Accueil Sécurité d’Office 365 : les entreprises doivent agir

Sécurité d’Office 365 : les entreprises doivent agir

Si le discours marketing des CSP est d’expliquer que leurs services sont bien mieux sécurisés que les datacenters des entreprises, ces dernières doivent assumer une part de cette sécurité. Une part bien plus importante qu’il n’y paraît.

> Gérard Leymarie, CISO d’Elior, est l’un des membres du groupe de travail du Clusif portant sur la sécurisation d’Office 365, preuve de l’importance prise par ce sujet dans les grandes entreprises françaises.

Le Clusif a présenté à l‘occasion des Assises de la sécurité 2019 les premiers résultats d’un groupe de travail consacré à la sécurité d’Office 365. La plateforme de collaboration dans le Cloud a été adoptée par de nombreuses entreprises françaises et le Clusif a souhaité se pencher sur la problématique de la sécurité d’Office 365, car si Microsoft assure la protection de la plateforme Cloud, chaque entreprise se doit de protéger son propre tenant. Henri Codron, vice-président du Clusif, a expliqué la démarche de ce groupe de travail : « Nous avons souhaité impliquer toutes les parties prenantes afin de bien comprendre les risques liés à cette solution et, dans un deuxième temps, établir les mesures à prendre pour faire face à ces risques, édicter les bonnes pratiques tant d’un point de vue technique qu’organisationnel. » L’éventail des risques est très large et, au total, pas moins de 46 risques ont été identifiés par les RSSI membres de ce groupe de travail.

Vers une convergence des briques de sécurité des accès Cloud

Côté solution, la tendance est clairement à une consolidation des solutions de sécurisation des accès Cloud. Artisan actif de cette consolidation, Symantec dont les multiples solutions sont rassemblées sous la bannière « Web Security Services ». Celle-ci consiste d’une part en une offre de passerelles Web sécurisées (Secure Web Gateway) désormais complétées de services d’inspection SSL, de DLP, d’antivirus et encore de CASB. Sur ce marché, on retrouve Cisco, Forcepoint, McAfee, mais les analystes de Gartner placent Zscaler comme le concurrent le plus proche de Symantec dans le carré des leaders de ce marché. Ivan Rogissart, directeur Avant-Vente Europe du Sud de Zscaler, souligne l’intérêt croissant de ces passerelles Web sécurisées : « Office 365 est venu remplacer de multiples serveurs dans les entreprises : les serveurs de fichiers, de messagerie, de collaboration. De ce fait, la protection d’Office 365 et des applications SaaS est devenue un des enjeux majeurs pour nos clients. Un collaborateur peut accéder à cette ressource alors qu’il est en dehors du périmètre de l’entreprise en ‘bypassant’ la sécurité réseau mise en place dans le périmètre IT de l’entreprise ; ce qui implique de revoir l’architecture d’accès aux services Cloud. »

Sécuriser les accès et les liaisons entre des utilisateurs qui ne passent plus par le réseau de l’entreprise pour accéder à des applications SaaS implique de mettre en œuvre des infrastructures mondiales qui viennent collecter le trafic des utilisateurs, les authentifier et leur appliquer la politique de sécurité de l’entreprise. Connectés directement aux datacenters des opérateurs de services Cloud, les SWG jouent de plus en plus le rôle d’Internet de confiance et visent à faire d’Internet le réseau corporate de chaque entreprise.

 

La protection d’Office 365
passe aussi par les sauvegardes

Acronis, Carbonite, Commvault, Synology ou encore Veeam : tous les acteurs majeurs du monde du backup ont lancé des offres dédiées à Office 365. Crainte des malwares, des pertes de données, mais aussi volonté de garder un certain niveau de réversibilité vis-à-vis de ce choix du Cloud, de multiples raisons poussent les entreprises à opter pour ces solutions.

« Le premier usage, c’est la migration d’une plateforme Exchange on-premise vers Office 365 » explique Samy Reguieg, directeur France d’Acronis. « Il faut d’une part sauvegarder pour ensuite migrer et une solution complémentaire aux outils Microsoft constitue une vraie aide. Une solution dédiée permet de bien définir ce qui doit être sauvegardé sur la plateforme Office 365 : dossiers Exchange online OneDrive, SharePoint Online… On définit le type de sauvegarde souhaité pour chaque service. »

Même si les fournisseurs de Cloud garantissent la fiabilité de leur service de stockage, une entreprise peut avoir besoin de revenir sur les données stockées à une date ultérieure, une fonction de restauration précieuse au quotidien.