Série Office 365 contre le Shadow-IT | EP 4 "Le centre sécurité et conformité contre le Shadow-
Après avoir présenté "MS Teams Vs. le Shadow-IT externe" (EP 2) et "SharePoint Vs. le Shadow-IT interne" (EP 3), le dernier épisode de la série Office 365 Vs. le Shadow-IT s'achève par le présentation de la place du centre de sécurité et conformité dans le dispositif Office 365.
Ou plutôt devrais-je écrire plutôt "Les centres sécurité et conformité" car, depuis le début de l'automne 2019, on peut accéder au centre sécurité et conformité par l'intermédiaire de deux "portes" : le lien "Centre de sécurité" et le lien "Centre de conformité".
C'est comme si cela a été fait pour attirer l'attention que le centre possédait deux grandes familles de fonctionnalité :
La gestion de la sécurité permettant de s'assurer contre la perte de données et la fuite de données,
La gestion de la conformité pour garantir la gestion du cycle de vie de l'information et la traçabilité de son traitement.
Le centre sécurité et conformité n'est accessible par défaut uniquement par l'administrateur général d'O365 ; fort heureusement, il existe de multiples rôles que l'administrateur général O365 peut utiliser pour déléguer cette gouvernance des contenus et des utilisateurs.
Cela tombe très bien car combattre le Shadow-IT n'est justement pas un problème qui regarde uniquement l'IT ! Comme vu dans les billets précédents, il n'y a pas d'autre choix que d'attaquer cette problématique avec les Métiers, les propriétaires des données (data owners), ce que sait un Data Risk Officer ou un Data Protection Officer.
Un outil pour le Data Risk Officer ou le Data Protection Officer
Comment le centre sécurité et conformité peut-il vous aider à lutter contre le Shadow-IT ?
Comme c'était déjà le cas avec un dispositif technique préexistant sur Exchange, le centre sécurité et conformité reprend la possibilité de mettre en place des règles de Data Loss Protection (DLP) pour empêcher la fuite de données sensibles. Si un email contient des informations au format texte ou un fichier joint considéré comme sensible, l'email peut être bloqué au moment de son envoi.
Le centre sécurité et conformité va plus loin car il reprend, en plus de ces fonctionnalités Exchange, des fonctionnalités SharePoint basées sur le moteur de recherche : ainsi, vous devez voir, en lui, une brique logicielle utilitaire basée sur les modèles de site SharePoint serveur de découverte électronique (e-discovery), le Centre de stratégie des conformités et le Centre de conservation inaltérable (In-Place Hold Policy Center).
Un mix de fonctionnalités issues d'Exchange et de SharePoint
Le centre sécurité et conformité possède des pages de paramétrage de règles qui vont permettre à l'organisation de veiller à lutter contre la fuite de données (confidentialité par DLP et encryption des données déclarées ou suspectées comme étant sensibles) et la perte de données (la rétention pour respecter les obligations de conservation et la destruction pour respecter les obligations de destruction).
Enfin, le centre sécurité et conformité répond aussi aux obligations de traçabilité du système. Reprenant les rapports d'audit SharePoint qui disparaissent au passage de l'administration de collections de sites SharePoint, le centre de sécurité utilise la puissance du moteur de recherche de SharePoint pour permettre la constitution, à la demande ou programmée, des rapports de recherche exportables sur les contenus et les activités utilisateurs.
Inclus dans votre plan Office 365 , les plans E3 et E5, comportent quant à eux des pages supplémentaires(1), présentant des fonctionnalités complémentaires souvent simplificatrices et facilitant ainsi l'adoption. Beaucoup d'énergie a ainsi été mis par Microsoft pour présenter un centre simplifié à l'extrême, prêt à recevoir vos informations sensibles et vos règles de rétention et/ou de suppression sur les contenus échangés ou stockés sur Office 365 mais pas seulement.
Le centre Sécurité et conformité peut traiter des données non seulement Exchange et SharePoint mais aussi OneDrive, Teams, Stream, ToDo en passant par les données pouvant transiter par PowerPlatform et aux données externes de type Yammer, Box, DropBox, Facebook, LinkedIn, Twitter, Yahoo Messenger, GoogleTalk, Cisco Jabber, Salesforce Chat, Bloomberg et Thomson Reuters !
Prêt 6 mois avant le 25 mai 2018, date limite accordée aux organisations pour se conformer au nouveau règlement européen R.G.P.D., le centre sécurité et conformité permet ainsi de répondre à l'obligation d'être en mesure de transmettre toutes les informations à caractère personnel qu'une organisation posséderait sur une personne physique, qu'elle soit cliente ou salariée.
Aller au-delà de la simple adaptation de la charte des usages informatiques de votre organisation, vous prémunir réellement contre les risques du Shadow-IT
Un de mes clients parlent du centre sécurité et conformité en ces termes : "c'est une pépite !", tant il y a de choses à dire et à faire avec le centre sécurité et conformité. Personnellement, j'en parle comme le "temple de la gestion de la donnée à risque".
On voit dans l'écran ci-dessous que la sensibilité des contenus peut être déclarée dès la création (site d'équipe Modern ci-dessous).
Je donne ainsi depuis plusieurs mois une formation spécifique d'une journée sur l'adoption de ce centre et je commence forcément cette formation par une aide à la qualification du risque : "votre organisation en a-t-elle besoin ? Quelle est l'information que mon organisation doit considérer et traiter comme confidentiel ou engageante ?".
J'ai évidemment intégré le centre Sécurité et conformité aux 200 pages de mon dernier livre dédié à la mise en place d'une gouvernance efficace pour adopter SharePoint et Teams (2).
L'idée est d'aller au-delà de la simple adaptation de la charte des usages informatiques de votre organisation et de se prémunir réellement contre les risques du Shadow-IT et les menaces qu'il constitue depuis de trop nombreuses années.
Une solution rendant le Cloud plus sûr que votre propre environnement Serveur
Le centre sécurité et conformité est, en quelques sortes, le cerveau d'un système qui va vous permettre de garantir plus de sécurité et de contrôle de la conformité que ce que vous pouviez espérer mettre en place dans votre environnement Exchange et SharePoint Serveur.
S'il vous prend l'envie de reproduire ce centre sécurité et conformité dans votre environnement Server, sachez qu'il a fallu des années à Microsoft pour l'élaborer et Microsoft fournit des pages de documentation pour vous y aider (3).
C'est peut être là que réside le plus grand paradoxe : le Cloud O365 est désormais plus armé pour lutter contre le Shadow-IT que votre environnement Serveur.
(3) Cf. la documentation officielle