SharePoint : Meilleures pratiques d’affectation de droits

SharePoint

SharePoint est l’environnement proposé aux grandes entreprises par Microsoft pour partager des contenus : documents, présentations, feuilles de calcul, notes, images, etc.
Si SharePoint présente de nombreux avantages par rapport à un système de fichiers bruts en termes de gestion de contenus, l’accès au contenu n’en reste pas moins régi par des droits.

SharePoint possède ses propres types de droits (lecture seule, accès limité, lecture, contribution, etc.) qui peuvent varier en fonction du type d’objet (listes, sites, etc.).
– Pour une liste complète de tous les droits SharePoint et leur signification, nous vous invitons à consulter cette ressource Microsoft. –

Les administrateurs SharePoint peuvent être tout aussi désorientés par le niveau d’accès disponible en tant qu’admin de système de fichiers. En fait, cela se réduit également à comprendre les véritables droits qu’un utilisateur particulier possède pour une ressource spécifique. Il n’est pas facile d’y parvenir seul. Varonis DatAdvantage for SharePoint aide les organisations à comprendre les droits SharePoint.

Problèmes courants sur les données avec SharePoint

Affectation directe des utilisateurs aux LCA

De nombreux sites et répertoires SharePoint sont directement accessibles aux utilisateurs. L’affectation directe d’utilisateurs complique la gestion des LCA : étant donné que ces utilisateurs n’appartiennent pas à un groupe, il devient difficile de suivre les LCA de chaque utilisateur lorsqu’elles doivent être mises à jour. Généralement, elles passent inaperçues et ne sont jamais recertifiées.

Absence de recertification des accès

La plupart des groupes SharePoint sont gérés par des employés non-spécialistes de l’entreprise plutôt que par l’informatique, et bien souvent, ils n’ont pas le temps de maintenir les LCA à jour. Cela pose souvent problème lorsqu’un employé change de groupe ou quitte l’entreprise.

Trop d’utilisateurs dotés d’un contrôle total

Compte tenu de la nature des groupes SharePoint, le groupe Propriétaires possède un contrôle total sur le site/répertoire auquel il est affecté. Généralement, les groupes SharePoint sont gérés par des employés classiques de l’entreprise. Si le service informatique a la capacité de procéder à une recertification, la plupart des employés courants n’ont pas connaissance de cette procédure et ne procèdent jamais à la recertification de leurs données.

Trop de données obsolètes

Les données obsolètes posent un problème qui affecte de nombreux systèmes SharePoint. Les données obsolètes, c’est-à-dire qui ne sont plus utilisées ou qui ne remplissent plus le rôle pour lequel elles ont été créées, consomment inutilement des ressources dont a besoin le reste du site. Ne perdez pas de vue que les données obsolètes peuvent contenir des informations permettant l’identification et d’autres informations sensibles et augmentent donc le risque encouru par l’entreprise en cas d’attaque ou d’incident.

Meilleures pratiques de Varonis pour SharePoint

Identifier les données sensibles consultées activement

Affectez les droits et accès en fonction du contenu des données, en particulier lorsqu’elles exigent une protection plus précise, comme les sites/répertoires contenant des données sensibles.

Créez des groupes de sécurité spécifiques aux données pour ces sites et répertoires, et évitez les droits directs.

Par exemple, une société de service peut détenir des informations sensibles sur ses clients qui ne doivent être accessibles qu’à certaines personnes. Une fois que l’entreprise a identifié les sites/répertoires qui contiennent ces données, elle ne doit accorder des droits qu’uniquement aux personnes qui appartiennent à un groupe spécifique – et non attribuer des droits d’accès à ce dossier à des groupes d’envergure départementale.

SharePoint

Varonis DatAdvantage for SharePoint localise les informations sensibles permettant d’identifier les individus

Classer et surveiller les données sensibles

La classification et l’identification des données sensibles sont la clé d’une gouvernance adaptée. En sachant où se trouvent les données sensibles, les administrateurs SharePoint peuvent les verrouiller par le biais de la gestion des accès et en définissant des structures de droits pertinentes. La suppression des données sensibles obsolètes est une opération facile à réaliser qui réduit considérablement les risques tout en ayant un impact limité, voire nul, sur la communauté des utilisateurs.

Archivage et suppression des données obsolètes

Pour limiter le risque d’exposition des données sensibles et obtenir des résultats rapides, les administrateurs peuvent passer en revue leurs données obsolètes. Archivez et transférez les données à un emplacement où les droits sont attribués à un groupe d’administration limité, afin d’interdire efficacement tout accès aux autres utilisateurs. Au terme du délai fixé par l’entreprise pour la conservation des données obsolètes, celles-ci doivent être supprimées.

Identifier et utiliser des propriétaires de données au cours de la procédure d’autorisation et de recertification

Identifiez les propriétaires de données sensibles et protégées, et impliquez-les dans les procédures d’attribution des droits et de recertification.

Gérez et maintenez à jour un mappage entre propriétaires et données pour vous assurer de la bonne exécution des processus d’autorisation et de recertification. