Plus de 80 % des agences fédérales aux États-Unis utilisent Microsoft Office 365, Azure et des produits de collaboration tels que SharePoint, Yammer et Teams pour faciliter le travail de leurs milliers d’employés et de sous-traitants. Office 365 présente de nombreux avantages en termes de sécurité, de mobilité et de création de rapports. Mais comment pouvez-vous être certain(e) que vos systèmes sont conformes aux réglementations et que les informations susceptibles d’être contrôlées lors d’un audit de l’OIG sont protégées ?

Dans cet article, nous allons examiner la façon dont vous devez configurer les fonctions de sécurité et de gouvernance d’Office 365 pour garantir que votre entité Office 365 soit capable de résister à un audit de l’OIG (Office of Inspector General).

Microsoft Office 365 et les agences fédérales

Au fil des ans, Microsoft a collaboré avec de nombreuses agences fédérales et leurs sous-traitants pour garantir que ses services cloud pour le Secteur Public ainsi qu’Azure Government, Office 365 U.S. Government et Dynamics 365 Government répondent aux exigences rigoureuses du programme FedRAMP (Federal Risk and Authorization Management Program), permettant par la même occasion aux agences fédérales américaines de bénéficier des économies de coûts et de la sécurité rigoureuse du cloud Microsoft. Ce qui fait la singularité de Microsoft 365 Government est le fait que son infrastructure complète a dès le départ été conçue en vue d’être exclusivement utilisée par des agences fédérales. Cet aspect est important et a une incidence sur la question des fuites et des violations de données, deux problèmes qui intéressent de près l’OIG.

À l’heure actuelle, Microsoft propose trois plans conçus pour aider les agences fédérales à respecter les réglementations spécifiques applicables et à assurer la sécurité et la confidentialité de leurs données. Faire en sorte que les utilisateurs ne téléchargent vers le cloud aucune information susceptible d’être problématique dans le cadre d’un audit de l’OIG est primordial.

Les plans Office 365 de Microsoft pour le secteur public sont les suivants :

  • Cloud de la communauté du secteur public (GCC) Solution conçue à l’intention des agences civiles.
  • GCC HighSolution créée pour le stockage d’informations hautement confidentielles et accessible aux employés et sous-traitants du Département de la Défense américain.
  • DoD CloudSolution conçue pour les forces armées et les agences avec lesquelles elles collaborent.

Qu’est-ce que l’Office of Inspector General (OIG) ?

L’OIG a été créé par une loi du Congrès votée en 1976, est placé sous l’égide du Département de la Santé et des Services sociaux des États-Unis (HHS) et a pour mission de superviser les agences publiques fédérales et nationales. À l’heure actuelle, il existe plus de 73 bureaux comprenant 430 départements, agences et sous-agences. Dès sa création, l’OIG a eu pour mission de lutter contre le gaspillage, la fraude et les abus. Avec la montée en puissance des solutions SaaS (Software as a Service), PaaS (Platform as a Service) et IaaS (Infrastructure as a Service), l’OIG a intensifié son contrôle pour s’assurer que les agences fédérales et leur sous-traitants qui transmettent des informations non classifiées contrôlées (CUI) respectent les principes définis par le NIST (National Institute of Standards and Technology) telles que la norme SP 800-171.

Sur quoi porte l’audit de l’OIG ?

Gestion des informations permettant une identification personnelle (IIP)

La SEC (Securities and Exchange Commission) a récemment subi un audit de l’OIG, lequel a établi que la SEC ne stockait pas correctement les informations IIP. L’OIG a pointé du doigt sa gestion d’informations telles que le nom, l’adresse, la date de naissance et les données de compte de particuliers. Extrait du rapport d’audit :

« En outre, dans cinq cas au moins, le personnel de l’agence n’avait pas respecté les obligations contractuelles en matière de protection des informations d’identification personnelle (IIP), bien que les experts aient eu accès à des IIP telles que les noms, adresses, dates de naissance et informations de compte utilisateur des investisseurs. Nous avons également constaté que les contrats ne prévoyaient aucun contrôle relatif à la publication ou à la divulgation par inadvertance d’informations transmises par la SEC à des experts. Par conséquent, l’agence n’avait aucun moyen de s’assurer que les experts et leurs systèmes d’informations appliquaient des normes de sécurité élémentaires afin de protéger les informations non publiques sensibles de la SEC, notamment les IIP.

Nous n’avons pas eu connaissance de cas où des individus non autorisés auraient accédé à de telles informations après la communication de celles-ci à des experts. Cependant, l’agence devrait engager des mesures pour réduire au minimum le risque de divulgation, de modification et d’utilisation par des personnes non autorisées des informations non publiques sensibles que l’agence communique à des experts. »

La gestion des IIP a toujours préoccupé les agences. En activant les fonctions de gestion de la conformité appropriées dans Office 365, vous serez mieux à même d’analyser, de surveiller et de contrôler qui a accès aux informations IIP et de réduire ou d’empêcher les fuites d’IIP.

