Publicité en cours de chargement...
La fanfare Microsoft Office 365, trompettes et pipeau – la partie trompettes
Bref, se dire que jamais, ô grand jamais, on n’envisagera ne serait-ce que l’ombre de la possibilité de migrer vers la solution Cloud de Microsoft – le bien nommé Office 365, O365 pour les intimes –, c’est très clairement se cacher derrière un bit de poids faible. Si Microsoft nie officiellement l’abandon de la version On Premise du Pack – qui représente trop de pépettes pour le moment –, en off, il est clair que c’est ce vers quoi l’on se dirige, à grands pas. Tous les modèles économiques dans de nombreux secteurs tendent à transformer le client-acheteur en client-abonné, CQFD. Et le rouleau compresseur de Billou arrive, précédé par la fanfare marketing, avec tambours, trompettes et pipeau.
Côté trompettes et tambours, la prise en compte de la sécurité opérationnelle, un modèle du genre. Microsoft renvoie d’ailleurs sur son site à une excellente étude du CIS [1], dont la lecture même en diagonale est un incontournable de la veille techno. Le document est structuré en sept parties :
- la gestion des comptes et de l’authentification ;
- la gestion des permissions ;
- la gestion des données ;
- la gestion de la messagerie ;
- les audits ;
- le stockage ;
- la gestion des mobiles.
Chaque partie rassemble un certain nombre de spécifications qui sont réparties en deux groupes : le niveau L1 (le minimum à faire), et le niveau L2 (l’idéal). Personnellement, j’aurais bien vu trois niveaux plutôt que deux : là, clairement, soit on se contente du minimum, soit on fait tout, il n’y a pas de demi-mesure.
Entrer dans le détail fait mal tout de suite. Sur la partie de gestion des comptes, le niveau L1 estime que, de base, les admin (la liste précise des rôles est fournie) disposent tous d’un moyen de connexion à deux facteurs (2FA, authentification forte) et, au niveau L2, tous les utilisateurs sont en mode 2FA. Gloups ! Le document CIS donne même les commandes ou les menus qui permettent de vérifier et/ou d’appliquer ce principe, génial. Pour le L2, le CIS ne précise pas en revanche si l’appariement (enrôlement) de terminal tient lieu de second facteur à ses yeux. Le reste du document est du même genre : très bien décrit, documenté, etc.
Sans analyser en profondeur les mesures, certains éléments de l’étude étonnent. Par exemple, dans la gestion des permissions, rien ne relève du niveau L1. Et certaines dispositions du niveau L2 vont être complexes à tenir dans le temps : bloquer le partage des calendriers notamment, alors que c’est une demande forte de plusieurs catégories de personnels en relation constante avec l’extérieur. Dans la gestion des données, pour ce qui concerne l’activation dès le niveau L1 de la DLP (Data Loss Prevention), va y avoir du taf M’sieurs Dames. Bon, évidemment, certaines mesures sont des grands classiques : pas de reforwardingautomatique de mails vers l’extérieur, antiphishingde base, activation des audits de connexion AD Azure pour pister les tentatives de connexion rogue, gestion de la politique d’accès des mobiles, etc.
Clairement, le métier de responsable de parc va évoluer. Si la partie ennuyeuse de déploiement et de migration d’Office va disparaître, le pilotage du niveau de sécurité va nécessiter des ressources et des compétences d’un autre niveau. Deloitte l’a d’ailleurs appris à ses dépens : à force de conseiller les entreprises sur leur niveau de sécurité SI, ils ont juste oublié de vérifier le leur, et des accès admin (à authentification faible) se sont fait chiper, entraînant la fuite de mails clients (pas du tout sensibles bien entendu, ce n’est pas comme si Deloitte était commissaire aux comptes) pendant des mois.
Les DSI ont intérêt à anticiper ce changement de métier, qui est tout à fait comparable à la disparition de celui de pupitreur : certains passaient une partie de leur journée à changer des bandes magnétiques dans les lecteurs d’une salle informatique jusqu’à l’arrivée de la sauvegarde centralisée sur disque dur. Le métier va devenir transversal, avec de bonnes connaissances dans les sept parties susnommées et surtout une bonne culture de l’audit – et ça, ce n’est pas gagné d’avance.
À suivre…
Avez-vous apprécié ce contenu ?
A lire également.
Piloter la performance par la Data : l’Anap lance une offre globale
09 mars 2026 - 19:08,
Communiqué
- l’AnapFace aux enjeux de performance et de soutenabilité financière, la donnée est une ressource clé pour renforcer le pilotage des établissements. Lors d’une webconférence avec près de 850 participants, l’Anap a présenté « Votre Cockpit DATA » une plateforme gratuite qui permet aux établissements de retr...
Observatoire des ruptures de parcours : L’Anap outille les Dispositifs d’Appui à la Coordination (DAC)
05 mars 2026 - 15:26,
Communiqué
- Rédaction, DSIHAlors que les observatoires des ruptures de parcours se déploient progressivement dans les territoires, l’Anap lance une plateforme destinée à accompagner les Dispositifs d’Appui à la Coordination (DAC). L’initiative vise à structurer la collecte, l’analyse et le partage des données afin d’objective...
Fuite de données chez CEGEDIM – la question des zones à commentaire
02 mars 2026 - 20:10,
Tribune
-Les données de 15 millions[1] de Français auraient été piratées lors d’une attaque survenue il y a plus de deux mois au sein de la société CEGEDIM et de logiciels utilisés par des médecins libéraux. Les grands médias (Le Monde, France Info) en ont fait état, et fait rarissime, même la ministre de la...
Aligner la stratégie IA avec le projet d’établissement, le projet médical et le SDSI : une exigence de cohérence et de performance
23 fév. 2026 - 19:09,
Tribune
-L’Intelligence Artificielle transforme les organisations, les pratiques professionnelles et les parcours patients. Pourtant, trop d’initiatives émergent encore sous forme d’expérimentations isolées, plutôt que comme la résultante d’une vision stratégique globale. Or, une stratégie IA découle des ori...
