La fanfare Microsoft Office 365, trompettes et pipeau – la partie trompettes
Bref, se dire que jamais, ô grand jamais, on n’envisagera ne serait-ce que l’ombre de la possibilité de migrer vers la solution Cloud de Microsoft – le bien nommé Office 365, O365 pour les intimes –, c’est très clairement se cacher derrière un bit de poids faible. Si Microsoft nie officiellement l’abandon de la version On Premise du Pack – qui représente trop de pépettes pour le moment –, en off, il est clair que c’est ce vers quoi l’on se dirige, à grands pas. Tous les modèles économiques dans de nombreux secteurs tendent à transformer le client-acheteur en client-abonné, CQFD. Et le rouleau compresseur de Billou arrive, précédé par la fanfare marketing, avec tambours, trompettes et pipeau.
Côté trompettes et tambours, la prise en compte de la sécurité opérationnelle, un modèle du genre. Microsoft renvoie d’ailleurs sur son site à une excellente étude du CIS [1], dont la lecture même en diagonale est un incontournable de la veille techno. Le document est structuré en sept parties :
- la gestion des comptes et de l’authentification ;
- la gestion des permissions ;
- la gestion des données ;
- la gestion de la messagerie ;
- les audits ;
- le stockage ;
- la gestion des mobiles.
Chaque partie rassemble un certain nombre de spécifications qui sont réparties en deux groupes : le niveau L1 (le minimum à faire), et le niveau L2 (l’idéal). Personnellement, j’aurais bien vu trois niveaux plutôt que deux : là, clairement, soit on se contente du minimum, soit on fait tout, il n’y a pas de demi-mesure.
Entrer dans le détail fait mal tout de suite. Sur la partie de gestion des comptes, le niveau L1 estime que, de base, les admin (la liste précise des rôles est fournie) disposent tous d’un moyen de connexion à deux facteurs (2FA, authentification forte) et, au niveau L2, tous les utilisateurs sont en mode 2FA. Gloups ! Le document CIS donne même les commandes ou les menus qui permettent de vérifier et/ou d’appliquer ce principe, génial. Pour le L2, le CIS ne précise pas en revanche si l’appariement (enrôlement) de terminal tient lieu de second facteur à ses yeux. Le reste du document est du même genre : très bien décrit, documenté, etc.
Sans analyser en profondeur les mesures, certains éléments de l’étude étonnent. Par exemple, dans la gestion des permissions, rien ne relève du niveau L1. Et certaines dispositions du niveau L2 vont être complexes à tenir dans le temps : bloquer le partage des calendriers notamment, alors que c’est une demande forte de plusieurs catégories de personnels en relation constante avec l’extérieur. Dans la gestion des données, pour ce qui concerne l’activation dès le niveau L1 de la DLP (Data Loss Prevention), va y avoir du taf M’sieurs Dames. Bon, évidemment, certaines mesures sont des grands classiques : pas de reforwardingautomatique de mails vers l’extérieur, antiphishingde base, activation des audits de connexion AD Azure pour pister les tentatives de connexion rogue, gestion de la politique d’accès des mobiles, etc.
Clairement, le métier de responsable de parc va évoluer. Si la partie ennuyeuse de déploiement et de migration d’Office va disparaître, le pilotage du niveau de sécurité va nécessiter des ressources et des compétences d’un autre niveau. Deloitte l’a d’ailleurs appris à ses dépens : à force de conseiller les entreprises sur leur niveau de sécurité SI, ils ont juste oublié de vérifier le leur, et des accès admin (à authentification faible) se sont fait chiper, entraînant la fuite de mails clients (pas du tout sensibles bien entendu, ce n’est pas comme si Deloitte était commissaire aux comptes) pendant des mois.
Les DSI ont intérêt à anticiper ce changement de métier, qui est tout à fait comparable à la disparition de celui de pupitreur : certains passaient une partie de leur journée à changer des bandes magnétiques dans les lecteurs d’une salle informatique jusqu’à l’arrivée de la sauvegarde centralisée sur disque dur. Le métier va devenir transversal, avec de bonnes connaissances dans les sept parties susnommées et surtout une bonne culture de l’audit – et ça, ce n’est pas gagné d’avance.
À suivre…
Avez-vous apprécié ce contenu ?
A lire également.
Comment obtenir l’unanimité sur le choix d’un DPI commun, l’exemple du GHT du Var
31 mars 2026 - 08:42,
Actualité
- Pierre Derrouch, DSIHAu GHT du Var, la convergence des systèmes d’information franchit une nouvelle étape, avec l’officialisation fin janvier 2026 d’un DPI commun pour ses sept établissements. C’est la fin du support d’un DPI utilisé en psychiatrie qui a constitué le déclencheur. La contrainte technique a été transformé...
Speech Processing Solutions dévoile Philips SpeechLive Health, un nouvel assistant IA conçu pour la documentation clinique moderne
25 mars 2026 - 14:46,
Communiqué
- Speech Processing SolutionsSpeech Processing Solutions, leader mondial des solutions professionnelles de dictée et de traitement de la parole commercialisées sous la marque Philips, annonce le lancement de Philips SpeechLive Health, un assistant de documentation clinique basé sur l’IA conçu pour les professionnels de santé. C...
Dedalus et Inovie renouvellent leur partenariat pour le déploiement à grande échelle de la suite InVitro
25 mars 2026 - 08:24,
Communiqué
- DedalusDedalus, acteur majeur de la numérisation des laboratoires de biologie médicale, et INOVIE, acteur majeur du diagnostic médical en France, annoncent la signature d’un partenariat stratégique d’une durée de cinq ans, portant sur le déploiement de la suite Dedalus InVitro en mode SaaS.
Piloter la performance par la Data : l’Anap lance une offre globale
09 mars 2026 - 19:08,
Communiqué
- l’AnapFace aux enjeux de performance et de soutenabilité financière, la donnée est une ressource clé pour renforcer le pilotage des établissements. Lors d’une webconférence avec près de 850 participants, l’Anap a présenté « Votre Cockpit DATA » une plateforme gratuite qui permet aux établissements de retr...
