Il est probablement prudent de supposer que votre entreprise utilise déjà Microsoft 365 dans une certaine mesure pour prendre en charge votre main-d'œuvre connectée. Il existe, après tout, environ 258 millions de postes Office 365 payants.

Ce qui nous surprend cependant, c'est le peu d'organisations qui se sont concentrées sur la sécurisation ou l'optimisation de leur investissement MS365.

Nous avons donc invité Shane, notre responsable MS chez Present, à une réunion d'équipes pour faire le point sur ce qu'il voit au sein de notre clientèle et dans l'industrie en ce qui concerne les opportunités que les entreprises ratent et les risques qu'elles ne traitent pas avec MS365.

Interviewer: Bonjour Shane, selon toi, quel est l'élément le plus important qui manque aux clients lorsqu'il s'agit d'optimiser leur investissement MS365 ?

Shane:  Je pense que l'essentiel est que beaucoup de clients utilisent des licences packagées, comme M365 Business Standard ou Business Basic, mais tout ce qu'ils utilisent est la suite bureautique ou Exchange. Ils n'exploitent pas des éléments comme OneDrive, SharePoint ou Teams pour créer une meilleure collaboration pour leurs utilisateurs. Un exemple simple serait OneDrive, chaque utilisateur dispose d'un téraoctet de stockage inclus, alors pourquoi ne pas l'exploiter, activer la sauvegarde et vos documents, photos et autres seront synchronisés avec le cloud. Si jamais votre ordinateur est en panne, vous pourrez utiliser un autre ordinateur et accéder à vos documents de n'importe où.

De plus, lorsque nous parlons de licence d'entreprise, il existe des moyens d'optimiser les coûts en connaissant le fonctionnement de la licence et en faisant correspondre la licence appropriée à vos besoins. Par exemple, nous voyons que de nombreux clients paient pour une licence E3, qui était peut-être requise pour les licences RDS ou Terminal Server dans le passé, mais Microsoft a modifié leurs licences et leurs droits d'utilisation. Désormais, si vous disposez de M365 Business Premium, vous disposez de droits d'utilisation pour RDS et vous pouvez donc modifier votre licence E3 en une licence Microsoft 365 Business Premium pour le même prix. Je pense que c'est une différence de 10 ou 20 cents.

Avec cette licence, vous obtenez également Intune et Defender 365, vous pouvez donc désormais activer une meilleure sécurité à l'aide de Defender 365 Plan 1, vous protéger contre les logiciels malveillants et le phishing sur tous les services O365, et avec Intune, ou Endpoint Manager maintenant, vous pouvez activer MDM et la gestion des postes de travail, pour aider à sécuriser vos terminaux. Vous avez également d'inclus Azure AD Premium afin que vous puissiez améliorer vos stratégies d'accès et rationaliser des éléments tels que MFA, permettre une meilleure expérience utilisateur et vous assurer d'être mieux protégé. Personne n'aime les inconvénients, donc en ayant des politiques plus conviviales, vous pouvez améliorer l'adoption et l'utilisation d'outils tels que MFA.

Il y a aussi beaucoup d'autres fonctionnalités dans le forfait, les droits de mise à jour Windows, ce qui est maintenant intéressant en raison de la sortie de Windows 11. Ainsi, parfois, le bon dimensionnement d'une licence peut offrir de nombreux avantages pour un client.

Interviewer: Parlons sécurité maintenant. Qu'est-ce que les gens doivent savoir sur la sécurité sur MS365 ? 

Shane: Je pense que beaucoup de gens ont l'impression que leurs courriels sont sauvegardés. Je sais que personne ne les lit, mais les conditions des accords indiquent très clairement que Microsoft ne fournit pas de services de sauvegarde. Microsoft a une rétention et c'est ce que les gens confondent avec une sauvegarde, car ils ont l'impression que parce que Microsoft vous permet de définir cette rétention pour 10 ans, vous êtes couvert. J'ai eu cette conversation avec des PME et de grandes entreprises comme les grandes institutions financières. Vous pouvez récupérer un simple document ou courriel, mais vous ne récupérerez pas toute la structure. Ainsi, bien que les documents soient conservés dans le système pendant 10 ans, la récupération d'un document est très difficile. Vous devez savoir exactement quel élément vous désirez récupérer.

Avec une solution de sauvegarde, vous pourrez récupérer un dossier très facilement. Nous utilisons SkyKick et il n'y a pas de limite de stockage. L'utilisation d'une sauvegarde tierce comme SkyKick sera facile et simple pour récupérer les données perdues et vous aidera à ne pas consommer de stockage supplémentaire comme la rétention.

