Pourquoi les audits natifs d’Office 365 et d’Azure AD ne suffisent-ils pas ?

Le rapport Netwrix 2018 sur la sécurité dans le Cloud montre que la technologie Cloud retient l’attention de plus en plus d’entreprises. 42 % des personnes interrogées sont prêtes à adopter plus largement le Cloud et la moitié d’entre elles prévoit dans un avenir proche d’y stocker plus d’informations concernant leurs clients, leurs employés et leurs finances. Pour de nombreuses entreprises, cela implique d’adopter Office 365 et Azure AD. Selon Microsoft, il y a 120 millions d’utilisateurs actifs d’Office 365, et cinq millions d’entreprises du monde entier utilisent Azure AD pour gérer leurs infrastructures.

L’un des avantages du Cloud est qu’il facilite considérablement le partage de contenus. Mais cela constitue également un inconvénient – le sondage Netwrix révèle que le risque d’accès non autorisé figure au premier rang des préoccupations en matière de sécurité dans le Cloud, avec 69 % des personnes interrogées l’ayant mentionné. Comment Microsoft aide-t-elle les entreprises à sécuriser leurs déploiements d’Office 365 et d’Azure AD, et quelles sont les limites de leurs outils natifs ?

Qu’a fait Microsoft pour améliorer la sécurité d’Office 365 et d’Azure AD ?

Microsoft a fait beaucoup pour aider les entreprises relativement à la sécurité dans le Cloud. Elle a lancé le Centre de sécurité et conformité Office 365 pour permettre aux utilisateurs de mieux gérer l’accès aux données. Elle propose des rapports pertinents, notamment sur les ouvertures de session à risque, les événements à risque et les utilisateurs à risque. Ces rapports mettent en lumière les utilisateurs qui ont été signalés comme présentant des risques, et détaillent leurs activités. L’entreprise propose également Secure Score, un outil d’évaluation des risques qui vous conseille sur les mesures à prendre pour améliorer votre sécurité dans le Cloud. Dans Azure AD, Microsoft applique des politiques d’accès conditionnel, et l’authentification multifactorielle sera bientôt l’option par défaut pour tous les administrateurs d’Azure.

Pourquoi les mesures de sécurité par défaut sont-elles encore insuffisantes ?

Malgré ces avancées en matière de sécurité, trois problèmes significatifs font que de nombreuses entreprises hésitent à se fier uniquement aux fonctionnalités d’audit de sécurité intégrées à Office 365 et Azure AD.

Problème n° 1 : la courte période de rétention des journaux

De nombreuses normes de conformité imposent aux entreprises de stocker leurs journaux d’audit beaucoup plus longtemps que Microsoft ne le permet – 90 jours maximum pour Office 365 et 30 jours pour Azure AD. PCI DSS exige par exemple que les entreprises conservent les journaux pendant un an, et HIPAA pendant six ans. Le RGPD ne précise pas de durée de rétention particulière, mais exige que les entreprises soient en mesure d’enquêter sur une atteinte à la protection des données à tout moment. L’étude du Ponemon Institute de 2017, Cost of a Data Breach Study, a permis de constater qu’il fallait en moyenne 206 jours pour détecter une violation de données.

De toute évidence, les courtes durées de conservation des journaux de Microsoft sont insuffisantes pour les entreprises qui doivent présenter des preuves de conformité ou enquêter sur la plupart des incidents de sécurité, sauf si elles sauvegardent périodiquement les données des journaux manuellement avant leur écrasement – un processus fastidieux et sujet aux erreurs. Pour cette raison, de nombreuses entreprises recherchent des solutions d’audit tierces qui permettent une collecte fiable et automatisée des journaux et un stockage à long terme économique.

Problème n° 2 : les environnements hybrides ne sont pas pris en charge

Même si Gartner prévoit que le marché du Cloud public connaîtra une croissance de plus de 160 % d’ici à 2021, les déploiements sur site vont se poursuivre un certain temps encore. Le cabinet d’analystes estime que 72 % des entreprises adoptent une approche hybride en 2018, un chiffre qui n’a pas beaucoup évolué par rapport aux années précédentes et qui ne devrait pas changer dans un proche avenir. Alors que les entreprises migrent progressivement vers le Cloud, elles ont besoin d’un moyen d’assurer la sécurité de leurs infrastructures sur site et dans le Cloud.

Microsoft propose divers rapports qui facilitent la gouvernance de l’accès aux données et l’évaluation des risques dans le Cloud, mais il est long et difficile d’intégrer ces rapports aux données issues des rapports sur site et à d’autres sources dans différents formats. Pour détecter les menaces actives et enquêter rapidement sur les incidents, les professionnels de la sécurité ont besoin d’une analyse complète de l’ensemble de l’infrastructure informatique. C’est pourquoi de nombreuses entreprises recherchent des solutions tierces qui fournissent un point d’accès unique à toutes les données d’audit, sur tous les systèmes, et qui présentent les données de manière unifiée.

Problème n° 3 : manque d’ergonomie

Bien que Microsoft mette à jour et améliore constamment Office 365 et Azure AD, certains problèmes critiques d’ergonomie n’ont toujours pas été résolus. Notamment, les fonctionnalités de filtrage des rapports d’audit sont insuffisantes, et il n’est pas possible de trier les rapports dans un ordre autre que chronologique. Ni Office 365 ni Azure AD ne fournissent de rapports de conformité prédéfinis ; les utilisateurs doivent exporter les données d’audit au format CSV et compiler le rapport d’audit manuellement dans Excel – une tâche rébarbative dont se passeraient bien les entreprises, qui paient déjà le prix fort pour obtenir d’autres fonctionnalités. En conséquence, les entreprises se mettent à la recherche d’une solution plus souple et plus facile à utiliser.

Les fonctions d’audit natives d’Office 365 et d’Azure AD répondent à certains besoins élémentaires, elles permettent de gérer l’accès aux données et garantissent que le partage des contenus respecte les politiques de sécurité. Cependant, elles ne sont pas assez fonctionnelles pour satisfaire les règlements et normes sectoriels et prouver la conformité. Les courtes durées de rétention des journaux, le manque de prise en charge des environnements hybrides et les problèmes d’ergonomie poussent les entreprises à rechercher des solutions tierces qui leur permettent de rationaliser leurs efforts de sécurité et de conformité.