5 mythes autour de la protection des données Office 365

Si vous pensez que vos données Office 365 sont automatiquement protégées, vous faites une erreur. Le point sur cinq idées reçues.

Bien que Microsoft ait le contrôle complet sur l’infrastructure sur laquelle fonctionne la suite Office 365, celle-ci n'inclut pas de système de protection des données intégral ou de solution et de procédure de reprise après sinistre. L’offre du géant de Redmond ne fournit pas les niveaux de protection des données nécessaires pour répondre aux exigences actuelles en la matière, d’autant plus qu’elles sont de plus en plus strictes. Le respect des législations et des règlements, la recherche de la conformité permanente et la mise en place de procédures de reprises après sinistre doivent s’appuyer sur des services supplémentaires pour les entreprises qui prétendent en faire une priorité.

Au-delà des menaces externes telles que les virus ou les attaques de ransomware, un certain nombre de situations peuvent aboutir à des modifications et des suppressions accidentelles des données. Voici cinq idées reçues courantes concernant la protection des environnements Office 365 que les personnes responsables doivent connaitre pour s’en prémunir.

1) Les données d'Office365 font partie d’Azure et leur disponibilité est assurée. Il n'y a donc pas besoin de sauvegarde.

Le cloud Azure est fondamentalement un ensemble de data centers distribués et malheureusement il souffre des mêmes risques que votre propre data center. Début mai 2019, pendant trois heures, les clients ont rencontré des problèmes de connectivité avec les services cloud de Microsoft, notamment Azure, Microsoft 365, Dynamics 365 et Azure DevOps. La panne a été causée par un changement de DNS échoué, mis en œuvre par les équipes de Microsoft elles-mêmes.

SharePoint et OneDrive offrent effectivement un système de versionnage pour se protéger contre les erreurs accidentelles, mais que se passe-t-il lorsque SharePoint n’est même pas disponible ? Les organisations informatiques ont besoin d'un accès et d'un contrôle complets de leurs données à tout moment. Effectuer des sauvegardes vous permet de restaurer les données critiques de l'entreprise à un autre endroit, y compris sur en local si nécessaire, afin de réduire le risque d'interruption de l'activité.

2) Les données de Office 365 sont protégées contre l'erreur humaine

La suppression accidentelle d'un e-mail, d'un fichier OneDrive ou d'un élément SharePoint est la cause la plus courante de perte de données dans un environnement Office 365. La réplication géographique synchrone d'Office 365 a un effet domino sur la suppression des données, entraînant la suppression de toutes les copies distantes. Même les administrateurs informatiques peuvent commettre des erreurs graves, supprimant parfois des volumes entiers de données par erreur. Si vous effectuez des sauvegardes, vous pouvez récupérer les données perdues ou endommagées rapidement.

3) Office 365 est un SaaS, il intègre donc toute la sécurité et les protections dont j'ai besoin

Il existe plusieurs façons d'attaquer vos données sur Office 365. Considérez les quelques exemples suivants :

  • Les logiciels malveillants ou les ransomwares peuvent y supprimer ou crypter les fichiers.
  • Les comptes Office 365 des employés peuvent être piratés via une attaque de phishing.
  • Un pirate qui arriverait à subtiliser les codes d’accès et le domaine pourrait se faire passer pour un administrateur d’Office 365.
  • Malgré les nombreux contrôles, une vulnérabilité dans le code d’Office 365 lui-même est toujours possible.
  • Le protocole OAuth2 peut être utilisé pour obtenir un accès programmatique via Azure AD et on sait que OAuth2 n’est pas exempt de vulnérabilités lui-même.

En fin de compte, aucun logiciel n'est complètement sécurisé et sans une véritable solution de sauvegarde et de restauration, les organisations utilisant Office 365 sont soumises à un grand nombre de possibilités de failles.