Interviewer: Toujours sur le thème de la sécurité, qu'en est-il de toutes les attaques de phishing et de ransomware dont nous entendons constamment parler. Comment les entreprises peuvent-elles se protéger ? 

Shane: MFA est certainement quelque chose dont chaque entreprise a besoin et pour une raison quelconque, beaucoup d'entreprises ne l'utilisent toujours pas. Microsoft, désormais par défaut, active le MFA. Ainsi, lorsque vous créez un nouvel utilisateur, le MFA est configuré par défaut, mais de nombreuses entreprises utilisent MS365 depuis des années et pourraient ne pas l'avoir activé. Par exemple, j'ai eu un client aujourd'hui qui m'a dit qu'il n'était pas sûr s'il devait activer MFA pour ses employés d'entrepôt. Je lui ai dit que s'ils ont un compte, ils devraient absolument avoir un MFA. Du point de vue de la sécurité, tout le monde a besoin du MFA, peu m'importe s'il s'agit du concierge ou du président, ils devraient tous avoir le MFA parce que vous parlez d'une application accessible au public dans le monde entier et dès qu'il y a un utilisateur là-bas, leur compte peut être exploité pour infiltrer votre environnement et tout utilisateur est une vulnérabilité potentielle, donc tout le monde devrait avoir l'avoir activé par défaut.

Et en termes de phishing, Defender devrait être utilisé pour vous offrir un filtrage antispam amélioré. Il vous offre également une protection contre les virus et les logiciels malveillants, ainsi que des liens sécurisés et de meilleurs rapports. Si vous devez les planifier, vous obtenez des simulations d'attaque et des tests que vous pouvez exécuter sur vos utilisateurs.

Ensuite, vous avez un accès conditionnel avec la possibilité de mettre en place des règles simples comme autoriser l'accès à partir d'une seule zone géographique, ou des règles plus complexes qui tiennent compte de l'appareil sur lequel vous vous trouvez, est-ce que l'appareil est à jour, s'agit-il d'un appareil mobile, etc.

À titre d'exemple du fonctionnement de l'accès conditionnel, j'utilise actuellement mon ordinateur portable d'entreprise, qui est inscrit dans Intune ou Endpoint. Ainsi, mon ordinateur portable est géré par l'entreprise, l'ordinateur portable communique avec Endpoint Manager et il est considéré comme conforme à nos exigences, qui sont en cours de correctif, avec le pare-feu actif, la protection antivirus active et le chiffrement du disque activé. Étant donné que l'appareil que j'utilise se trouve au Canada et qu'il est géré par l'entreprise et conforme, je ne suis pas obligé d'utiliser MFA. Si mon appareil n'est plus conforme, je serais obligé d'utiliser MFA immédiatement et de valider mon identité à l'aide d'une deuxième méthode comme l'application d'authentification.

Une politique d'accès conditionnel nous permet de maintenir cette sécurité plus élevée, tout en n'étant pas aussi intrusive pour l'utilisateur, nous utilisons également Azure AD Premium Plan 2, donc je peux avoir des politiques qui réagissent aux événements basés sur les risques, comme un voyage impossible, et ce alors déclenche une exigence MFA, ou je peux verrouiller le compte.

Interviewer: Vous avez parlé de la gestion de votre ordinateur portable par votre entreprise avec le gestionnaire de points de terminaison, pouvez-vous développer un peu plus ? 

Shane: Le gestionnaire de point de terminaison, anciennement Intune, est destiné aux appareils mobiles et de bureau. Nous utilisons Endpoint Manager pour nos ordinateurs portables d'entreprise pour nous assurer que nos appareils sont mis à jour et que nous sommes conformes. Nous pouvons également déployer des applications et d'autres politiques sur les appareils. Comme de nombreuses entreprises, nous autorisons le BYOD pour les mobiles, nous utilisons donc Endpoint Manager pour créer un espace de travail protégé sur les appareils mobiles. Cela nous permet de définir des applications et des politiques approuvées par le travail pour restreindre les données professionnelles à ces applications uniquement, nous créons donc une sorte de bulle d'applications autorisées et approuvées, qui sont cryptées sur l'appareil de l'utilisateur. Ces types de politiques nous permettent de garantir que les données professionnelles sont sécurisées, quel que soit l'appareil utilisé par l'employé.