Blog Sécurité des données

SharePoint : Meilleures pratiques d’affectation de droits

SharePoint est l’environnement proposé aux grandes entreprises par Microsoft pour partager des contenus : documents, présentations, feuilles de calcul, notes, images, etc. Si SharePoint présente de nombreux avantages par rapport à...
Jonathan Pistilli
5 minute de lecture
Dernière mise à jour 3 novembre 2021

Contents

    SharePoint est l’environnement proposé aux grandes entreprises par Microsoft pour partager des contenus : documents, présentations, feuilles de calcul, notes, images, etc.
    Si SharePoint présente de nombreux avantages par rapport à un système de fichiers bruts en termes de gestion de contenus, l’accès au contenu n’en reste pas moins régi par des droits.

    SharePoint possède ses propres types de droits (lecture seule, accès limité, lecture, contribution, etc.) qui peuvent varier en fonction du type d’objet (listes, sites, etc.).
    – Pour une liste complète de tous les droits SharePoint et leur signification, nous vous invitons à consulter cette ressource Microsoft. –

    Les administrateurs SharePoint peuvent être tout aussi désorientés par le niveau d’accès disponible en tant qu’admin de système de fichiers. En fait, cela se réduit également à comprendre les véritables droits qu’un utilisateur particulier possède pour une ressource spécifique. Il n’est pas facile d’y parvenir seul. Varonis DatAdvantage for SharePoint aide les organisations à comprendre les droits SharePoint.

    Problèmes courants sur les données avec SharePoint

    Affectation directe des utilisateurs aux LCA

    De nombreux sites et répertoires SharePoint sont directement accessibles aux utilisateurs. L’affectation directe d’utilisateurs complique la gestion des LCA : étant donné que ces utilisateurs n’appartiennent pas à un groupe, il devient difficile de suivre les LCA de chaque utilisateur lorsqu’elles doivent être mises à jour. Généralement, elles passent inaperçues et ne sont jamais recertifiées.

    Absence de recertification des accès

    La plupart des groupes SharePoint sont gérés par des employés non-spécialistes de l’entreprise plutôt que par l’informatique, et bien souvent, ils n’ont pas le temps de maintenir les LCA à jour. Cela pose souvent problème lorsqu’un employé change de groupe ou quitte l’entreprise.

    Trop d’utilisateurs dotés d’un contrôle total

    Compte tenu de la nature des groupes SharePoint, le groupe Propriétaires possède un contrôle total sur le site/répertoire auquel il est affecté. Généralement, les groupes SharePoint sont gérés par des employés classiques de l’entreprise. Si le service informatique a la capacité de procéder à une recertification, la plupart des employés courants n’ont pas connaissance de cette procédure et ne procèdent jamais à la recertification de leurs données.

    Trop de données obsolètes

    Les données obsolètes posent un problème qui affecte de nombreux systèmes SharePoint. Les données obsolètes, c’est-à-dire qui ne sont plus utilisées ou qui ne remplissent plus le rôle pour lequel elles ont été créées, consomment inutilement des ressources dont a besoin le reste du site. Ne perdez pas de vue que les données obsolètes peuvent contenir des informations permettant l’identification et d’autres informations sensibles et augmentent donc le risque encouru par l’entreprise en cas d’attaque ou d’incident.

    Meilleures pratiques de Varonis pour SharePoint

    Identifier les données sensibles consultées activement

    Affectez les droits et accès en fonction du contenu des données, en particulier lorsqu’elles exigent une protection plus précise, comme les sites/répertoires contenant des données sensibles.

    Créez des groupes de sécurité spécifiques aux données pour ces sites et répertoires, et évitez les droits directs.

    Par exemple, une société de service peut détenir des informations sensibles sur ses clients qui ne doivent être accessibles qu’à certaines personnes. Une fois que l’entreprise a identifié les sites/répertoires qui contiennent ces données, elle ne doit accorder des droits qu’uniquement aux personnes qui appartiennent à un groupe spécifique – et non attribuer des droits d’accès à ce dossier à des groupes d’envergure départementale.

