1. Le suivi des droits et partages dans Microsoft 365

Ce qu’il est important de rappeler avant toute chose c’est que le cycle de vie d’une donnée correspond au parcours de la donnée dans l’entreprise de sa création à sa suppression. La principale difficulté dans un contexte de travail collaboratif tel que nous le connaissons majoritairement en entreprise aujourd’hui c’est de gérer les données dans le temps. En effet, plus les échanges et les partages sont nombreux, plus il est compliqué pour un utilisateur de savoir où se trouve sa donnée, qui y a accès et comment s’assurer de sa suppression. Cela est d’autant plus important en cas de collaboration ponctuelle. Pour partager ses données avec une personne extérieure à l’entreprise, l’utilisateur Microsoft 365 va donner à cette personne des droits sur ses espaces de stockage (Teams, SharePoint ou OneDrive). Gérer ses droits est donc essentiel pour contrôler les accès.

Quelles sont les risques encourus ?

Si vous ne suivez pas les droits et partages dans Microsoft 365, des problèmes de confidentialité sur les données vont alors se poser après la fin d’une collaboration ponctuelle avec une personne extérieure. Les principaux problèmes sont les suivants :

• Les partages anonymes dans Microsoft 365

Si l’utilisateur transmet à son interlocuteur extérieur un fichier via un simple lien, il ne va pas forcément penser à protéger son fichier par un mot de passe. Le problème qui se posera alors c’est que vos données ne seront pas protégées en cas de diffusion de ce lien puisqu’aucune mesure de sécurisation concernant l’identification de la personne destinataire n’aura été mise en place et donc aucune maîtrise sur les potentiels accès. L’utilisateur ne saura pas qui a reçu son lien et qui a accédé à son document.

• La gestion des individus dans Microsoft Teams

Autre point à surveiller : la gestion des individus dans Teams. Une équipe Teams a vocation à durer dans le temps mais certains utilisateurs n’interviendront sur le projet que sur une période définie. Ainsi, si le gestionnaire de l’équipe n’a pas pris de précautions, tous les utilisateurs, même ponctuels, pourront continuer à suivre les conversations et  à accéder aux fichiers, même plusieurs mois après la fin de leur collaboration.

Même problème dans SharePoint ou OneDrive. Des droits peuvent être appliqués concernant la bibliothèque de documents. La gestion de ces droits est compliquée car elle nécessite de se rendre dans chaque niveau du répertoire pour voir et supprimer des droits accordés.

Microsoft propose plusieurs solutions pour gérer les droits dans le temps, notamment la mise en place d’une date d’expiration des liens pour les partages anonymes.

2. Les données exposées sur Microsoft Delve

Delve est un moteur de recherche très puissant de la suite Office 365. Fichiers, messages, personnes… Grâce à son interface ergonomique, l’utilisateur peut accéder rapidement aux informations recherchées depuis la barre de recherche.

Quels sont les risques encourus ?

Le moteur de recherche Delve indexe les différents documents partagés. Selon qu’il soit partagé en ‘Lien pour toute l’organisation’ ou en ‘Anonyme’, le fichier sera plus ou moins exposé. Cela peut s’avérer dangereux s’il s’agit de données sensibles ou confidentielles.

Et si, a priori, on pourrait penser qu’un partage en ‘Lien pour toute l’organisation’ présente moins de risque qu’un partage en ‘Anonyme’ car seuls les utilisateurs internes y ont accès, dans les faits, c’est moins évident. Si le fichier est indexé avec des mots-clé trop vagues ou trop simples, le fichier peut devenir trop accessible. 

Exemple : dans le groupe SNCF, des collaborateurs ont pu accéder à partir d’une simple recherche sur un mot clé à des documents confidentiels mal indexés sur Delve.

Enfin, une fois qu’un document est indexé, il est très difficile de maîtriser qui y a eu accès. Le moteur de recherche peut alors compromettre des données.

3. La gestion des accès et des partages dans les conversations Teams

Microsoft Teams est un outil de collaboration et de réunions qui a été rapidement adopté par les utilisateurs. Les réunions à distance et les chats sont de plus en plus nombreux afin de faciliter la communication. Cependant, si l’outil n’est pas bien maîtrisé, la gestion des échanges peut s’avérer complexe.

Quels sont les risques encourus ? 

• Accès aux conversations et réunions récurrentes

Les chats ne permettent pas d’avoir une totale maîtrise sur les personnes qui accèdent à l’information. En effet, il est impossible de supprimer une conversation Teams et la gestion des membres est ouverte à tous.

Même dans le cas d’invitations ponctuelles aux réunions, l’accès reste permanent. 

Exemple : lorsque que je crée une réunion récurrente Microsoft Teams, il est normal que les participants aient un accès permanent au Chat pour retrouver les derniers échanges. Cependant, si j’invite un utilisateur ponctuellement à l’une des réunions, celui-ci aura par défaut un accès permanent à la conversation liée. Par conséquent, si l’organisateur ne contrôle pas la liste des participants à chaque réunion, tous les utilisateurs invités ponctuellement ou non, pourront continuer à suivre les échanges et auront accès aux fichiers échangés.

• Contrôle des accès aux fichiers partagés

La gestion des partages au sein des conversations Teams peut également poser problème. En effet, le contrôle des accès n’est pas accessible directement dans Teams, mais à partir du OneDrive du propriétaire. Par ailleurs, la modification du lien de partage est complexe, alors bien souvent les liens d’accès aux fichiers ne sont jamais modifiés et les fichiers restent donc présents sur les conversations et accessibles indéfiniment.