Office 365 Security : le guide complet pour renforcer la sécurité de votre environnement Microsoft

Office 365 Security : le guide complet pour renforcer la sécurité de votre environnement Microsoft

Le 15/02/2023

Selon CerFI, 80 % des 500 plus grosses entreprises du monde utilisent Office 365. Il faut dire que son prix, l’étendue de ses fonctionnalités ainsi que sa flexibilité séduisent. D’autant plus à l’heure où le développement du télétravail rend plus que nécessaire la collaboration en ligne.

Mais en parallèle, de plus en plus d’organisations sont victimes de cyberattaques.

Il est donc légitime de se demander comment protéger au maximum cet environnement de travail qui, malgré sa robustesse, ne semble pas épargné par les menaces informatiques.

L’Office 365 Security, ou la sécurité d’Office 365, est assurée par de nombreux services disponibles dans les différents plans proposés par Microsoft. Chaque structure, qu’importe sa taille, dispose donc d’outils pour construire une architecture solide et se prémunir des assauts des hackers.

Mais une question demeure : est-ce suffisant ?

Cet article fait le point sur les enjeux relatifs à la sécurité dans Office 365, ainsi que sur les outils (intégrés nativement ou pas) et les bonnes pratiques à déployer.

Quels sont les avantages d’Office 365 ? Présentation de l’environnement

Qu’est-ce qu’Office 365, ou Microsoft 365 ?

Pour rappel Office 365, ou Microsoft 365, se définit comme une plateforme professionnelle complète intégrant une multitude d’applications. On pense notamment à sa suite bureautique (Word, Excel, PowerPoint, etc.) et à son service d’email Outlook.

Disponible en mode SaaS, elle soutient alors la communication ainsi que la collaboration entre les équipes et avec les parties prenantes externes. Bien pratique au regard des nouvelles organisations du travail, telles que le remote, le travail hybride ou la dispersion des collaborateurs sur différents sites !

Microsoft 365 évolue constamment en vue d’intégrer de nouvelles fonctionnalités et services, comme en témoigne la mise sur le marché de SharePoint Online, Teams, Exchange Online ou encore OneDrive.

Quid de la protection de vos données ?

Toutefois, la présence de vos données dans le Cloud ne vous exempte pas de vous poser certaines questions quant à leur protection.

Déjà, malgré la solidité des infrastructures et systèmes Microsoft, nulle entreprise n’est totalement à l’abri des erreurs humaines et autres attaques informatiques. Par exemple, d’après Weapons, l’origine de plus de 90 % des cyberattaques provient de mails.

De plus, en tant que fournisseur, le géant américain n’est pas 100 % responsable de votre contenu. S’il est principalement tenu de maintenir la fiabilité des infrastructures, vous êtes chargé de suivre les bonnes pratiques en matière de sécurité, d’activer et de configurer les fonctionnalités nécessaires.

Autrement dit, il vous incombe de garantir :

  • la protection optimale de vos données,
  • un comportement adapté de la part des utilisateurs,
  • la conformité avec la réglementation en vigueur, telle que le RGPD.

Voyons comment. 👇

Les fonctionnalités de sécurité d’Office 365

Office 365 propose nombre de services voués à maximiser la sécurité de l’environnement.

Ils s’articulent principalement autour de 4 axes :

La gestion des identités et des accès

Il s’agit de superviser l’accès aux applications et ressources de l’entreprise, en veillant à ce que l’individu qui tente d’y parvenir soit vraiment légitime.

👉 Par exemple, Office 365 intègre le Role-Based Access Control, ou RBAC. Il permet de créer des rôles et des groupes de sorte à maîtriser au mieux l’accès aux services, dans un laps de temps donné.

Pour aller plus loin, Microsoft a également développé des outils supplémentaires, parmi lesquels nous pouvons citer :

  • Microsoft Authentificator, pour déployer sur mobile l’authentification forte (sur laquelle on reviendra en détail plus tard) et sécuriser les connexions ;
  • Azure AD Identity Protection, afin que les responsables informatiques repèrent les événements inhabituels et les tentatives de compromission de comptes ;
  • Microsoft Defender pour Identity, anciennement Azure Advanced Threat Protection (ATP), qui détecte les menaces avancées, surveille les comportements des utilisateurs et garantit la protection des informations d’identification de l’Active Directory.

