La sécurité sous Office 365

De plus en plus d’organisations font appels aux solutions  de Microsoft ou de Google pour héberger leur messagerie et autres données d’entreprises.

Quand on opte pour une solution cloud, on pense souvent que celle-ci est déjà optimisée et qu’il n’y a plus qu’à l’utiliser en l’état.

Ce n’est malheureusement pas le cas : souvent l’expérience utilisateur, et l’expérience « administrateur » manquent encore cruellement de maturité. Les éditeurs développent une multitude de fonctionnalités plus ou moins accessibles et compréhensibles (parfois incompatibles entres elles) sans véritablement créer de « liant » et de cohérence d’ensemble.

On pourrait par exemple imaginer des assistants de paramétrage qui permettraient d’établir une configuration globale appropriée en posant des questions intelligibles… à la place il faut passer des heures à lire les bases de connaissances (KB), les forums, à chercher telle ou telle option dans un sous sous menu, quand il ne fait pas carrément développer un script sous PowerShell !

Bref, que peut-on conseiller (d’assez simple) pour améliorer la sécurité par défaut d’Office 365 ?

  1. Vérifier que le mode « mots de passes complexes » est bien activé
  2. Paramétrer l’expiration automatique des mots de passes tous les 30 à 60 jours maximum
  3. Activer l’authentification forte (authentification multifacteur). Si vous voulez un maximum de sécurité et que vous gérez votre propre flotte de terminaux mobiles n’autorisez que l’application Authenticator qui vous assurera une triple authentification pour les accès distants)
  4. Activez les logs. Il faut savoir que par défaut Microsoft prétend ne conserver AUCUN log concernant l’accès à vos boîtes mail…
  5. Sauf cas particulier, désactiver l’autorisation de partage aux personnes extérieures à votre organisation

Évidement si vous exploitez votre propre Active Directory ou instance Azure les points 1 et 2 sont à gérer au sein même de votre stratégie globale de gestion des comptes utilisateurs.

Et quelques règles plus génériques :

  1. N’envoyez pas de mot de passe par e-mail
  2. Ne stockez pas de mot de passe important dans un fichier non chiffré
  3. Au moindre doute faire un reset de mot de passe

Aliecom peut vous aider à sécuriser votre messagerie Office 365 : audit et analyse de risques, définition et mise en œuvre de la stratégie de sécurité, mise en œuvre de la stratégie de gestion des mots de passes et de l’authentification forte, gestion de la conformité de votre flotte de terminaux mobiles, extension du plan à l’ensemble de vos applications cloud…