Publicité en cours de chargement...

Publicité en cours de chargement...

La fanfare Microsoft Office 365, trompettes et pipeau – la partie trompettes

26 mars 2019 - 09:57,
Tribune - Cédric Cartau
La gestion du pack Office en mode « On Premise » (en local sur vos PC, votre réseau, vos infrastructures), c’est l’horreur, c’est pire que l’horreur. Il faut déployer des logiciels sur des PC, parfois sur des sites distants avec des liens bas débit (quoique ce procédé ait tendance à disparaître), gérer les problèmes d’installation, les erreurs, les migrations, etc. Sans parler du fait que l’on n’est jamais à jour : que celui qui suit à la virgule les montées de version Microsoft sur tout son parc, et pour tous les modules (y a pas que Word et Excel !), lève la main, en particulier dans le monde de la santé. Il n’est pas rare de trouver des versions Office antédiluviennes, voire toutes les versions qui cohabitent sur un même parc (authentique).

Bref, se dire que jamais, ô grand jamais, on n’envisagera ne serait-ce que l’ombre de la possibilité de migrer vers la solution Cloud de Microsoft – le bien nommé Office 365, O365 pour les intimes –, c’est très clairement se cacher derrière un bit de poids faible. Si Microsoft nie officiellement l’abandon de la version On Premise du Pack – qui représente trop de pépettes pour le moment –, en off, il est clair que c’est ce vers quoi l’on se dirige, à grands pas. Tous les modèles économiques dans de nombreux secteurs tendent à transformer le client-acheteur en client-abonné, CQFD. Et le rouleau compresseur de Billou arrive, précédé par la fanfare marketing, avec tambours, trompettes et pipeau. 

Côté trompettes et tambours, la prise en compte de la sécurité opérationnelle, un modèle du genre. Microsoft renvoie d’ailleurs sur son site à une excellente étude du CIS [1], dont la lecture même en diagonale est un incontournable de la veille techno. Le document est structuré en sept parties :

  • la gestion des comptes et de l’authentification ;
  • la gestion des permissions ;
  • la gestion des données ;
  • la gestion de la messagerie ;
  • les audits ;
  • le stockage ;
  • la gestion des mobiles.

Chaque partie rassemble un certain nombre de spécifications qui sont réparties en deux groupes : le niveau L1 (le minimum à faire), et le niveau L2 (l’idéal). Personnellement, j’aurais bien vu trois niveaux plutôt que deux : là, clairement, soit on se contente du minimum, soit on fait tout, il n’y a pas de demi-mesure.

Entrer dans le détail fait mal tout de suite. Sur la partie de gestion des comptes, le niveau L1 estime que, de base, les admin (la liste précise des rôles est fournie) disposent tous d’un moyen de connexion à deux facteurs (2FA, authentification forte) et, au niveau L2, tous les utilisateurs sont en mode 2FA. Gloups ! Le document CIS donne même les commandes ou les menus qui permettent de vérifier et/ou d’appliquer ce principe, génial. Pour le L2, le CIS ne précise pas en revanche si l’appariement (enrôlement) de terminal tient lieu de second facteur à ses yeux. Le reste du document est du même genre : très bien décrit, documenté, etc.

Sans analyser en profondeur les mesures, certains éléments de l’étude étonnent. Par exemple, dans la gestion des permissions, rien ne relève du niveau L1. Et certaines dispositions du niveau L2 vont être complexes à tenir dans le temps : bloquer le partage des calendriers notamment, alors que c’est une demande forte de plusieurs catégories de personnels en relation constante avec l’extérieur. Dans la gestion des données, pour ce qui concerne l’activation dès le niveau L1 de la DLP (Data Loss Prevention), va y avoir du taf M’sieurs Dames. Bon, évidemment, certaines mesures sont des grands classiques : pas de reforwardingautomatique de mails vers l’extérieur, antiphishingde base, activation des audits de connexion AD Azure pour pister les tentatives de connexion rogue, gestion de la politique d’accès des mobiles, etc. 

Clairement, le métier de responsable de parc va évoluer. Si la partie ennuyeuse de déploiement et de migration d’Office va disparaître, le pilotage du niveau de sécurité va nécessiter des ressources et des compétences d’un autre niveau. Deloitte l’a d’ailleurs appris à ses dépens : à force de conseiller les entreprises sur leur niveau de sécurité SI, ils ont juste oublié de vérifier le leur, et des accès admin (à authentification faible) se sont fait chiper, entraînant la fuite de mails clients (pas du tout sensibles bien entendu, ce n’est pas comme si Deloitte était commissaire aux comptes) pendant des mois. 

Les DSI ont intérêt à anticiper ce changement de métier, qui est tout à fait comparable à la disparition de celui de pupitreur : certains passaient une partie de leur journée à changer des bandes magnétiques dans les lecteurs d’une salle informatique jusqu’à l’arrivée de la sauvegarde centralisée sur disque dur. Le métier va devenir transversal, avec de bonnes connaissances dans les sept parties susnommées et surtout une bonne culture de l’audit – et ça, ce n’est pas gagné d’avance.

À suivre…


[1] https://www.cisecurity.org/benchmark/microsoft_office/

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Dedalus France : une nouvelle étape dans la trajectoire de transformation

Dedalus France : une nouvelle étape dans la trajectoire de transformation

24 juin 2025 - 07:50,

Actualité

- DSIH

Dedalus France annonce le départ de Frédéric Vaillant, Directeur Général Délégué, au 30 juin 2025, après plus de 25 ans d’engagement. Fondateur de Medasys, acteur central des grandes étapes de structuration de l’entreprise, il a contribué à façonner Dedalus France comme acteur majeur du numérique en...

Illustration HLTH 2025, un Salon sous le signe de l’innovation distribuée

HLTH 2025, un Salon sous le signe de l’innovation distribuée

23 juin 2025 - 21:18,

Actualité

- DSIH, Mehdi Lebranchu

HLTH Europe 2025, qui s’est tenu cette année à Amsterdam, a offert un panorama dense et incarné de l’écosystème européen de la santé numérique. Le Salon a rassemblé géants technologiques, institutions publiques, start-up prometteuses et hôpitaux à la recherche de nouveaux modèles de collaboration. U...

Illustration Cour de cassation versus RGPD : 2-0. Et ce n’est pas une bonne nouvelle !

Cour de cassation versus RGPD : 2-0. Et ce n’est pas une bonne nouvelle !

23 juin 2025 - 18:14,

Tribune

-
Cédric Cartau

Ça fait deux fois.

Illustration Approche hétérodoxe du concept de risque résiduel

Approche hétérodoxe du concept de risque résiduel

02 juin 2025 - 22:42,

Tribune

-
Cédric Cartau

Vous voulez être le bon élève de l’auditeur 27001 qui vient constater, de visu, comment vous mettez en œuvre un SMSI. Le bon élève, avec les félicitations, le bisou sur le front et le petit papier qui va bien.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.