La protection contre les menaces

Dans toutes les versions de Microsoft 365, vous trouverez des garanties de sécurité de base, grâce à Exchange Online Protection. Cette fonctionnalité préserve vos mails contre les courriers indésirables et autres programmes malveillants de type ransomwares et tentatives de phishing.

Dans Microsoft 365 Business Premium, bénéficiez également de Microsoft 365 Defender for Business, gage d’une protection plus poussée et automatisée sur l’ensemble de vos points de terminaison.

Mais face à la complexification des structures de travail et à la croissance de la surface d’attaque (appareils divers, Cloud, réseau, applications, etc.), le fournisseur a mis à disposition des outils supplémentaires. Par exemple :

  • Azure Security Center, qui simplifie la gestion et la protection des données dans les environnements Cloud hybride ;
  • Microsoft Cloud App Security, pour identifier et lutter contre les menaces dans vos services et applications Cloud ;
  • Windows Defender Advanced Threat Protection, destiné à prévenir, détecter et combattre les attaques avancées.

💡 Pour aller plus loin et vous prémunir efficacement des logiciels malveillants, téléchargez gratuitement le Guide complet sur la protection contre les ransomwares pour Microsoft 365.

« Protection contre les ransomwares pour Microsoft 365 » Livre Blanc offert par Cohesity

Télécharger le Livre Blanc

La protection des informations

L’objectif ici pour Microsoft ?

Permettre aux entreprises de :

  • créer et partager des data sensibles en toute sécurité ;
  • les protéger contre toute tentative de vol, de modification ou de destruction, et ce tout au long de leur cycle de vie, qu’importe où elles se trouvent.

Pour ce faire, Office 365 inclut des fonctionnalités destinées à assurer une vraie gouvernance des données :

  • identification des informations sensibles ;
  • classement à l’aide d’étiquettes ;
  • sécurisation des data afin d’éviter leur perte ;
  • surveillance de l’apparition d’éventuelles menaces pour réagir promptement en conséquence.
office 365 securityoffice 365 security© Microsoft Learn

La gestion de la sécurité

Microsoft 365 intègre un Centre de sécurité (Microsoft Security Center) dédié à la gestion ainsi qu’à la protection de vos informations, identités, infrastructures, appareils et applications.

Vous disposez notamment :

  • de rapports mis à jour en temps réel de sorte à déceler rapidement les problèmes et les menaces ;
  • de recommandations pour appliquer les bonnes pratiques et exploiter au mieux le potentiel de la plateforme.

Et grâce à l’outil Degré de sécurisation Microsoft, vous profitez d’un tableau de bord centralisé qui simplifie la surveillance des différentes composantes de votre système.

Comment sécuriser Office 365 ? 7 recommandations à suivre absolument

Microsoft 365 dispose donc de nombreuses fonctionnalités pour protéger l’environnement de travail de l’entreprise.

Toutefois, la plupart ne sont pas activées par défaut. Il incombe alors aux DSI et aux responsables de la sécurité de configurer la solution, tout en l’adaptant aux spécificités de leur organisation. Par ailleurs, cet environnement peut être renforcé.

Gardez donc à l’esprit ces quelques recommandations de sécurité, à suivre scrupuleusement. 👇

#1 Gérez finement les accès, les identités et les comptes

Nous l’avons vu, la gestion des identités, des accès et des comptes fait partie des principaux piliers de sécurité de Microsoft 365.

Il faut dire que la plateforme soutient la communication et le partage de données au sein de l’entreprise, mais aussi avec les parties prenantes externes. De plus, dans le cadre du développement du télétravail, ou encore du BYOD, l’identity and access management constitue souvent le principal rempart contre les cyberattaques. Il évite que des personnes mal intentionnées ne parviennent trop facilement à vos ressources.

💡 Cette bonne gestion des accès, des identités et des comptes passe par :

  • L’instauration d’une solide politique de mots de passe, obligeant les utilisateurs à utiliser des mots de passe forts ou encore à les renouveler régulièrement.

