Avec Microsoft 365, Microsoft livre un outil qui facilite énormément le partage et la circulation des informations dans les organisations. Un outil qui accroît aussi de manière considérable le risque de fuite de données comme a pu le constater la SNCF.
Le 5 mai 2021, l’alerte de risque de fuite de données se déclenche à la SNCF. Des données RH venaient d’être déposées dans un partage SharePoint mal administré. Ce partage malencontreux exposait des données « sensibles » qui auraient pu tomber entre de « mauvaises » mains, avec potentiellement des conséquences fâcheuses.
Cet incident de sécurité a mis en évidence le paradoxe du déploiement de Microsoft 365 dans de nombreuses entreprises : la solution est extrêmement puissante pour partager simplement des données, mais ses utilisateurs ne sont absolument pas conscients des risques de fuite de données auxquels ils exposent leur entreprise.
« Nous constatons que les utilisateurs ouvrent à outrance des partages à tout le tenant Microsoft, voire à Internet. Il s’agit généralement d’une mauvaise appropriation de l’outil et d’une gestion des droits maladroite », explique Antoine Ancel, Directeur Cyber Sécurité Opérationnelle de la SNCF. « Avec Office 365, l’utilisateur est capable de faire beaucoup de choses, mais celui-ci n’est pas formé à gérer les droits ».
De premières mesures d’urgence
Cette problématique a toute son importance à la SNCF qui compte 170 000 utilisateurs sur son tenant Office 365. L’entreprise comptait alors 543 854 espaces de partage SharePoint et Teams, dont 198 762 partages SharePoint actifs avec un total de 237 millions documents partagés.
Du mois de mai au mois de septembre, la SNCF va resserrer les boulons pour réduire au maximum le risque qu’une telle situation ne se répète. Les espaces SharePoint auxquels personne n’a accédé depuis plus de 3 mois sont fermés, de même que ceux qui sont exposés, sauf autorisation spécifique.
Une grande campagne de communication est lancée auprès des utilisateurs Microsoft 365 afin de les sensibiliser à cette problématique de la sécurité des données. Suite à cette première phase de sensibilisation, une campagne de formation vidéo est lancée pour apprendre aux utilisateurs à mieux administrer les droits d’accès qu’ils accordent sur Teams et SharePoint.
« Les utilisateurs testent l’outil, partagent des contenus, mais aussi récupèrent les données sur leurs postes personnels pour s’assurer de pouvoir y accéder. Nous souhaitions accroître leur maturité vis-à-vis de ce risque. »
Antoine AncelDirecteur Cyber Sécurité Opérationnelle, SNCF
« Il faut impérativement aider les utilisateurs à intégrer cette problématique de protection des données et à s’approprier les outils, et bien leur faire comprendre qu’ils sont les propres administrateurs de leurs données. Nous avons 170 000 utilisateurs de Microsoft 365, donc 170 000 administrateurs en puissance ! », relève Antoine Ancel.
Outre les données personnelles couvertes par le RGPD, les collaborateurs de la SNCF sont amenés à manipuler des données comprenant de la propriété intellectuelle, ou encore des données concurrentielles liées aux appels d’offres auxquels répond la compagnie de chemins de fer. Autant de données qui n’ont pas à circuler librement.
« Si l’on analyse la fréquentation des espaces SharePoint et Teams, c’est parfois assez édifiant : les utilisateurs testent l’outil, partagent des contenus, mais aussi récupèrent les données sur leurs postes personnels pour s’assurer de pouvoir y accéder. Nous souhaitions accroître leur maturité vis-à-vis de ce risque : sensibiliser, informer et former 80 % des utilisateurs serait déjà un grand pas en avant », souligne Antoine Ancel.
Une action de re-certification pour mettre de l’ordre dans les partages SharePoint
La sensibilisation et la formation sont une chose, mais en parallèle Antoine Ancel a décidé de mettre de l’ordre sur Microsoft 365 de manière plus interventionniste ; c’est le projet RESICO de RE-certification des Sites COllaboratifs. SNCF étant client depuis 2014 des solutions de l’éditeur Idecsi pour la protection de sa messagerie, Antoine Ancel a souhaité mettre en œuvre cette solution afin de mener une vaste campagne de re-certification de l’ensemble des propriétaires de partages SharePoint. L’objectif était d’inviter ceux-ci à réfléchir aux droits qu’ils avaient accordés aux membres de leurs partages et éventuellement à retirer les droits qui n’étaient plus d’actualité.
Le principe de la campagne de re-certification était simple : envoyer un message à chaque propriétaire de partage SharePoint récapitulant l’ensemble des partages dont il est responsable et les droits, délégations et accès ouverts sur ces partages. Le message leur demandait de valider ces éléments. Si aucune action n’était menée par l’utilisateur dans les deux semaines suivantes, le partage pouvait alors être supprimé.
