les principales causes
Les causes sont bien entendu multiples. Je vais me contenter ici de vous en donner juste quelques exemples.
Les entreprises sont résignées - beaucoup d'entreprises ont acté que c'était le bazar mais que rien ni personne ne pouvait y changer quoi que ce soit, par manque de solution, de moyens, de compétence interne, de temps. Souvent d'ailleurs, les dirigeants (qui donnent les priorités - et libère les budgets) n'ont pas pleinement conscience des enjeux et des risques, soit parce qu'ils ne s'intéressent pas à la question, soit parce que leurs adjoints ne les informent pas du problème. Jusqu'au jour où un document stratégique se retrouve sur internet.
Les entreprises ne savent pas qu'elles disposent des outils nécessaires - les entreprises sous estiment les capacités de Microsoft 365 à tous les niveaux (collaboratifs, cyber sécurité, outils méter, ....) et connaissent très mal le contenu des licences qu'ils paient chaque mois. Il y a sur ce sujet un manque criant de curiosité qui s'explique en grande partie par le point précédent.
Les espaces de stockage sont construits en silo - c'est la principale raison des problèmes rencontrés. Les espaces de stockage sont construits par direction, dans des silos (serveurs de fichiers, sites SharePoint). Ainsi, quand les collaborateurs de la DSI mettent leurs documents projets dans leur espace DSI et qu'ils essaient des les partager avec d'autres entités impliquées dans leur projet, les problèmes commencent. En fait, ces espaces n'ont pas été pensés pour du collaboratif mais pour du stockage et cette différence d'approche change tout.
Les solutions de stockage sont obsolètes - les serveurs de fichiers sont un héritage des années pionnières de l'informatique. Leur avantage c'est que le fonctionnement est simple. L'inconvénient c'est que les opportunités sont très limitées, en termes de fonctionnalités, de cyber protection, etc : on en reparlera dans les solutions. Mais migrer des serveurs de fichiers dans le cloud (dans des sites SharePoint par exemple), ne résout pas forcément les choses. Si les droits d'accès anarchiques positionnés sur un serveur de fichiers sont recopiés sur un site SharePoint, on migre le bazar d'un point A vers un point B sans rien régler au problème de gestion des droits.
Le mail est encore beaucoup utilisé pour échanger des documents - quelque soit les droits que vous positionnerez sur un dossier de serveur de fichiers ou un site SharePoint, tous vos efforts de protection seront vains si le collaborateur met un fichier en "pièce jointe" à un mail. Or le mail reste encore beaucoup utilisé dans les entreprises pour "transporter" des fichiers, au détriment d'autres solutions modernes dont nous allons parler.
Le positionnement des droits est (trop) souvent délégué - je rencontre encore beaucoup d'entreprises dont le positionnement des droits sur les ressources est le pré-carré de la DSI. Modifier un droit sur un dossier de serveur de fichiers, c'est forcément un ticket à l'IT. Mais c'est le cas aussi pour les site SharePoint tout simplement parce que les collaborateurs ne savent pas comment s'y prendre. Cette intervention d'un tiers pour une action si simple complexifie la gestion des droits et ne permet pas à un propriétaire de donnée d'avoir une vue claire et responsable des contenus sous sa responsabilité.
Il n'y a pas pas de maîtrise de la croissance - les espaces de stockage sont souvent "le fruit d'un historique" comme on dit avec élégance. Pour le dire plus clairement, les dossiers se sont ajoutés les uns sur les autres au fil du temps, sans réelle tentative de gestion de la croissance. Le départ des collaborateurs responsables de "chaque couche" n'aide pas à avoir une idée claire de la masse des contenus. Logique, dans ce cas, que les droits d'accès aux centaines de dossiers soient difficiles à gérer. Bref, les documents obsolètes polluent les espaces de stockage et empêchent de maîtriser correctement les droits.
Il n'y a pas de contrôle - dans les grandes entreprises, il y a rarement une personne en charge de la cohérence et de la maîtrise de la connaissance de l'entreprise, ce qui inclue également une gestion correcte des droits. S'il n'y a pas de responsable, il n'y a pas de contrôle, et sans contrôle il n'y a aucune mesure corrective à espérer.