    SharePoint
    Varonis DatAdvantage for SharePoint localise les informations sensibles permettant d’identifier les individus

    Classer et surveiller les données sensibles

    La classification et l’identification des données sensibles sont la clé d’une gouvernance adaptée. En sachant où se trouvent les données sensibles, les administrateurs SharePoint peuvent les verrouiller par le biais de la gestion des accès et en définissant des structures de droits pertinentes. La suppression des données sensibles obsolètes est une opération facile à réaliser qui réduit considérablement les risques tout en ayant un impact limité, voire nul, sur la communauté des utilisateurs.

    Archivage et suppression des données obsolètes

    Pour limiter le risque d’exposition des données sensibles et obtenir des résultats rapides, les administrateurs peuvent passer en revue leurs données obsolètes. Archivez et transférez les données à un emplacement où les droits sont attribués à un groupe d’administration limité, afin d’interdire efficacement tout accès aux autres utilisateurs. Au terme du délai fixé par l’entreprise pour la conservation des données obsolètes, celles-ci doivent être supprimées.

    Identifier et utiliser des propriétaires de données au cours de la procédure d’autorisation et de recertification

    Identifiez les propriétaires de données sensibles et protégées, et impliquez-les dans les procédures d’attribution des droits et de recertification.

    Gérez et maintenez à jour un mappage entre propriétaires et données pour vous assurer de la bonne exécution des processus d’autorisation et de recertification. Les objectifs du propriétaire des données doivent être alignés sur ceux du propriétaire du site ou de l’administrateur de collection de sites du côté de SharePoint.

    Gouvernance de l’accès

    Développez un processus clair pour les demandes d’accès et la recertification, une fois la propriété d’une ressource SharePoint affectée à un utilisateur de l’entreprise. Un workflow d’autorisation peut apporter l’assurance que les utilisateurs appliquent la bonne procédure de demande d’accès en permettant aux employés de l’entreprise qui sont propriétaires des données d’approuver ou refuser les demandes. À des fins d’audit, tenez un journal de toutes les demandes acceptées/refusées.

    Un workflow de recertification est essentiel pour les groupes SharePoint étant donné qu’ils ne sont généralement pas gérés par le service informatique et continuent de contenir des utilisateurs qui n’ont plus besoin de disposer d’un accès. Sans workflow d’autorisation et de recertification, les LCA peuvent redevenir désordonnées.

    Il est important de désactiver les demandes d’accès SharePoint natives pour les sites qui n’utilisent pas le partage externe. Ceci aura pour effet de limiter les demandes d’accès à l’outil choisi offrant davantage de capacité dans le cadre des demandes.

    Définir des normes de droits d’accès

    La même procédure peut être utilisée depuis la section sur les Données sensibles consultées activement et appliquée sur tous les sites et répertoires gérés. Créez des groupes de sécurité spécifiques aux données pour ces sites et répertoires, et évitez les droits directs.

    De nombreux clients utilisent des types de droits différents pour leurs sites et répertoires SharePoint. En mettant en place un modèle de moindre privilège, le client a l’assurance de n’accorder un accès qu’aux utilisateurs qui en ont besoin et avec un niveau d’accès adapté. Dans la plupart des cas, un ensemble de base constitué de trois droits SharePoint devrait pouvoir fournir les accès requis : Propriétaires (Complets), Membres (Contribution) et Visiteurs (Lecture). Le fait que SharePoint propose un niveau de droit autorisant le contrôle complet des sites doit inciter à prendre des précautions supplémentaires quant au choix des personnes qui figurent dans ce groupe Propriétaires.

    SharePoint
    Varonis DatAdvantage for SharePoint vous indique qui devrait avoir accès aux dossiers SharePoint

    Définir une structure de site et de droits adaptée

    Au niveau des sites et des répertoires, mieux vaut définir un point de démarcation pour indiquer à partir d’où la fonction d’héritage est désactivée et les groupes affectés gérés. Tous les éléments situés sous ce point de démarcation doivent hériter des droits le plus possible.

    Si les utilisateurs d’un groupe doivent disposer du même accès à un ensemble de données, ces données doivent être conservées sur un site ou dans un répertoire commun. Ceci réduit le nombre de recertifications et d’autorisations nécessaires et limite les fournitures d’accès redondantes. Si un sous-site ou sous-répertoire exige des droits différents, il doit être géré séparément ou les données doivent être déplacées de la structure en cours vers leur propre site/répertoire de niveau supérieur.

