Quid de la sécurité et de la gestion des données dans les solutions Microsoft ?

 

La sécurité et la gestion des données est un enjeu majeur, encore plus aujourd’hui vu la quantité de données stockées, échangées, exploitées… Et cette sécurité n’est pas l’apanage de l’informaticien censé sécuriser l’accès à son système d’information.

Les solutions SaaS telles que Dynamics CRM et Office 365 modifient en profondeur l’accès aux fonctionnalités du SI mais entraînent de nouveaux usages (qui par extension entraînent l’apparition de nouveaux risques).

Cet article a pour objectif de vous décrire les choix et méthodes de Microsoft pour garantir à ses clients la sécurité dont ils ont besoin. Nous aborderons également le pan sécurité / gestion des données sur l’axe fonctionnel, car la technique ne fait pas tout, loin de là.

 

Introduction

 

Un peu de définition… La sécurité est l’ensemble des mesures préventives et curatives qu’une société met en place afin de se prémunir contre la perte (ou le vol) de données, le piratage, la modification ou le détournement de son système d’information (SI).

Ces mesures ne sont pas limitées à la technologie : elles comprennent également les règles et moyens organisationnels, juridiques, humains…

La gestion des données est un des processus de l’entreprise censé valoriser les données en tant que ressource à part entière.

La donnée possède un degrés d’importance, de confidentialité, une valeur patrimoniale au sein de la société (voir même une valeur monétaire dans certains cas). Cette gestion des données est fortement liée à la réglementation (ex. l’apparition du RGPD, ou Règlement Général sur la Protection des Données).

 

La sécurité : vision technique

 

La sécurité technique des plateformes Office 365 et Dynamics 365 CRM est fortement liée aux conditions de sécurités du cloud Microsoft Azure, plateforme qui, entre-autre, héberge les solutions SaaS de l’éditeur.

Voici un exemple des sujets majeurs concernés par cette sécurité technologique :

• Gérer l’accès aux solutions facilement et de manière centralisée
• Sécuriser la donnée, qu’elle soit en transit (mobilité) ou au repos
• Anticiper les menaces, être en mesure d’assurer une redirection des flux du réseau pour pallier une attaque (comme les DDOS) et assurer la continuité de service

 

L’accès aux services SaaS de Microsoft s’appuie sur l’environnement Cloud Azure.

A ce titre, la plateforme implémente les dernières normes concernant la gestion des données et la mise en sécurité. Elle est également compatible avec la réglementation RGPD.

Les utilisateurs du service disposent d’un login et mot de passe fort leur garantissant un accès sécurisé, contrôlé et mesuré à la plateforme depuis tout type de matériel. Cet accès est garanti contractuellement par Microsoft.

Les administrateurs de la plateforme peuvent mettre en place des stratégies de sécurité permettant de répondre à l’ensemble de leurs besoins : réplication d’annuaire local, chiffrement des données, stratégie de mot de passe, double authentification, …

Le centre de sécurité et de conformité leur permet une parfaite gestion des alertes de sécurité, protection des données personnelles et gestion des menaces potentielles.

 

Sécuriser le stockage et le transfert des données est un enjeu majeur et doit répondre aux réglementations imposées par les Etats.

Sur ce point, la partie technique n’est pas seule concernée.

 

La sécurité : vision fonctionnelle

 

La technologie ne fait pas tout. Au sein des entreprises, la sécurité des données sensibles, courriers, documents… passe également par la mise en place de solutions et procédures visant à organiser, classifier, étiqueter ces données sensibles.

Les nouveaux usages, que ce soit le développement de la mobilité ou la mise en place d’environnement de travail 2.0 axé sur le collaboratif, entraîne l’apparition de nouveaux risques à prendre en compte.

Nécessairement, la gestion de ces points est complexe et doit être la plus centralisée possible.

En cela, le modèle de sécurité et de gestion des données dans Dynamics 365 CRM est hautement administrable et fournit aux responsables des SI la possibilité d’affiner précisément la logique sécuritaire de l’application.

Voici quelques exemples des outils à disposition visant à protéger et suivre les données d’une entreprise au sein de la solution :

• Le découpage structurant de l’entreprise
  • Le CRM de Microsoft permet d’architecturer la société par profil fonctionnel, par niveau hiérarchique ou encore par équipe (équipe métier, équipe transverse…). Les divisions et sous-divisions d’utilisateurs viennent ajouter des niveaux plus fin de gestion (ex. Division « Marketing »).