Il n'y a pas de stratégie ni de pédagogie - de façons générales, rares sont les entreprises qui ont une stratégie claire en termes de gestion documentaire et de gestion des droits d'accès, incluant toutes les solutions de collaboration et de stockage, y compris tous les outils de Microsoft 365 comme OneDrive, SharePoint, Teams, ... Comme il n'y a pas réellement de stratégie ni de règle claire, il ne peut donc pas y avoir de pédagogie auprès des collaborateurs pour les sensibiliser sur ces sujets de la maîtrise des droits d'accès.
Les solutions pour améliorer la situation
Il n'existe pas de recette miracle pour régler en quelques heures cette difficile question de la gestion des droits dans l'entreprise. Mais il y a de belles pistes à explorer, notamment et surtout avec Microsoft 365.
Nommer un responsable - l'efficacité interne collective et individuelle, la qualité de la collaboration, la gestion de la connaissance et sa protection, les processus, ... (liste non exhaustive) : vous en conviendrez, tous ces sujets méritent un minimum d'attention. Ils doivent être portés (au moins dans les grandes sociétés) par un responsable qui aura pour mission de veiller à la cohérence globale des usages du "digital interne" au long terme (pas uniquement au lancement mais au long courts : il sera le garant de l'efficacité individuelle et collective de toute l'entreprise, avec les outils modernes dont elle dispose (en particulier Microsoft 365 - mais pas seulement). Il rendra des comptes à la direction générale. En claire, cette personne sera en charge de "huiler" le moteur de l'entreprise.
Auditer vos fonds documentaires d'entreprise - tous les documents n'ont pas la même importance pour l'entreprise. On ne peut pas traiter de la même manière vos brouillons de document et le fonds des contrats de l'entrerprise. Certains documents entrent dans le patrimoine de l'entreprise, d'autres pas du tout. Certains sont accessibles à tous les salariés, d'autres ne doivent être accessibles qu'à certaines populations. Avoir une vision macro à minima sur ce sujet est indispensable pour définir une stratégie claire.
Définir une stratégie documentaire et faire de la pédagogie - il est indispensable de mener une réflexion interne sur la stratégie documentaire à mettre en place dans l'entreprise. Comme je l'explique dans cet article "focus sur la stratégie documentaire", l'objectif est de définir les règles et les bonnes pratiques à respecter pour gérer la connaissance au sens large (ce qui inclue les documents). Il s'agit par exemple d'expliquer quel outil utiliser dans certaines circonstances. Cette stratégie prendra en compte tous les outils à disposition : ceux de Microsoft 365 bien entendu (dont OneDrive, Teams, SharePoint, ...) mais également les éventuels outils métier. Une fois la stratégie définie, il sera possible de faire de la pédagogie auprès des collaborateurs, en complément de solides formations aux outils.
Penser "espaces collaboratifs", et non pas "espaces de stockage" (silos) - la solution principale sera surtout d'arrêter de penser "espace de stockage en silo" pour penser plutôt "espaces de collaboration". Par exemple, dans le cadre d'un projet informatique, le scénario est de créer une équipe Teams "Projet" transverse dont les membres seront les acteurs de la DSI mais aussi des acteurs des autres entités impliquées. On règle ainsi le problème des droits d'accès car accèdent alors aux documents tous les membres de l'équipe Teams projet. Le chef de projet a une visibilité directe sur les membres et peut ajouter / supprimer des membres en quelques clics, sans avoir besoin de l'équipe informatique pour le faire à sa place. Ce qui bloque cette vision, c'est le besoin viscéral pour la DSI et/ou les métiers de "tout avoir au même endroit" dans un réceptacle unique (le silo), alors que l'utilisation de Teams s'apparente plus à leurs yeux (à tord) à de la dispersion.
La généralisation de Teams permet pourtant d'éclaircir considérablement la "lecture" des droits sur la connaissance (dialogue et documents). En particulier, l'utilisation systématique des canaux dans les équipes Teams réduit les risques d'erreur de destinataire et permet de généraliser le partage de documents (avec les droits associés) plutôt que l'envoi en pièce jointe (sans droit d'accès associé).