    Groupes Active Directory / Groupes SharePoint

    Bien qu’il soit possible d’utiliser à la fois des groupes SharePoint et des groupes Active Directory pour des sites et répertoires SharePoint, les groupes Active Directory sont généralement mieux gérés par le service informatique. Mieux vaut donc utiliser des groupes Active Directory dans la plupart des cas. Toutefois, vous aurez besoin de groupes SharePoint si une capacité de partage externe est nécessaire.

    Partage externe

    Le partage externe exige d’utiliser des groupes SharePoint. Les groupes SharePoint doivent être liés à un propriétaire de données et gérés de la même façon que les groupes AD. Il est possible de recertifier les membres des groupes SharePoint pour que seuls les utilisateurs ayant besoin d’un accès puissent accéder à un site ou à un répertoire.

    Accès anonyme

    Pour limiter les accès excessifs, désactivez l’accès anonyme aux sites internes. L’accès anonyme permet à n’importe qui de se connecter à un site sans données d’identification, et empêche de contrôler les actions des utilisateurs. Faites toujours preuve de vigilance lorsque vous recourez à l’accès anonyme et utilisez-le uniquement quand c’est nécessaire.

    Voulez-vous découvrir comment Varonis peut vous aider à protéger vos données dans SharePoint (et SharePoint Online) ? Bénéficiez d’une démonstration individuelle et voyez comment Varonis peut aider à rationaliser vos droits SharePoint, à savoir qui accède aux données dans SharePoint, et être averti de toute fuite de données et de surexposition des données dans SharePoint, et pouvoir y remédier.

    What should I do now?

    Below are three ways you can continue your journey to reduce data risk at your company:

    1

    Schedule a demo with us to see Varonis in action. We'll personalize the session to your org's data security needs and answer any questions.

    2

    See a sample of our Data Risk Assessment and learn the risks that could be lingering in your environment. Varonis' DRA is completely free and offers a clear path to automated remediation.

    3

    Follow us on LinkedIn, YouTube, and X (Twitter) for bite-sized insights on all things data security, including DSPM, threat detection, AI security, and more.

    Jonathan Pistilli

    Essayez Varonis gratuitement.

    Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
    Se déploie en quelques minutes.
    Commencer Voir un échantillon

    Keep reading

    Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

    les-trois-principaux-problèmes-de-sécurité-de-sharepoint
    Les trois principaux problèmes de sécurité de SharePoint
    les-trois-principaux-problèmes-de-sécurité-de-sharepoint
    David Gibson
    9 février 2013
    Publié le 13 décembre 2012 par Brian Vecci L’adoption rapide de SharePoint a débordé la capacité des entreprises à contrôler sa croissance et à faire appliquer des règles cohérentes de...
    aide-mémoire-sur-les-permissions-sharepoint
    Aide-mémoire sur les permissions SharePoint
    aide-mémoire-sur-les-permissions-sharepoint
    David Gibson
    20 octobre 2012
    de Brian Vecci La complexité est une chose dangereuse dans le monde de la sécurité.  Plus une chose est difficile à comprendre, plus elle est difficile à protéger.  SharePoint appartient...
    audit-de-fichiers-:-8-qualités-à-rechercher-dans-un-logiciel
    Audit de fichiers : 8 Qualités à rechercher dans un logiciel
    audit-de-fichiers-:-8-qualités-à-rechercher-dans-un-logiciel
    David Gibson
    21 novembre 2013
    Tout professionnel de l’informatique chevronné vous le dira : l’audit des fichiers et des courriers électroniques est une activité difficile. Vous êtes responsable d’un serveur de production Exchange ou SharePoint martelé...
    les-entreprises-ne-sont-pas-encore-prêtes-pour-la-nouvelle-réglementation-européenne-sur-la-protection-des-données
    Les entreprises ne sont pas encore prêtes pour la nouvelle réglementation européenne sur la protection des données
    les-entreprises-ne-sont-pas-encore-prêtes-pour-la-nouvelle-réglementation-européenne-sur-la-protection-des-données
    David Gibson
    16 juillet 2015
    Par Norman Girard, Vice Président et directeur général Europe de Varonis Varonis a récemment interrogé les professionnels présents lors du CeBIT à propos de leur compréhension globale de la prochaine...