Secure Score : un indicateur de la posture de sécurité Office 365, mais guère plus

Un « point de départ relativement significatif pour mesurer et améliorer » sa posture de sécurité pour Office 365. C’est ainsi que Gartner appréhende le tableau de bord Secure Score de Microsoft. Mais le cabinet avertit : il convient de ne pas trop le considérer comme plus que cela.

Dans une note d’information destinée aux clients de Gartner, l’analyste Steve Riley relève ainsi que l’outil n’a pour l’heure qu’une portée limitée, « puisqu’il n’évalue qu’un sous-ensemble de contrôles de sécurité natifs d’Office 365 ». Sans aller au-delà, les résultats qu’ils présente « ne reflètent pas forcément la situation globale en matière de sécurité ». Et ceux-ci peuvent « encourager un faux sentiment de sécurité ». Au passage, Steve Riley rappelle que les clients d’Office 365 sont responsables de la sécurité de leurs données, c’est à eux qu’il revient de déterminer ce que « bon » signifie… une notion qui « n’est jamais statique ».

De fait, souligne-t-il, jouer avec les scores est un exercice potentiellement périlleux : « un moyen de mesurer l’efficacité d’un contrôle consiste à attribuer une valeur à la réduction du risque relative que ce contrôle apporte. La somme des valeurs de tous les contrôles crée une métrologie qui fournit un instantané de la situation d’une entreprise vis-à-vis du risque ». Mais ces valeurs doivent-elles évoluer dans le temps, et dans quelle mesure ? Sont-elles établies de manière pertinente ?

Et puis se reposer sur un unique chiffre pour évaluer sa posture de sécurité n’est probablement pas la meilleure idée : « un seul chiffre manque de contexte et ne peut totalement expliquer l’exposition potentielle d’une entreprise ».

Pas question pour autant de jeter le bébé avec l’eau du bain. L’analyste de Gartner recommande ainsi de suivre les recommandations de Secure Score pour « hiérarchiser par priorités la mise en œuvre des capacités de sécurité déjà disponibles dans son espace de locataire ».

Steve Riley va plus loin en suggérant d’ajuster le score présenté pour « prendre en compte les contrôles tiers existants en ajoutant les valeurs de point des contrôles similaires natifs de Microsoft ». Une approche d’autant importante que, selon lui, de nombreux clients du cabinet « augmentent la sécurité d’Office 365 avec des produits autres que ceux de Microsoft » : passerelles de sécurité de la messagerie et passerelles d’accès cloud sécurisé (CASB) sont ainsi, d’après lui, « particulièrement courants ».

Mais surtout, pour Steve Riley, si les « métrologies sont appréciées de tous », et que les tableaux de bord bardés de scores et notations « sont très répandus dans bon nombre d’outils de sécurité », la sécurité reste une choix « difficile à mesurer ». Dès lors, l’analyste recommande de « résister à l’obsession des chiffres » et de se concentrer sur « des stratégies significatives de réduction du risque ».