Simplifier les règles de confidentialité - l'utilisation de Teams a cet avantage de simplifier considérablement les règles de gestion de la confidentialité. Mais cette simplification ne convient pas à tout le monde. Des utilisateurs décrivent parfois des règles bien compliquées : untel peut voir tel document, mais pas son collègue, le manager ne doit pas avoir accès à tels autres documents, mais à d'autres etc. Lorsqu'on creuse les raisons de ces règles complexes, souvent, rien n'est clair. C'est plutôt la conséquence d'une habitude, d'un vieil historique qu'on n'arrive plus à expliquer. Il faut alors oser challenger les équipes pour vérifier si les raisons de cette complexité sont réellement justifiées car quels que soient les outils, une stratégie complexe des droits entraine une complexité de mise en œuvre et de gestion. Autrement dit, la gestion des droits deviendra vite un grand bazar, avec Microsoft 365 ou pas.
Faire une approche par "population" et non individuelle - rien de pire que d'ouvrir des droits sur des dossiers et des documents personne par personne, au coup par coup, selon les besoins. C'est pourtant ce qui arrive très souvent dans les entreprises qui n'ont pas une stratégie claire dans le domaine. Mieux vaut fonctionner par "population", quitte à simplifier les règles de confidentialité, comme je l'évoquais à l'instant. On définira alors des "populations" de personnes (groupes) à qui on donnera des droits particuliers sur des fonds documentaires, sur des espaces de partage de connaissance, etc. L'intégration d'une personne à une population lui donnera alors automatiquement accès aux bonnes ressources. L'audit des droits n'en sera que simplifié.
Migrer dans le cloud, mais pas n'importe comment - migrer les fichiers dans le cloud Microsoft 365 apporte de réels gains, comme je les décrit dans cet article. Mais il ne faut pas le faire n'importe comment. Or le premier réflexe d'une entreprise qui entreprend une migration, c'est souvent de reproduire dans SharePoint les arborescences des serveurs de fichiers, en recopiant les mêmes droits positionnés sur les dossiers. Erreur fatale. On ne fait une migration d'ampleur qu'une fois tous les dix ans : autant le faire correctement en étudiant les bons réceptacles des fichiers, comme je l'évoque dans l'article et gérer correctement les droits en repensant le sujet.
Animer des campagnes de cleaning day - réduire la masse documentaire en supprimant les fichiers inutiles permet de réduire les efforts pour bien la contrôler et en maîtriser la confidentialité. Organiser régulièrement des cleaning day permet de faire du ménage régulièrement. C'est bon pour l'efficacité collective (ne pas être pollué par de la connaissance périmée), c'est bon pour la gestion de la sécurité (ne pas avoir à gérer la confidentialité de données inutiles), c'est bon pour la planète (réduction de l'empreinte carbone de l'utilisation des outils digitaux).
Utiliser les étiquettes pour protéger les contenus les plus sensibles - pour vos documents les plus sensibles, Microsoft 365 vous permet de créer des "étiquettes" (voir cette rubrique) qui vont crypter les documents, et en restreindre l'ouverture à un groupe de personne associé à chaque étiquette. On peut imaginer par exemple une étiquette intitulée "Equipe RH uniquement" : associée à un document, seuls les membres de l'équipe RH pourront l'ouvrir et le consulter. Autrement dit, il n'y a plus aucun risque qu'un document RH sensible puisse être consulté par une autre personne que l'équipe RH, que ce document soit envoyé par erreur en pièce jointe à un mail, ou copié sur une clé USB ou toute autre manière.
Détecter les fuites, faire des contrôles - pour éviter les fuites, mieux vaut disposer de capteurs. Microsoft 365 permet de détecter les téléchargements en masse suspects. Par exemple, le téléchargement en masse de documents réalisé par un collaborateur qui quitte l'entreprise, ou par un usurpateur d'identité qui utilise le compte d'un salarié donnera lieu à une alerte qui permettra de réagir.
En conclusion
Le sujet est vaste et cet article n'a pas la prétention d'en couvrir tout le périmètre ni d'en donner toutes les solutions. Chaque entreprise est particulière, toutes les solutions sont différentes et forcément personnalisées en fonction du contexte, de l'ambition, des moyens.
Ce qu'il faut en retenir, c'est que la grand bazar des droits sur la connaissance de l'entreprise n'est plus une fatalité. Il existe désormais des outils avec Microsoft 365 qui apportent des solutions et des approches nouvelles. Reste que les outils ne font pas tout : leur efficacité dépendra principalement de la pertinence de la stratégie documentaire associée, de la pédagogie faite aux salariés et de leur rigueur à suivre les règles établies.
