Ces derniers mois, j’ai eu l’occasion de rencontrer plusieurs clients ayant décidé de migrer vers Office 365, chez qui le projet est soit non démarré (bien que les licences aient été achetées), soit en pause après initialisation de leur tenant et utilisation par quelques utilisateurs clé de l’IT.
Un des points communs entre ces différents comptes est l’absence d’une réflexion de fond sur les possibilités offertes de plateforme dans le Cloud. Un autre point commun est l’absence de sponsor pour pousser la migration du métier vers le Cloud.
Un problème de taille, se présente alors : côté IT, les objectifs structurels sont atteints (suppression du TCO des infrastructures liées à Exchange, SharePoint…) alors que côté métier, un véritable changement doit être géré. Il s’agit non seulement d’intégrer les usages dans une nouvelle solution, mais également de réussir la transition entre les systèmes. Ces enjeux sont plus difficiles à cerner par l’IT – surtout sans l’implication d’utilisateur clé des métiers dans le projet – et plus difficiles à mettre en place. La réflexion est donc primordiale, car l’intégration de ces besoins est fortement vectrice d’adhésion et d’utilisation de la nouvelle plateforme. Et donc facteur de succès, mais pas seulement. Ces points seront traités dans les articles suivants.
Pour revenir aux usages, l’usage principal reste la mise en place de la collaboration.
Comment collabore-t-on aujourd’hui ? en jouant au « ping-pong » avec la messagerie, ou via des partages de fichiers, essentiellement.
Le premier scénario fait la part belle à la perte d’information et à la duplication des données. En scénarisant la création d’un document par un membre d’un groupe projet, on aurait :
Occurrence 1 : le créateur du document l’enregistre dans son système de fichiers et envoie une copie par email aux N personnes censées collaborer sur le projet / document.
Occurrence 2 : chaque destinataire enregistre la pièce jointe sur son système de fichiers et, en cas de modification, envoie à son tour une version modifiée (sans réelle notion de versions) du document à N personnes.
Occurrence 3 : idem occurrence 2.
Etc.
En admettant que quatre personnes, seulement, soient destinatrices du fichier aux trois occurrences, et que chacune de ces personnes fassent des annotations au fichier d’origine, nous pourrions avoir jusqu’à deux instances du fichier à l’occurrence 1 (une dans le système de fichier et une envoyée) ; jusqu’à dix à l’occurrence 2 (deux à l’origine, plus une copie par destinataires et une nouvelle version pour chacun dans la messagerie) ; jusqu’à au moins dix-huit à l’occurrence 3, en admettant qu’aucune personne n’ait envoyé des fichiers en double.
Avec ce système, se pose également les problèmes d’incohérences de version, de perte d’information, de difficulté de consolidation, de sécurité…
Le second scénario est moins chaotique mais ne résout, cependant, pas les problèmes de duplication de l’information. Au lieu d’avoir des données clonées dans la messagerie et un système de fichiers, on arrive souvent à un système de fichiers avec des fichiers renommés type _v1, _v2, etc. Si, bien sûr, de la discipline est mise en place dans la gestion de l’espace partagé.
Implémenter cet usage dans Office 365 peut se faire de la même façon. Cependant, tous les outils sont disponibles pour mettre en place une « véritable » solution collaborative. Ceci passe par l’intégration des outils (Exchange, SharePoint, OneDrive, Office, Dynamics), la coédition, la mise en place de niveaux de permissions par utilisateurs ou par groupes d’utilisateur, de versioning, ainsi que la possibilité de gérer le cycle de vie des informations. Cet ensemble de fonctionnalités permet de réduire considérablement les risques de perte d’information, mais également les coûts liés à une mauvaise gestion des données.
L’objectif de cet effort d’implémentation est de parvenir à un système dans lequel 1 – SharePoint online est le support de stockage des informations ; 2 – le schéma de collaboration est mieux défini, passant d’un modèle anarchique à un modèle structuré / sécurisé / coédition ; 3 – les échanges entre utilisateurs sont contrôlés, à différents niveaux, pour éviter toute perte d’information ou implémenter des mécanismes de DLP au plus près de l’information.
Parmi les grands enjeux figurent également la sécurisation de l’information. Cet enjeu est porté par le légal, les RSSI, sous trois canaux d’impulsions :
Aspects internes (confidentialités de l’information)
Principalement, il s’agit d’assurer un cloisonnement et/ou une catégorisation de l’information, ainsi que de fournir une ou des solutions permettant de borner l’utilisation qui en est faite.
Prenons, par exemple, les cas récurrents (du moins dans la presse) du fichier contenant les salaires des collaborateurs d’une entreprise se retrouvant sur un espace public, ou d’un document confidentiel transmis à un tiers (j’ai beaucoup d’autres cas d’usages qui seront abordés dans le troisième article de cette série).