Authentification multifacteur

Office 365 est équipé par défaut d’une authentification multifacteur conforme aux normes NIST qui est suffisante dans la plupart des cas. L’authentification multifacteur, si elle est associée à des cartes PIV (Personal Identity Verification), peut alléger la charge de votre helpdesk et ajouter une couche de sécurité supplémentaire.

À l’échéance du 30 juin 2024, toutes les agences fédérales devront avoir intégré la PIV dans leur infrastructure physique et d’information. Le NIST a publié un guide pratique détaillant la meilleure manière de mettre en œuvre les cartes PIV selon l’infrastructure dont l’on dispose. Son titre : « Federal Information Processing Standard (FIPS) Publication 140-2 », ou FIPS en abrégé.

L’OIG est plutôt mal disposée à l’égard des agences et organisations qui ne protègent pas leurs données à l’aide de l’authentification multifacteur. Lors d’un audit récemment effectué sur le système du Département de l’Énergie des États-Unis, l’OIG a déclaré :

« Les faiblesses constatées sont en partie dues au fait que les responsables n’ont pas suffisamment planifié la mise en œuvre de l’authentification multifacteur dans les systèmes d’information. De plus, les instructions et exigences du Département concernant les technologies d’authentification multifacteur n’ont pas toujours été communiquées de manière efficace. Si un processus d’authentification multifacteur n’est pas développé et mis en œuvre à l’échelle du Département, les informations détenues par celui-ci, notamment les données sensibles, continueront d’être exposées à un risque de violation plus élevé que nécessaire. Nous avons formulé des recommandations qui, si elles sont appliquées, devraient permettre au Département d’accroître sa cybersécurité grâce à la mise en œuvre efficace de l’authentification multifacteur. La direction a approuvé les recommandations de notre rapport et a indiqué que des mesures correctives avaient été engagées ou étaient planifiées en vue de résoudre les problèmes identifiés dans le rapport. »

Pour éviter que votre agence ne rencontre le même type de problème, collaborez avec le FSO (Federal Security Officer, responsable fédéral de la sécurité) et le bureau d’information de votre agence pour élaborer une feuille de route pour l’implémentation de l’authentification multifacteur.

office 365

Stratégie de conservation

Selon l’agence pour laquelle vous travaillez et les réglementations auxquelles elle est soumise, des plannings de conservation différents s’appliquent pour les e-mails, les états financiers, les messages vocaux, les brouillons de notes de service et les documents. Les respecter peut être une tâche ardue si les documents et e-mails n’ont pas été dûment étiquetés ou s’il n’a pas été fait usage de métadonnées. La meilleure façon d’organiser et d’étiqueter votre contenu est de coopérer avec le responsable de la conformité de votre agence pour passer en revue la procédure actuelle en matière de règles de conservation. Office 365 dispose de paramétrages sophistiqués permettant de gérer les règles de conservation à l’échelle de l’entreprise.

Supposons par exemple que des utilisateurs stockent des documents dans plusieurs bibliothèques SharePoint normalement soumises à une obligation de conservation de sept ans. Office 365 est capable de rechercher et de détecter de tels documents pour les placer dans une Corbeille à plusieurs niveaux après la période de conservation. Nous vous recommandons de travailler avec votre bureau de conformité et les administrateurs d’Office 365 pour vous assurer que toutes les règles de conservation sont actives et respectées.

Figure 1 : stratégie de conservation

Activation des fonctions d’audit et de sécurité d’Office 365

Dans Office 365, les fonctions d’audit et de sécurité ne sont pas activées d’office. Par défaut, les fonctions sont désactivées et doivent être configurées par votre équipe d’administration d’Office 365. Avant de les activer, vous devez absolument collaborer avec le bureau de sécurité et de conformité pour élaborer un plan de sécurité spécifique pour Office 365.

La meilleure manière de commencer à utiliser les fonctions d’audit et de sécurité d’Office 365 est de réaliser des tests sur un service ou une division à la fois. Activer d’emblée les fonctions de sécurité pour l’ensemble de l’organisation peut être compliqué à gérer. En fin de compte, la sécurité et le contrôle d’Office 365 doivent être assurés conformément aux règles propres à votre agence.

Considérations finales

Les audits de l’OIG peuvent être frustrants, chronophages et gourmands en ressources. Dans la plupart des cas, l’OIG prévoit un suivi sur site pour s’assurer qu’il a été remédié à toutes les violations constatées. La meilleure stratégie pour faire bonne figure lors d’un audit de l’OIG est de préparer l’entité Office 365 de votre organisation et d’effectuer vous-même des audits en interne.


Vous souhaitez lire plus de conseils d’experts sur Office 365 ? N’attendez plus pour vous abonner à notre blog !