  • L’authentification multifacteur, ou authentification forte. Par exemple, les collaborateurs peuvent recevoir un code par appel téléphonique, SMS ou notification, à renseigner en plus du couple identifiant/mot de passe. Ce dispositif est paramétrable afin d’être déclenché :
    • à intervalles réguliers (toutes les semaines, tous les 15 jours, etc.),
    • ou lors d’événements inhabituels (connexion depuis un appareil différent, etc.).

  • L’application du principe du moindre privilège : les utilisateurs ont accès uniquement aux données et aux applications nécessaires à l’exercice de leurs missions quotidiennes… et pas plus. Ce principe va de pair avec la stratégie Zero Trust.

  • La sécurisation renforcée des comptes administrateurs qui, de par leur statut, se révèlent une cible privilégiée pour les hackers, et donc plus vulnérables.

  • La protection de toutes les identités, qu’importe le niveau de privilèges octroyé. À titre d’illustration, dans le cadre d’une attaque de phishing évoluée, si le cybercriminel pénètre un compte bénéficiant de peu de privilèges, il peut quand même s’introduire dans tout le système.

💡 À savoir : dans SharePoint et OneDrive, il est possible de modifier les paramètres par défaut et ainsi contrôler les niveaux d’accès.

#2 Protégez les mails des utilisateurs

Les boîtes mail constituent une porte d’entrée pour des attaques de type phishing ou ransomwares.

C’est pourquoi il vous faut utiliser des solutions adaptées à la protection des messageries.

De base, grâce à Exchange Online Protection, il est possible de déployer des stratégies de sécurité prédéfinies. Elles permettent de paramétrer Office de sorte à ajouter une couche de protection efficace contre les courriers indésirables, l’introduction de programmes malveillants ou encore les tentatives d’hameçonnage.

Citons également le chiffrement des messages électroniques, pour les destinataires internes ou externes à votre organisation.

Enfin, mentionnons l’activation de la journalisation des boîtes aux lettres par défaut, utile pour enquêter en cas de problèmes relatifs aux mails.

#3 Prenez en compte tous les appareils utilisés

Comme on l’a évoqué, les données et applications se retrouvent de plus en plus éparpillées au regard des usages de travail modernes. Par conséquent, la vigilance des DSI doit porter sur l’ensemble des appareils utilisés par les collaborateurs.

En ce sens, la bonne gestion des accès et des identités, et notamment l’authentification forte, devient indispensable.

Mais il ne s’agit pas de s’arrêter là. Par exemple, dans le cadre du BYOD, et donc de l’utilisation d’ordinateurs, de mobiles ou encore de tablettes non gérés, pensez au chiffrement des données ou encore à l’activation de solutions de sécurité supplémentaires.

#4 Sensibilisez et formez les équipes à la sécurité informatique

Les comportements à risque de la part des collaborateurs restent la principale faille mettant en péril les données des entreprises. Par exemple, le téléchargement d’une pièce jointe frauduleuse ouvre la voie aux rançongiciels.

Conséquence : il convient de former parfaitement les équipes sur les bonnes pratiques à adopter dans Office 365 et de les sensibiliser quant aux risques informatiques (shadow IT par exemple). N’oubliez pas, vos salariés sont le meilleur rempart contre les cyberattaques !

#5 Surveillez constamment votre environnement Office 365

Les DSI et responsables de la sécurité informatique sont un peu l’œil de Sauron. Ils sont tenus de surveiller tout ce qu’il se passe, même dans les environnements complexes.

Ce contrôle s’opère notamment via les journaux d’audit d’Office 365, grâce auxquels vous :

  • examinez les actions des utilisateurs et administrateurs (exploitation des documents par exemple),
  • remontez à la source en cas d’incident ou de problème réglementaire.

💡 À savoir : il est possible de configurer cette fonctionnalité afin de recevoir les alertes de sécurité selon des critères prédéfinis.

#6 Sauvegardez régulièrement vos données

La sauvegarde des données renforce la sécurité d’Office 365, d’autant plus que la responsabilité, notamment en cas d’attaques et de pertes, est partagée.

En d’autres termes, vous êtes aussi garant de votre contenu. Par exemple, l’entreprise est tenue responsable de la compromission ou de la fuite de ses informations en cas d’erreurs humaines ou de cyberattaques imputables à de mauvaises configurations de sécurité.