La diffusion de ces fichiers relève plus souvent de l’inattention et de la méconnaissance du risque que de la malveillance. Cependant le coût, en terme d’image ou en terme financier, peut être catastrophique.
La problématique principale ici est le cloisonnement des données. On pourrait tout à fait y répondre en envisageant une architecture hybride ou un architecture online avec de multiples tenants. Mais la rationalisation des coûts attendues en règle générale peut être un frein à ces solutions. De plus, cette situation ne favoriserait pas l’adoption, les utilisateurs ayant à basculer entre de multiples systèmes, avec potentiellement, des méthodes d’authentifications différentes et des identifiants de connexion différents.
C’est dans ce périmètres que peuvent rentrer en considération plusieurs solutions :
Mise en place d’une solution de protection des données (DLP) configurée pour le tagging et la classification des documents, avec une réponse configurée si une violation des règles est identifiée (exemple : supprimer un fichier confidentiel d’un espace public et avertir de ce sujet)
Mise en place d’une solution de gestion des permissions (RMS) pour empêcher une utilisation non attendue d’un document (par exemple, en interdire l’impression)
Mettre en place des solutions tierces pour une gestion plus sécurisée et auditée des partages d’information avec des utilisateurs externes
Aspects externes (influence de la technologie d’accès à l’information).
Il s’agit de contrôler simultanément l’accès à l’information et la diffusion de l’information vers les utilisateurs externes (par la mise en place de partage sécurisé vers des partenaires par exemple) ou les informations publiées sur des réseaux sociaux.
Lors de la bascule d’un environnement sur le Cloud, il faut prendre en compte que les moyens d’accès à l’information vont être multipliés : les périphériques professionnels / certifiés tels que desktop, laptop mais également les périphériques mobiles (tablettes, smartphone) et privés.
Comment s’assurer que la sécurité du système d’information est assurée tout en ouvrant l’accès à tout type de périphérique pour en faciliter l’adoption ? Plusieurs pistes sont possibles :
Mise en place d’une solution de protection des données (DLP) pour en éviter le fuitage
Authentification à facteurs multiples (MFA) pour la protection de données situées dans un périmètre sensible
Gestion des périphériques mobiles (MDM) pour la suppression à distance de données professionnelles en cas de perte ou vol d’un smartphone
Aspects réglementaires / Conformité à une réglementation
Sur ce point, l’approche est fondamentalement basée sur les risques. J’ai l’habitude d’introduire ce sujet avec un constat : « il peut y avoir une violation de réglementation je ne sais ni où, ni qui, ni comment, ni quand ».
Ce sujet peut être un véritable frein à l’adoption d’Office 365, si l’on prend en considération les nombreuses réglementations qui peuvent être amenées à être respectées ainsi que les nombreux médias qui permettent une violation.
Prenons l’exemple simplissime d’un numéro de carte de crédit. Il peut se trouver dans un document, dans une métadonnée, dans un fil de discussion sur une liste de type forum, dans Yammer, dans un email (sujet ou objet), dans une entité de Dynamics CRM… Dans certains cas, il sera acceptable de rencontrer cette information, dans d’autres cas, non. La solution va donc permettre d’identifier si la présence d’une information recherchée – ici, un numéro valide de carte de crédit – est conforme à une règle fonctionnelle, légale ou interne. Savoir si une information est bien :
Là où elle est censée se trouver
Visible de ceux qui sont censés y avoir accès
Et si ce n’est pas le cas, proposer une action appropriée.
Ce point sera très important, notamment avec l’adoption en Europe de la réglementation GDPR (European Union General Data Protection Regulation) et ses délais d’application.
Migrer vers le Cloud ne constitue pas simplement un changement d’infrastructure mais également un changement d’usage. Ceci suppose une adaptation côté IT (administration, optimisation, monitoring) mais également coté métier (conformité et gouvernance). Les deux se rejoignant, en général, autour de la sécurisation.
C’est sur ces points que seront abordés les différents articles de cette série : sur la gouvernance conjointement technique et fonctionnelle de Office 365. Le thème central restera de savoir comment en faciliter l’adoption et améliorer la productivité, tout en simplifiant les tâches des utilisateurs.
Before joining AvePoint, I worked in AtoS as a SharePoint Architect and Technical Team Leader. I was involved in projects on on-premises global architecture and on the SaaS layer of private Cloud environments. I was a member of the Microsoft Partnership management team and a SharePoint trainer for either customers or internal trainings.
Combining this experience and my knowledge about our solutions, I am very easy at speaking about governance and Office 365 benefits (as well as SharePoint of course!).
From a personal perspective, I'm blogging (you can see my public blog at http://blog.digiulio.fr, in French but implementing the bing translator plugin) and writing articles about Dynamics CRM the French IT Pro Magazine.
Since the 1st of January 2015, I am also awarded as a Microsoft Dynamics CRM MVP.