Des volumétries qui imposent l’usage d’une solution industrialisée
Pour le responsable, disposer d’un outil tel que celui édité par Idecsi est la clé dans la réussite d’une telle démarche de re-certification. Microsoft ne propose pas d’outil équivalent sur Microsoft 365. Pour vérifier les droits des personnes accédant à ses partages, l’utilisateur doit passer en revue ses partages Teams un par un afin de consulter la liste des membres et modifier ou supprimer leurs droits.
« L’outil a la capacité de générer une liste de l’ensemble des partages SharePoint de l’utilisateur sur une page Web unique. Depuis cette page, l’utilisateur peut valider ou supprimer un droit accordé. »
Antoine AncelDirecteur Cyber Sécurité Opérationnelle, SNCF
Imposer une telle revue de détail à 170 000 personnes est voué à l’échec. Antoine Ancel explique l’approche de la solution Idecsi : « l’outil a la capacité de générer une liste de l’ensemble des partages SharePoint de l’utilisateur sur une page Web unique, la page MyProfile. Depuis cette page, l’utilisateur peut valider ou supprimer un droit accordé très simplement. Il dispose d’une interface d’administration très basique et très simple qui lui permet de réaliser cette re-certification sans assistance technique ».
L’approche est notamment pertinente pour les utilisateurs intensifs de Microsoft 365 qui créent de nombreux partages avec, parfois, plusieurs dizaines de membres, et qui laissent souvent en l’état ces partages une fois le projet achevé. En outre, avec cet outil Web, l’utilisateur est autonome et peut supprimer un partage SharePoint directement, sans avoir à faire de multiples clics via l’interface Microsoft.
La solution Idecsi fournit une visibilité complète sur l’activité des utilisateurs sur la plateforme Microsoft 365. Tous les logs de fonctionnement sont stockés sur les serveurs Idecsi. Ce qui représente de l’ordre de 2 To de données. Cette fonctionnalité permet de générer des alertes en cas de risque de fuite de données. En outre, la solution permet d’automatiser l’envoi de campagnes de re-certification auprès des utilisateurs. Une fonctionnalité qui va s’avérer particulièrement pertinente pour la SNCF.
Des vagues de 1 500 utilisateurs priés de vérifier leurs partages
La campagne de re-certification a été initiée auprès d’une population pilote de 200 propriétaires appartenant à la DSI afin d’évaluer les réactions vis-à-vis de la démarche. Ce sont ensuite 6 vagues vers 1 500 propriétaires « sensibles » qui ont été lancées, soit un total de 4 500 utilisateurs touchés entre mai et septembre 2021.
L’interface d’administration MyProfile générée par Idecsi est suffisamment simple pour être manipulée par tous les utilisateurs de Microsoft 365. De fait, chaque vague d’envois n’a pas provoqué d’avalanche d’appels auprès du service support. Néanmoins, pour les utilisateurs un peu particuliers, les membres du ComEx, les VIP et autres VSP, l’équipe projet a déroulé le tapis rouge avec une campagne de re-certification « assistée », un membre de l’équipe assistant l’utilisateur en direct dans la vérification de ses partages.
« Nous nous sommes assurés que les partages SharePoint qui étaient malencontreusement ouverts sur Internet soient strictement limités au tenant SNCF. »
Antoine AncelDirecteur Cyber Sécurité Opérationnelle, SNCF
Le bilan sur le pilote et la première vague de l’opération de re-certification est jugé positif par Antoine Ancel : les 2 000 premiers utilisateurs qui ont reçu leur accès à MyProfile ont effectué 20 000 corrections et 99,98 % ont été réalisées directement sur la plateforme, sans le concours du support.
Sur les vagues massives, le résultat est plus modeste, avec de l’ordre de 10 % de re-certifications effectuées ; un chiffre qui s’est amélioré par la suite avec les campagnes de rappel. « C’est une approche qui a relativement bien fonctionné. Nous nous sommes assurés que les partages SharePoint qui étaient malencontreusement ouverts sur Internet soient strictement limités au tenant SNCF ».
En outre, l’équipe projet a pu avoir des retours d’utilisateurs qui ont indiqué ne plus être propriétaires de certains partages, ce qui a permis de transférer les droits à la bonne personne. Actuellement, 34 265 propriétaires d’espaces SharePoint et Teams ont fait l’objet de la campagne de re-certification et 55 000 espaces SharePoint ont été supprimés.
Des campagnes périodiques complètement automatisées vont être programmées tandis que la re-certification va être élargie à OneDrive pour 45 000 utilisateurs, puis encore élargie à Exchange, OneDrive et SharePoint pour l’ensemble des 170 000 utilisateurs SNCF présents sur le tenant Microsoft 365.
Texte rédigé à partir de la présentation d’Antoine Ancel, Directeur Cyber Sécurité Opérationnelle de la SNCF lors des Assises de la Sécurité 2021.
Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)
