Speaker #0Je croise une dirigeante dans le couloir lors d'une mission. Une personne très pragmatique, pas technique, mais qui a un bon réflexe. Elle a même demandé plusieurs avis avant de décider. Et elle me pose cette question. Fabrice, est-ce que mon mail Microsoft 365 est sécurisé ? Et derrière cette question, ce que j'entends surtout, c'est une inquiétude. Pas un besoin technique, mais un besoin de compréhension. Bonjour à toi, et bienvenue dans Compliance Without Coma, le podcast où la cybersécurité et la conformité ne donnent pas envie de dormir, ni de faire l'autruche d'ailleurs. Je suis Fabrice De Paepe et aujourd'hui, je vais répondre à une question qu'on me pose souvent. Est-ce que mon mail Microsoft 365 est sécurisé ? Et comme tu peux t'en douter, la réponse n'est ni oui, ni non. Oublie pas de liker, partager, commenter, ça m'encourage. Donc à la question... Est-ce que mon mail Microsoft 365 est sécurisé ? Je réponds à la dirigeante, ça dépend. Qu'est-ce que tu veux dire par sécurisé ? Parce que techniquement, en transit, oui, c'est chiffré. Au repos, oui, c'est chiffré. Mais la vraie question n'est pas là. La vraie question est, qui peut accéder à ton mail ? Et donc, les accès, c'est un premier angle de risque. Elle me répond, l'IT a accès, mais je leur fais confiance. Et elle a raison. Ici, la confiance n'est pas le problème. Mais la sécurité ne repose pas uniquement sur la confiance. Elle repose sur des mécanismes. Ici, on a comme contrôle ISO la gestion des accès et la gestion des identités. Et puis un deuxième angle vient dans la conversation. Je lui parle du MFA, le Multi-Factor Authentication. Vous en avez ? Réponse cinglante, non. Donc potentiellement, mot de passe compromis, phishing, fuite de credentials, et quelqu'un peut entrer. Donc comment sécurises-tu ton authentification sécurisée, qui n'existe pas pour l'heure ? Et puis, il y a un autre angle, tous les accès informels. Elle me dit ensuite, mon mari a accès à mon mail. Ok, je ne juge pas, c'est juste un constat. Donc là, on a déjà plusieurs personnes qui peuvent accéder au compte. Donc, t'imagines le contrôle ISO, la gestion des privilèges ? Et en creusant avec elle, elle me parle d'un prestataire externe. historique à la boîte depuis 20 ans. Elle me parle de cette société qui gère, entre autres, le mail, l'active directory, mais depuis des années. Et ça, aussi, c'est sur la confiance. Il n'y a pas de contrat formel. Et là, on arrive dans un sujet clé. Qui a les comptes admin ? Qui a encore accès ? Est-ce que lorsqu'ils ont des employés qui quittent cette société-là, donc le prestataire externe, en fait, est-ce qu'on leur retire les accès ? Puisqu'ils doivent se connecter chez vous sans VPN. et sans MFA. Les accès sont-ils retirés aussi quand quelqu'un quitte dans votre société ? Comment est-ce que c'est géré ? Aucune réponse. Donc les contrôles ISO, sécurité dans la relation fournisseur, gestion des services fournisseurs, et de nouveau, gestion des droits d'accès. Donc je lui demande, est-ce que vous avez un JML ? Alors, si tu me découvres, c'est la première fois peut-être que tu entends parler de JML, ça vaut pour Joiner, Mover, Leaver, c'est pas un process ISO, c'est un truc que je rajoute. Mais si tu m'écoutes déjà depuis presque 50 épisodes, je ne vais pas te la refaire, il y a des épisodes qui ne parlent que de ça. Mais bon, donc, est-ce qu'il y a un process pour retirer les accès quand quelqu'un quitte ? Sa réponse, je ne sais pas. Et là, on touche un point critique, parce que beaucoup d'incidents réels viennent de là. Donc, deux contrôles ISO, gestion des droits d'accès et responsabilité après le départ. Et puis, mon autre question vient des accès distants et de l'exposition. Est-ce que les accès admins sont-ils protégés ? Est-ce qu'il y a des VPN, des restrictions ? Réponse de sa part incertaine. Ben, moi j'ai pas de VPN, par exemple, qu'elle me dit. Donc potentiellement, accès depuis Internet, compte privilégié exposé, contrôle ISO, sécurité des réseaux, sécurité des services réseaux. Donc le vrai message, et ce que j'aime dans ces discussions avec les clients, finalement, c'est pas de pointer des problèmes, c'est de comprendre où se situe la perception du risque pour eux, Et où se situe le risque réel, pour moi ? Et on peut avoir forcément une perception différente. Donc souvent, les gens ont peur de la technologie. Et elle, ici, c'est ce qu'il y avait. Elle avait peur de ça. Alors que le risque, ici, vient des accès, des processus, des configs et des relations fournisseurs. Donc, dans la conversation que j'ai eue avec cette dirigeante, on a couvert la gestion des identités, l'authentification, les accès privilégiés, les fournisseurs, JML, accès réseau. Sans même parler de technique complexe. Est-ce que je l'ai rassurée ? Bonne question. Moi, je pense qu'elle a eu beaucoup plus peur après ça. Mais en réalité, je lui ai surtout donné une meilleure compréhension de ses peurs. Et souvent, comprendre réduit l'anxiété. Alors, est-ce que Microsoft 365 est sécurisé ? Ben oui, mais uniquement si la façon dont on utilise les données est sécurisée. Et donc, tu vois que la sécurité, ce n'est pas un produit, c'est un système. Et j'ai une petite question pour toi. Et donc, toi, si quelqu'un te pose cette question, est-ce que mon mail est sécurisé ? Tu répondrais quoi ? Et comme toujours, reste curieux, reste agile et reste éveillé. Merci d'avoir écouté Compliance Without Coma, et on se dit à la semaine prochaine pour un nouvel épisode. N'oublie pas de liker, partager, commenter, ça m'encourage. Ah oui, et au fait, j'ai pas parlé de géopolitique, ni parlé de droits de douane, car cela remonte à quelque temps déjà, cette histoire client, et donc il y a forcément d'autres risques aujourd'hui. On pourrait parler aussi de souveraineté, mais tu vois le principe.
