Les recettes de Transgourmet pour sécuriser ses données sur Azure

Des stratégies différentes sur OneDrive, SharePoint et Teams

Sur Microsoft 365, les collaborateurs de Transgourmet ont accès à OneDrive, SharePoint et Teams. La stratégie de Christophe Bériol vis-à-vis de OneDrive est simple : l’accès au répertoire Cloud doit être absolument restreint à l'utilisateur et à lui seul. Il peut stocker ses documents, mais il ne peut les partager avec quelqu'un, que ça soit en interne ou en externe.

Par nature, sécuriser SharePoint, un outil dédié à la collaboration et donc au partage, est plus complexe : « nous avons décidé que chaque service allait disposer de son SharePoint. Les droits sur chaque SharePoint sont basés sur des groupes AD qui remontent dans Azure ».

Ces groupes sont définis selon 2 méthodes : la première consiste à s’appuyer sur les données RH dans une approche de type RBAC (Role-Based Access Control, ou contrôle d'accès basé sur les rôles). Là, « c'est la donnée RH qui dit telle personne fait partie de tel service, donc automatiquement elle est intégrée dans le groupe qui correspond avec son SharePoint. Par défaut, certains espaces SharePoint d'un service peuvent être communs à d'autres services connexes ».

L’intérêt de cette approche est d’être totalement automatisée, mais Transgourmet donne aussi la possibilité à un utilisateur ou à son manager de faire une demande via un workflow dédié. Celui-ci est porté par la solution d'IAM mise en œuvre dans le groupe et la personne responsable du partage SharePoint va valider - ou pas - la demande : « si la demande est acceptée, l’utilisateur entre dans le groupe et par défaut il a accès au SharePoint. L'avantage de cette approche est qu’aucun accès n’est nominatif ; c'est lié au groupe AD ».

Un lien vers un document envoyé à un tiers à l'extérieur de l'entreprise ou même à d'autre service qui n'a pas l'accès à l'espace SharePoint d'origine du document ne mènera le destinataire nulle part. Un message lui dira qu’il n’a pas l'autorisation d'accéder à ce document.

Les utilisateurs responsables des accès invités sur Teams

Une approche aussi rigide est difficile à transposer à Teams qui est bien évidemment destiné aux échanges internes, mais aussi avec les clients et partenaires extérieurs à l’entreprise.

Pour le RSSI, Teams est le seul canal disponible pour communiquer avec l'extérieur. Au départ, quand un utilisateur invitait quelqu'un dans Teams, un compte invité était créé dans Azure, mais pour verrouiller cette approche, le RSSI impose que l'invité soit validé par l’utilisateur interne via un formulaire et un workflow : seule la personne dont l’email est indiqué dans la demande aura accès à l’environnement Teams et cette autorisation est obligatoirement assortie d’une date de fin. Ainsi, tous les 90 jours l’accès est réévalué et la personne à l’origine de la demande reçoit un message pour revalider le compte. Sans retour de sa part, le compte est supprimé automatiquement.

Cette recertification pousse les utilisateurs internes à ne pas multiplier les groupes et les partages puisque ce sont eux qui doivent ensuite recertifier l’ensemble de ces accès additionnels.

Aujourd’hui, Transgourmet est en train de déployer l’outil de DLP Microsoft Purview afin de s’assurer du chiffrement des données confidentielles, de la génération d’alertes si des collaborateurs exfiltrent de gros volumes de données ou copient des données RH pour la mettre dans un SharePoint qui n'est pas RH.

Enfin, Transgourmet a fait le choix de la solution Druva Security Cloud afin de sauvegarder les données stockées par les utilisateurs dans Microsoft 365 au-delà d’un mois et les mettre à l’abri d’une éventuelle attaque de ransomware.

Un renforcement du MFA avec Fortinet

Outre ce travail sur la sécurité des données stockées sur Azure, Christophe Bériol a cherché à renforcer les moyens d’accès, notamment renforcer le MFA. Celui-ci est déjà obligatoire pour tous les collaborateurs du groupe qui ont accès à Azure. Mais le recours à l'accès conditionnel de Microsoft Entra qui nécessite un abonnement jugé bien trop coûteux.

Le RSSI a alors élaboré une autre solution avec Fortinet. Pour se connecter à Microsoft 365, tous les utilisateurs doivent passent par la solution FortiEMS (FortiClient Endpoint Management Server) et ressortent avec une IP fixe vers Microsoft Entra : « même si un attaquant parvient à voler son MFA, il ne pourra rien faire car il ne se connectera pas à l’annuaire via FortiEMS, comme attendu par Entra ».

Cette démarche s’inscrit dans la volonté de l’entreprise de renforcer sa résilience, se protéger contre le vol de données, mais aussi se préparer à l’arrivée de NIS2.