C’est pourquoi nous vous recommandons d’opter pour une stratégie de sauvegarde supplémentaire via des solutions tierces, afin d’aller au-delà des capacités de backup promises par les fournisseurs de service tels que Microsoft.

#7 Faites évoluer vos paramètres de sécurité

Une fois toutes les options de sécurité Microsoft 365 configurées, le travail ne s’arrête pas là !

Rappelez-vous que les attaques des pirates informatiques évoluent sans cesse, deviennent chaque jour plus sophistiquées… et finissent par franchir les barrières de protection mises en place.

C’est pourquoi il vous faut constamment auditer, questionner les paramètres de sécurité instaurés, afin de les adapter en conséquence.

Quelles solutions pour aller plus loin ?

Vous l’aurez compris, pour une parfaite sécurisation de votre environnement, Office 365 à lui seul se révèle parfois insuffisant.

Déjà, en fonction :

  • de vos besoins,
  • de la taille de votre organisation,
  • du volume ainsi que du niveau de criticité de vos données,
    vous pouvez être amené à souscrire à d’autres services Microsoft, dans le but d’appliquer des couches de sécurité supplémentaires et de satisfaire les obligations liées à votre propre responsabilité.

Et surtout, il est difficile de se passer de solutions de sauvegarde. La perte ou la compromission de vos informations engendre un manque à gagner de taille pour votre entreprise et vos activités.

De ce fait, on vous conseille de recourir en plus à un logiciel de backup, compatible avec votre environnement Microsoft et garantissant une récupération rapide et propre de vos data.

On pense par exemple à la solution Cohesity Data Cloud, dédiée à la protection ainsi qu’à la gestion des données dans les environnements multiclouds et hybrides. La plateforme assure une sauvegarde complète et sécurisée de vos ressources Microsoft 365, emails comme fichiers, grâce à des fonctionnalités telles que les snapshots immuables (qui préviennent les ransomwares par exemple) et le chiffrement des données. La restauration est rapide, à grande échelle, et s’opère à n’importe quel point dans le temps. Ainsi, vous respectez vos exigences en matière de niveaux de services.

Office 365 Security : que retenir ?

Office 365 s’avère une plateforme déjà robuste en soi. Elle compte une multitude de fonctionnalités relatives à la sécurité (à condition de parfaitement paramétrer le tout, bien entendu).

Mais il arrive que ces dernières soient insuffisantes. Dans ce cas, les entreprises sont amenées à envisager des solutions tierces. Il est question, bien sûr, des nombreux services proposés par Microsoft lui-même.

Toutefois, il convient en parallèle de renforcer la sauvegarde proposée par les fournisseurs de services Cloud : utiliser un logiciel dédié et performant fournit une protection supplémentaire et garantit une reprise rapide de vos activités en cas de problème.

Dans tous les cas, restez alerte et ne vous reposez pas sur vos lauriers. Les pirates, eux, ne sont jamais en berne. Ils font preuve de toujours plus d’habileté pour s’attaquer à vos données. À vous de déjouer leurs pièges en plaçant la sécurité de votre environnement Microsoft au cœur de vos priorités !

Actuellement Editorial Manager, Jennifer Montérémal a rejoint la team Appvizer en 2019. Depuis, elle met au service de l’entreprise son expertise en rédaction web, en copywriting ainsi qu’en optimisation SEO, avec en ligne de mire la satisfaction de ses lecteurs 😀 !

Médiéviste de formation, Jennifer a quelque peu délaissé les châteaux forts et autres manuscrits pour se découvrir une passion pour le marketing de contenu. Elle a retiré de ses études les compétences attendues d’une bonne copywriter : compréhension et analyse du sujet, restitution de l’information, avec une vraie maîtrise de la plume (sans systématiquement recourir à une certaine IA 🤫).

Une anecdote sur Jennifer ? Elle s’est distinguée chez Appvizer par ses aptitudes en karaoké et sa connaissance sans limites des nanars musicaux 🎤.

Jennifer Montérémal

Jennifer Montérémal, Editorial Manager, Appvizer

La transparence est une valeur essentielle pour Appvizer. En tant que média, nous avons pour objectif d'offrir à nos lecteurs des contenus utiles et de qualité tout en permettant à Appvizer de vivre de ces contenus. C'est pourquoi, nous vous invitons à découvrir notre système de rémunération.   En savoir plus