Comment sécuriser vos données Microsoft 365 dans un contexte de télétravail ?

Vous utilisez Microsoft 365 (Office 365) ? Vous êtes concerné par le déploiement du télétravail ? Nous proposons dans cet article une solution qui permet de renforcer la sécurité tout en améliorant l’expérience utilisateur.

Parfaitement adapté à un télétravail massif et généralisé dans le contexte de la crise sanitaire (confinement), ce service augmente cependant l’exposition des données qui y sont hébergées en les rendant disponibles en permanence depuis n’importe quel point d’accès. Des risques cyber additionnels sont donc à couvrir par l’entreprise, avec notamment la mise en place de solutions pour renforcer le niveau de sécurité des accès distants.

Très complète, l’offre Microsoft 365 ne se limite pas à une suite bureautique disponible en ligne. Elle propose notamment une messagerie (Outlook), du stockage (OneDrive), de la capitalisation (SharePoint), une solution de travail collaboratif (Teams), de prise de note (OneNote), des outils d’analyse et de productivité (Planner, Power BI, Delve, Forms, etc.) et même un réseau social (Yammer). La messagerie reste un point névralgique parce qu’elle est utilisée dans de nombreux mécanismes de réinitialisation des mots de passe (entre autres).

Par défaut, Microsoft 365 est protégé par l’habituel couple « login/mot de passe » dont les faiblesses ne sont pourtant plus à démontrer. En plus des difficultés ergonomiques évidentes (politique de mot de passe complexe, fréquence de renouvellement, etc.) elle est particulièrement vulnérable aux attaques de phishing. Ces dernières auraient augmenté de 640% en 2019 selon une étude récente réalisée par OpenText (éditeur spécialisé dans la gestion des informations d’entreprise (EIM)).  Le contexte de télétravail actuel y expose d’autant plus les utilisateurs en intensifiant leur usage du numérique et les cybercriminels ne se privent pas d’exploiter la crise pour faire plus de victimes.

Pour pallier à ce besoin de renforcement du niveau de sécurité des accès distants, Microsoft 365 propose en standard (via Azure) un moyen d’authentification forte (MFA – Multi Factor Authentication), basé sur l’installation d’une application mobile : « Microsoft Authenticator ». Celle-ci possède, dès le premier niveau de licence, la souplesse nécessaire pour répondre à la très grande majorité des cas d’usage d’entreprise de connexion sécurisée à distance.

Focus sur 3 cas d’usage qui font échos aux idées reçues !

1/ Authentification forte ET Passwordless  : est-ce possible ?

Pour rappel l’authentification multi-facteur consiste à utiliser dans une seule cinématique de connexion au moins 2 facteurs de nature différente – exemple : « carte à puce + code PIN » ou encore « application mobile + mot de passe ».

Du point de vue utilisateur, le passwordless consiste au contraire à s’authentifier sans saisir de mot de passe.

« Microsoft Authenticator » permet de mettre en œuvre une authentification multi-facteur sans saisir de mot de passe. Voici la cinématique :

L’utilisateur s’est donc bien authentifié en utilisant un premier facteur, son téléphone pré-enrôlé et, un second facteur, son empreinte digitale (ou son code PIN s’il ne dispose pas de mécanisme compatible FIDO2). Nous sommes donc bien sur une authentification forte ET passwordless.

2 : Quid des utilisateurs sans smartphone professionnel ?

Microsoft Authenticator est une application mobile grand public disponible sur les principaux magasins d’applications Android et IOS. Elle peut facilement être installée sur un smartphone personnel et n’est pas intrusive. Si l’utilisateur le souhaite, il peut aussi installer une solution alternative d’authentification TOTP, telle que Google Authenticator par exemple.

Pour les utilisateurs ne souhaitant pas utiliser leur téléphone personnel, il existe des solutions complémentaires pour couvrir ces populations.

3 : Comment généraliser cette sécurité au-delà d’Office 365 ?

La solution de MFA et de Passwordless proposée par Microsoft peut être généralisée à d’autres d’applications que celles proposées par Microsoft 365.

1er cas de figure : L’application est connectée à Azure au travers de mécanisme de fédération d’identité.

Dans ce cas, les mêmes services de sécurité s’appliquent à cette application.

2ème cas de figure : L’application n’est pas raccordée ou compatible Azure.

Dans ce cas, les services de sécurité mis en place vont prendre en charge la génération d’un OTP qui permettra de maintenir une authentification forte.

Quel est le niveau de licence Microsoft 365 nécessaire pour profiter de cette fonctionnalité ?

Le service Microsoft Authenticator est inclus dans l’offre Azure AD free disponible avec l’ensemble des abonnements Office 365.

Pour aller plus loin et mettre en œuvre, par exemple, une authentification conditionnelle et adaptée l’authentification multi-facteur en fonction du niveau de risque, il faudra se tourner vers les offres complémentaires proposées par Microsoft.

En conclusion : Si vous votre entreprise utilise Microsoft 365, vous pouvez mettre en œuvre une solution gratuite pour renforcer l’authentification et améliorer l’expérience utilisateur (passwordless).

Le MFA « Microsoft Authenticator » est une solution facilement déployable qui ne nécessite pas la distribution systématique de matériel supplémentaire (ex : un second facteur physique).

Une fois cette première étape de sécurisation des accès Microsoft 365 réalisée, il est possible d’aller plus loin en généralisant le renforcement de l’authentification à l’ensemble des ressources de votre entreprise.

La mise en œuvre rapide de ce service pour sécuriser les accès distants repose sur 2 facteurs clefs de succès :

1. Faire les bons choix de paramétrage en regard des différents cas d’usage ;

2. Bien structurer le déploiement et accompagner la conduite du changement.

Source : https://www.harmonie-technologie.com/teletravail-access-distant-securite-office-365

Harmonie Technologie a packagé une offre de service pour mettre en œuvre cette solution avec une approche quick win, en moins d’1 mois et sans surcoût de licence. Sur un modèle similaire, nous sommes aussi en capacité de traiter rapidement la sécurisation des accès distants sur d’autres services hébergés dans le Cloud. Contactez-nous.