 

• La sécurité basée sur les rôles
  • Les utilisateurs sont affectés à un ou plusieurs rôles utilisateur. Ces rôles, souvent liés à une fonction au sein de l’entreprise, permettent à un administrateur de régler précisément les droits et limites des utilisateurs associés (ex. « Rôle commercial itinérant »).

 

• La sécurité basée sur les enregistrements
  • Chaque enregistrement dans le CRM peut avoir un « propriétaire », l’utilisateur qui par exemple a créé l’enregistrement en devient le référent
  • Selon les rôles, cet enregistrement nouvellement créé peut seul lui appartenir (il est seul à pouvoir le voir et le modifier), ou son équipe peut le voir sans pouvoir le modifier, son responsable hiérarchique est en mesure de le modifier mais pas ses collaborateurs directs…
  • Tous les scenarios sont possibles

 

• La sécurité au niveau des champs
  • Certaines données sont plus sensibles que d’autres (ex. un N° de carte vitale, un budget client pour une opportunité commerciale…) et ne doivent être accessibles qu’à certains utilisateurs ou certaines équipes
  • Le CRM de Microsoft permet donc de gérer au champ par champ la visibilité de certaines données

 

Combinées entre-elles, ces solutions permettent de définir de manière globale les droits dont les utilisateurs disposent, par profil fonctionnel, par niveau hiérarchique et par contexte métier.

Evidemment, de nombreux accélérateurs permettent de mettre en place cette sécurité à l’aide de simples paramétrages. L’important ici est de bien penser son architecture des droits, d’où l’intervention d’intégrateurs experts sur ces sujets.

 

Gestion des données

 

Impossible de parler gestion et sécurité des données sans évoquer la règlementation, comme le RGPD. La solution CRM de Microsoft (et par extension les solutions Microsoft) permet de suivre et de tracer l’accès aux données, garantissant les contrôles et la confidentialité nécessaire au respect des normes et réglementation en vigueur.

Le RGPD repose sur 4 fondements :

• La Découverte(identifier et localiser les données personnelles et sensibles collectées)
• La Gestion (centraliser le traitement de la données, mettre en place sa catégorisation et les d’utilisation attendus)
• La Protection (obligation de diligence raisonnable, suivis et historisation des requêtes d’accès aux données)
• Le Rapport (fournir une capacité centralisée d’auditer l’accès aux données et aux solutions, mettre à disposition des rapports clairs et exploitables)

Concernant Microsoft Dynamics CRM, la partie vision fonctionnelle de cet article donne déjà une bonne explication des méthodes fournies aux administrateurs pour protéger la données.

Sur le plan de la traçabilité, Microsoft met à disposition un système d’audit très complet :

• L’audit d’accès
  • Il permet de suivre précisément qui accède à quoi, à partir de quel appareil et pour faire quoi
  • Cet audit est là pour tracer l’usage des solutions par les utilisateurs

 

• L’audit d’usage
  • Cet audit permet la traçabilité de chaque enregistrement de la solution CRM. Chaque création, modification, suppression (mais également l’export de données, la modification du paramétrage…) toute action dans le CRM peut être tracée.

 

Cette traçabilité peut faire controverse, mais elle répond aux besoins des entreprises de sécuriser leurs données et aux questions que peuvent générer les réglementations imposées par les états, telles que :

• Quel utilisateur accédait au système à ce moment-là ?
• Quelle était la valeur de ce champ avant sa mise à jour ?
• Qui a saisi / supprimé cette donnée ?Quand ces données ont-elles étaient exportées sous format Excel ?
• Etc. …

 

Conclusion

 

A court terme, assurer la sécurité de son SI revient à fournir aux utilisateurs (internes et externes) l’accès aux informations et outils nécessaires à leur quotidien.

A moyen terme, l’objectif est de garder une cohérence au sein de son SI.

Enfin, à long terme, garantir la sécurité de son SI est un enjeu fort pour maintenir la confiance des utilisateurs et des clients.

Les solutions Microsoft telles qu’Office 365 ou encore Dynamics CRM sont bâties pour aborder ces sujets avec du simple paramétrage. Répondant aux normes d’exigences des états, Microsoft est « GDPR compliant ».

Focus « local » : en France, Microsoft investit beaucoup. L’éditeur a par exemple déployé ses propres Datacenter afin d’héberger ses applications Office 365, Azure, ou encore Dynamics CRM sur le territoire.

Il est également devenu en 2018 le 1^er acteur majeur du Cloud public à être certifié hébergeur de données de santé. !

 

Si vous souhaitez en savoir plus, voir une démonstration ou échanger sur un besoin spécifique, contactez-nous !