Comment SNCF sécurise ses actions Microsoft 365
Le 5 mai 2021, une alerte pour risque de violation de données a été émise par la SNCF. Les données de ressources humaines ont récemment été stockées dans une participation SharePoint mal gérée. Ce partage malheureux a révélé des données « sensibles » qui pourraient tomber entre de « mauvaises » mains, avec des conséquences fâcheuses.
Cet événement de sécurité a mis en évidence le paradoxe des déploiements de Microsoft 365 dans de nombreuses entreprises : la solution est très puissante pour simplement partager des données, mais les utilisateurs ignorent les dangers des fuites de données qui mettent leur entreprise en danger.
“On constate trop de partages ouverts d’utilisateurs sur Microsoft, ainsi que sur Internet. Il s’agit d’un détournement généralisé de l’outil et d’une mauvaise gestion des droits”, a déclaré Antoine Ancel, directeur des opérations de cybersécurité de la SNCF. “Avec Office 365, l’utilisateur est capable de faire beaucoup de choses, mais l’utilisateur n’est pas formé pour gérer les droits.”
Contents
De premières mesures d’urgence
Ce problème est très important pour la SNCF, qui compte 170 000 utilisateurs dans son locataire Office 365. L’entreprise disposait alors de 543 854 espaces de partage SharePoint et Teams, dont 198 762 partages actifs SharePoint, pour un total de 237 millions de documents partagés.
De mai à septembre, la SNCF resserrera son étau pour réduire les risques de récidive. Les espaces SharePoint auxquels personne n’a accédé depuis plus de 3 mois sont fermés, ainsi que ceux exposés, sauf autorisation expresse.
Une grande campagne de communication a été lancée auprès des utilisateurs de Microsoft 365 pour sensibiliser à cette problématique de sécurité des données. Suite à cette première phase de sensibilisation, une campagne de formation vidéo est lancée pour apprendre aux utilisateurs à mieux gérer leurs droits d’accès à Teams et SharePoint.
“Il est important d’aider les utilisateurs à intégrer cette problématique de protection des données et d’apprendre les outils et comprendre qu’ils sont les administrateurs de leurs données. Nous avons 170 000 utilisateurs Microsoft 365, donc 170 000 administrateurs potentiels !”, a déclaré Antoine Ancel.
En plus des données personnelles collectées par le RGPD, les salariés SNCF doivent inclure des données relatives à la propriété intellectuelle ou des données liées à l’appel d’offres auquel l’entreprise ferroviaire répond. Tellement de données qu’ils n’ont pas à se déplacer librement.
« Si on regarde l’utilisation des espaces SharePoint et Teams, c’est parfois assez attractif : les utilisateurs testent l’outil, partagent du contenu, mais aussi récupèrent les données des ordinateurs personnels pour s’assurer qu’ils peuvent y accéder. Nous avons souhaité gagner en maturité sur ce risque et la formation serait un grand pas en avant », estime Antoine Ancel.
La sensibilisation et la formation sont une chose, mais en même temps, Antoine Ancel a décidé de faire le ménage sur Microsoft 365 de manière plus interventionniste ; c’est le projet RESICO des Sites de Coopération BERZurtagiri. La SNCF étant cliente des solutions de protection de la messagerie d’Idecsi depuis 2014, Antoine Ancel a souhaité mettre en œuvre cette solution pour une vaste campagne de réassurance pour tous les actionnaires de SharePoint. Le but était d’inviter les membres de leur souche à réfléchir sur les droits qui leur étaient accordés, et peut-être de supprimer des droits qui n’étaient pas en vigueur.
Le principe de la campagne de réassurance était simple : envoyer un message à chaque actionnaire de SharePoint récapitulant toutes les actions sous sa responsabilité et les droits, délégations et accès ouverts à ces actions. Le message leur demandait de valider ces éléments. Si l’utilisateur ne prend aucune mesure dans les deux semaines, le partage peut être supprimé.
