MS Ignite 2017 décrypté : RGPD, souveraineté des données, records management, sécurité pour O365 et SharePoint

Microsoft vient de célébrer sa grande messe annuelle à Orlando et en a profité pour apporter un lot conséquent d’annonces dans tous les domaines. Et SharePoint et la gestion de documents s’en sont taillés une très belle part. Grâce à la magie des retransmissions et aux collègues de la communauté aOS présents là-bas qui ont tweeté sans repis, je vous propose de retrouver ici une série d’articles décryptant les nouveautés. Et pour commencer, nous allons voir les nouveautés autour de la réglementation, de la sécurité et du cloud souverain qui tournent toutes plus ou moins de la GDPR.

GDPR

A moins d’être restés enfermés dans un grotte depuis plusieurs mois, vous avez dû entendre parler de la future réglementation européenne sur la protection des données personnelles (GDPR ou RGPD suivant si vous êtes franco ou anglophone). Cette réglementation assez contraignante (environs 100 règles que vous pouvez aller découvrir en lisant les 88 pages de la publication au journal officiel) entrera en vigueur le 25 mai 2018. Le sujet n’est pas à prendre à la légère puisqu’il concerne toutes les entreprises commerçant avec l’Europe ou stockant des données concernant des citoyens européens et peut leur couter la bagatelle de 4% de leurs revenus mondiaux.

Au menu, principalement :

  • Obligation d’exporter, mettre à jour ou d’effacer les données personnelles de toute personne sur demande dans un délai raisonnable
  • Obligation de conserver le strict minimum en termes de données personnelles
  • Obligation de considérer la sécurité et une politique d’accès à minima « by design »
  • Obligation d’auditabilité du système contenant les données personnelles
  • Obligation de déclarer sous 72h aux autorités locales (en France, la CNIL) l’étendue du moindre piratage de donnée (car la loi par du principe que ça arrivera de toute manière)
  • Obligation de documenter les données gérées, les risques s’y rapportant et les mesures prises pour les limiter

Sachant qu’en plus, en cas d’audit, si l’entreprise n’est pas en mesure de répondre aux exigences citées, il y a là aussi amende.

Il se trouve que la loi annonce clairement la responsabilité du sous-traitant hébergeant les données (si cela vous intéresse, vous pouvez aller lire le guide publié récemment par la CNIL) et que Microsoft c’était engagé dès avril à être conforme en interne et rendre ses solutions compatibles avec la loi dès son entrée en vigueur. MS Ignite a été l’occasion de rentrer un peu plus dans les détails avec :

  • la publication de nouveaux whitePapers sur la mise en conformité
  • la mise à jour du Secure score
  • une nouvelle version du Risk and Compliance center (à partir des licences E3)
  • la mise à disposition d’un journal d’activité détaillé (qui a fait quoi et quand avec quel compte, depuis quelle IP, etc.)
  • L’unification entre application de la gestion  des étiquettes (« Labels » en anglais) pour simplifier les durée de rétentions sur tous vos conetnus (docs dans SharePoint, mails dans Exchange) (à partir des licences E3)
  • Et surtout un nouvel outil, le Compliance Manager. Ce dernier listera les normes supportées par Microsoft (GDPR, ISO, etc.) et les critères et actions à faire coté client et permettra de directement y entrer les informations. Une mise en norme « pré machée » en quelque sorte qui aboutira à un compliance score au même titre que le secure score. La preview est prévue en Novembre 2017, la disponibilité générale Q1 2018.
    Microsoft-Compliance_manager_screen_201710

De manière plus générale, le support de la GDPR semble avoir été pris très au sérieux par Microsoft, y voyant un critère fort de différentiation avec la concurrent et cela concernera tout O365 mais Azure et SQL. Le sujet est assez dense et fera certainement l’objet d’un futur article de ma part sur la partie O365.

Disclamer

C’est une demande qui revenait souvent sur le terrain, en particulier quand il faut ouvrir l’accès au SI de l’entreprise à des externes. Il sera  possible de mettre en place un écran de règle d’utilisation/disclamer à valider à la première utilisation. L’utilisateur ne pouvant avoir accès aux données s’il ne le valide pas. Ce sera aussi l’occasion d’obtenir le consentement pour le recueil de données personnelles en conformité avec la GDPR.

Cloud : Souveraineté des données avec le Multi Geo capability

Un changement de taille, la capacité de répartir les données de son tenant O365 sur plusieurs datacenters Microsoft. Jusqu’ici, à la création de votre tenant (retenez, un tenant, un domaine. Donc toutes les adresses en @spt-conseil.fr sont sur le même tenant par exemple) vous choisissiez un datacenter Microsoft pour stocker vos données y vous y étiez « vissé » ad vitam eternal.