4) La politique de rétention et le contrôle des versions d'Office 365 offrent toute la protection des données dont j'ai besoin

Office365 offre une politique de rétention des documents qui permet de conserver les documents pendant 93 jours et les courriels pendant 14 jours, même après suppression volontaire. Cela apporte une protection supplémentaire, mais c’est loin de satisfaire aux impératifs de conservation de données à long terme édictés par de nombreuses réglementations ou tout simplement des bonnes pratiques en vigueur de nos jours pour les entreprises.

De plus, les politiques de conservation ne protègent pas les fichiers s'ils sont accidentellement ou malicieusement modifiés ou supprimés. Enfin, les politiques de conservation ne forment pas à elles seules une stratégie de sauvegarde 3-2-1 - avoir plusieurs copies de données sur des appareils séparés et dans des endroits différents.

Il n'y a pas de récupération à un moment précis avec un système de rétention. Il s'agit essentiellement d'une copie de réplication. Si vous corrompez une boîte aux lettres ou un élément en production, vous le corromprez également dans le dossier d'archive de conservation.

Microsoft offre également une fonction de versionnage pour OneDrive et SharePoint. Celle-ci peut aider à récupérer une ancienne version de fichier si le fichier actuel est perdu ou endommagé, mais ce n'est pas la sauvegarde et la récupération qui protègent la version la plus récente. Et beaucoup de travail est parfois fourni entre deux versions. De plus, un malware pourrait trouver son chemin vers toutes les versions et les supprimer ou les endommager toutes.

Dans le pire des cas, puisque toutes les versions ne sont pas conservées hors site et indépendantes, si vous perdez OneDrive, vous perdez toutes les versions.

Effectuer des sauvegardes est une meilleure approche à la protection et à la récupération des données et avoir plusieurs copies de vos sauvegardes sur différents appareils et emplacements est votre meilleure chance contre les attaques malveillantes.

5) Microsoft offre une haute disponibilité pour Exchange en ligne par le biais de groupes de disponibilité des données (DAG), donc je n'ai pas besoin de sauvegarde

Chaque base de données de boîtes aux lettres dans Office 365 est hébergée dans un groupe de disponibilité de base de données (Database Availability Group - DAG) et répliquée dans des data centers distincts au sein de la même région. La configuration la plus courante est de quatre copies de base de données dans quatre data centers; cependant, certaines régions disposent de moins de data centers (les bases de données sont répliquées trois fois en Inde, et deux fois en Australie et au Japon). Dans tous les cas, chaque base de données de boîte mail est associée à quatre copies qui sont réparties sur plusieurs centres de données, ce qui garantit que les données sont protégées contre les défaillances logicielles, matérielles et même en cas défaut du data center lui-même. Sur ces quatre copies, trois sont configurées comme hautement disponibles. La quatrième copie est configurée comme une copie asynchrone de la base de données.

Bien que les DAG soient un très bon mécanisme de récupération après sinistre, ils ne sont pas conçus pour la sauvegarde et la restauration typiques où vous pourriez avoir besoin de récupérer une boîte aux lettres, un courriel ou une pièce jointe spécifique. La copie asynchrone de la base de données à lieu tous les 14 jours et on ne peut l’empêcher de sorte que toute modification ou suppression accidentelle ou malveillante est appliquée même à la base de données décalée. De plus, selon Microsoft même, "les DAG ne sont pas destinés à la récupération de boîtes aux lettres ou d'éléments de boîtes aux lettres individuels. Leur but est de fournir un mécanisme de récupération pour les rares événements de corruption logique à l'échelle de tout système".

Comment réduire les risques de pertes de données sur Office 365

La protection de vos données Office 365 relève de votre responsabilité. Les pertes de données dues à des erreurs humaines, des logiciels malveillants, des attaques ransomware ou d’autres sinistres informatiques peuvent avoir un impact sur la productivité de votre entreprise, vos clients et votre réputation. En outre, il est très probable que votre entreprise doive se conformer à des réglementations de plus en plus strictes - sous peine de lourdes sanctions. Pour cette raison il est important de connaitre les limites de l’offre de Microsoft en la matière et de mettre en place des solutions complémentaires pour éviter toute interruption de l’activité.