Des volumétries qui imposent l’usage d’une solution industrialisée
Pour le manager, disposer d’un outil comme celui édité par Idecsi est la clé de la réussite d’une démarche de reconsidération. Microsoft ne fournit pas d’outils équivalents dans Microsoft 365. Afin de vérifier les droits des personnes qui accèdent aux partages, l’utilisateur doit examiner individuellement les partages de ses équipes pour afficher la liste des membres et pour modifier ou supprimer les droits.
Forcer un tel magazine de vente au détail à 170 000 personnes est voué à l’échec. Antoine Ancel explique la solution Idecsi : « L’outil a la possibilité de créer une liste de tous les partages utilisateur SharePoint sur une seule page Web sur la page MonProfil. A partir de cette page, l’utilisateur peut facilement valider ou supprimer un droit donné. Il dispose d’une interface administrative très basique et très simple qui permet de faire cette re-certification sans aucun support technique.”
L’approche est particulièrement importante pour les utilisateurs intensifs de Microsoft 365, qui créent parfois beaucoup de partages avec des dizaines de membres et laissent souvent ces partages tels quels une fois le projet terminé. De plus, avec cet outil Web, l’utilisateur est autonome et peut supprimer un partage SharePoint directement sans avoir à cliquer sur l’interface Microsoft.
La solution Idecsi offre une visibilité complète sur l’activité des utilisateurs sur la plateforme Microsoft 365. Tous les journaux d’opérations sont stockés sur les serveurs Idecsi. Il s’agit d’une commande de données de 2 To. Cette fonctionnalité permet de générer des alertes en cas de risque de fuite de données. De plus, la solution automatise l’envoi des campagnes de recertification aux utilisateurs. Cette fonctionnalité sera particulièrement importante pour la SNCF.
Des vagues de 1 500 utilisateurs priés de vérifier leurs partages
La campagne de réassurance a commencé avec une population pilote de 200 propriétaires de DSI pour évaluer les réactions du processus. Ensuite, 6 vagues de 1 500 propriétaires « sensibles » ont été lancées, pour un total de 4 500 utilisateurs touchés entre mai et septembre 2021.
L’interface d’administration MyProfile créée par Idecsi est suffisamment simple à gérer pour tous les utilisateurs de Microsoft 365. En fait, toutes les vagues de livraison n’ont pas entraîné une baisse des appels à l’assistance. Cependant, auprès d’utilisateurs relativement spécifiques, membres du ComEx, VIP et autres VSP, l’équipe du projet a étalé le tapis rouge avec une campagne de re-certification « assistant » pour aider un membre de l’équipe d’assistance à l’utilisateur à vivre sa vérification. actions.
Antoine Ancel a qualifié de positif le bilan du pilote et le premier tour de l’opération de reconsidération : les 2 000 premiers utilisateurs à accéder à MyProfile ont effectué 20 000 corrections et 99,98 % sont allés directement sur la plateforme sans accompagnement. Support.
Dans les vagues massives, le résultat est plus faible, avec environ 10 % des réclamations réalisées ; ce chiffre a ensuite été amélioré avec des campagnes de rappel. « C’est une vision qui a plutôt bien fonctionné. Nous nous sommes assurés que les partages SharePoint ouverts involontairement sur Internet restreignaient fortement le locataire SNCF. »
De plus, l’équipe du projet a pu recevoir des retours d’utilisateurs indiquant qu’ils ne détenaient pas certaines actions, ce qui a permis de transférer les droits à la bonne personne. Actuellement, 34 265 propriétaires d’espaces SharePoint et Teams ont été re-certifiés et 55 000 espaces SharePoint ont été supprimés.
Les campagnes périodiques entièrement automatisées seront reprogrammées au fur et à mesure que le certificat sera étendu à OneDrive pour 45 000 utilisateurs, et seront ensuite étendus à Exchange, OneDrive et SharePoint pour les 170 000 utilisateurs SNCF du locataire Microsoft 365.
Texte basé sur la présentation d’Antoine Ancel, Directeur des Opérations Cybersécurité SNCF, lors des Assises de la Sécurité 2021.
French 
Italian 
Commentaires
Laisser un commentaire