Microsoft 365 est-il vraiment sécurisé ?
Culture tech.
Tour d’horizon des avantages et des inconvénients de cette suite bureautique prisée des entreprises
Connu auparavant sous le nom d’“Office 365”, cet outil de productivité, est disponible sous abonnement annuel. Il permet un accès en ligne et hors ligne à toute la gamme de logiciels de bureautique, de communication et d’organisation, sous un seul nouveau nom “Microsoft 365”. Ce dernier laisse cependant la porte ouverte à de nombreux questionnements sur la sécurité et la souveraineté des données.
La version « 365 » de Microsoft
Microsoft 365 désigne un abonnement à la dernière version de Microsoft Office et à un ensemble de services Cloud (à distance, en ligne). Il est constitué de la suite Office (Word, Excel, PowerPoint, Outlook, OneNote, Publisher, Access), ainsi que d’un ensemble de services en ligne tels que le stockage OneDrive, la messagerie de groupes Exchange Online, les portails SharePoint Online, la visioconférence Teams ou encore le blogging Yammer.
Avantages et risques de Microsoft 365
Un outil de productivité, adapté aux usages du télétravail
Les principaux usages de ces services en mode cloud sont :
- de pouvoir utiliser tous les logiciels bureautiques même hors ligne ;
- de pouvoir accéder de partout à la dernière version d’un document (ainsi qu’à l’historique des modifications successives) ;
- de pouvoir travailler facilement en mode collaboratif ;
- de pouvoir gérer de manière centralisée un grand nombre d’utilisateurs, avec une distribution des autorisations d’administration maîtrisée.
Microsoft 365 est ainsi un atout, pour suivre l’évolution des usages du travail, notamment dans le cadre du travail nomade ou à domicile.
Le risque de fuite dans les échanges avec le cloud Microsoft
Microsoft insiste sur la sécurité « absolue » de ses serveurs : en effet, le stockage est censé être sécurisé contre tout risque de sinistre (incendie, inondation, crash des serveurs…) et tout risque de fuite de données.
Les données sont bien chiffrées en TLS (chiffrement de canal), mais le risque de fuite et d’exposition de données, suite à une attaque simple ou très sophistiquée de cyberespionnage ou de piratage reste possible – et parfois facile – entre vous et les serveurs de Microsoft.
Par ailleurs, sur ses serveurs, seul Microsoft détient vos clés (la clé de chiffrement et de déchiffrement). Cela signifie qu’il pourrait :
● lire toutes vos données (y compris des informations techniques et commerciales sensibles) ;
● les transmettre aux administrations américaines (leur législation l’autorise, Patriot Act, Cloud Act) ;
● révoquer votre accès quand il le souhaite.
La sécurité des données repose non pas sur Microsoft, mais sur le client. D’où la nécessité de mettre en place des solutions de protection tant au niveau du transfert que de la donnée en elle-même.
Autre inconvénient ?
L’administrateur des données informatiques de votre entreprise a également accès à toutes vos données.
Chiffrer ses données pour utiliser Microsoft 365
Pour être serein et rester maître de vos données si vous êtes un utilisateur de Microsoft 365, il est nécessaire de chiffrer vos données dans le cloud : vous serez les seuls à pouvoir y accéder, pouvoir les comprendre et les utiliser : c’est ce qu’on appelle le droit d’en connaître.
Il faut également privilégier une solution de chiffrement de bout-en-bout.
Pour cela, trois prérequis :
- conserver les clés en local .
- créer une clé d’entreprise (le recouvrement) ;
- mettre en place des mots de passe complexes.
Microsoft 365 est devenu un outil du quotidien cependant les entreprises oublient trop souvent les lacunes au niveau sécurité du cloud. Comme nous l’avons vu, la protection des données chez Microsoft est très limitée.
L’entreprise cliente doit donc prendre conscience de la nécessité (l’obligation ?) de protéger les données qu’elle stocke ou partage dans ce cloud.