Avec le multi geo, votre tenant peut ressembler à ceci :

Microsoft-MultiGeo_tenant_201710.png

Quel impact pour les entreprises multinationales? Les données hébergées sur le territoire américain sont soumises au Patriot Act, donnant au juge américain un accès à ces dernières en cas de litige et au juge européen le contraire et inversement (en cas de litige, si vos données sont en Europe, etc.). Microsoft, contrairement à Google, dispose d’une gestion claire de l’hébergement des données qui lui permet de continuer à tenir tête au juge américain. Et bien il sera désormais possible de gérer cela pour les collections de sites SharePoint, les boites mails et les Onedrive. Bref, vos documents seront stockés dans le pays (parmi ceux disponibles)  que vous souhaitez. C’était, après la notion de sécurité des données, un grand frein à l’adoption du cloud pour les grandes entreprises.

Au passage, quelques avancées :

  • la présence du datacenter français est bien prévue et il est bien question d’y voir aussi du O365.
  • Les messages Yammer et les index du moteur de recherche seront eux aussi geo localisés.

En attendant, le multi geo est déjà dispo pour Exchange et OneDrive, en cours de développement pour SharePoint. Pour pouvoir commencer à jouer avec cela en Europe, il faudra attendre Q2 2018. La video est ici pour voir comment ça se passe coté admin/powershell.

Cloud toujours : sur la sécurité

Tout d’abord, en permettant au client d’utiliser leurs propres clefs d’encryptage des clefs d’encryptage des bases de données. Jusqu’ici, Microsoft encryptait les différentes bases de données utilisées pour stocké vos informations (mails, documents, etc.) et utilisait des clefs de services pour encrypter et décrypter ces clefs. La procédure mise en place par Microsoft se voulait rigoureuse (connue sous le nom de Customer Lockbox) mais reposait toujours sur la confiance vu que c’est eux qui créaient et disposaient des clefs. Désormais, il sera possible d’utiliser vos propres clefs de chiffrement (Bring Your Own Keys) et, si vous le décidez, de les révoquer, empêchant mécaniquement Microsoft d’accéder à vos contenus.

Microsoft renforce aussi la sécurité du coté périphériques consommant l’information. En mars, Microsoft avait présenté son système permettant de définir des politiques d’accès aux contenus en fonction du réseaux ou du périphérique. Et bien il sera possible de gérer cela plus finement, par collection de sites SharePoint (donc par Groupes et certainement par OneDrives) et de aussi gérer le délai de déconnexion automatique (time-out) des périphériques non gérés par l’IT société afin de limiter l’exposition aux risques.
Microsoft-Access_control_201710

Cloud encore et toujours sur la sécurité : arrivée d’IRM (Information Right Management)

Pour celles et ceux qui ont connus RMS, ce service AD qui permettait de faire de l’IRM, sur le OnPremise, et Azure, et bien le voilà annoncé sur les collections SharePoint. Qu’est-ce que cela va apporter? Et bien pour tous les fichiers Office (Word, Excel, PowerPoint, etc.) il sera possible de faire porter les permissions définie au niveau de SharePoint sur le document même. C’est-à-dire que si par exemple j’ai le droit de lire et télécharger un document, je pourrais toujours le faire. Mais si par contre, je le met sur une clef USB ou l’envoie par mail a quelqu’un qui n’a pas accès normalement au dit document, il ne pourra pas l’ouvrir. Ce mécanisme repose sur un système de clef publique/clef privé et un encryptage des documents à la volée. C’est une avancée significative pour la gestion des documents confidentiels.
A la question : « est ce inviolable? » la réponse est non, comme tout système informatique, mais c’est un niveau de sécurité élevé (chiffrement AES avec clefs 128 et 256 bits pour les documents). Si vous voulez en savoir plus, je vous invite à lire cet excellent article https://docs.microsoft.com/fr-fr/information-protection/understand-explore/how-does-it-work

Microsoft-azrms_secretcolaformula_final

Records management

La GDPR demandant une conservation du minimum d’information nécessaire possible, cela devait se retrouver du côté de la gestion de l’archivage/records management. Et bien deux belles annonces :

  • La première concerne les durées de rétentions des documents. En standard SharePoint, le calcul des durées de rétention se faisant avec un durée démarrant sur l’une des métadonnés du document. Hors, dans la pratique, ca se revelait souvant insuffisant. Dans un cadre client fournisseur, certains documents peuvent être à conserver durant toute la durée de cette relation + XX années. Et la durée de cette relation n’est pas connue au moment de la production des documents. Ca posait un réel problème et amenait à l’emploi de script ou autre pour gérer ce manquement. Microsoft vient d’annoncer la durée de rétentions basées sur les événements, reste à voir exactement comment cela fonctionnera.
  • La seconde concerne le réseau social Yammer. Les contenus de ce dernier seront désormais aussi dans le périmètre de la fonctionnalité d’eDiscovery qui permet déjà, en cas de litige, d’exporter ou « geler » les mails et documents SharePoint se rapportant à ce dernier.

 

On le voit, Microsoft est à l’écoute des DSI grands comptes et investi sur les sujets réglementaire et sécurité. Cela ne veut pas dire qu’il n’y a eu que ça, il y a aussi des évolution coté utilisateur final, mais ce sera l’objet d’un autre article. En attendant, si vous avez des questions, n’hésitez pas à les poser dans les commentaires ou les réseaux sociaux.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.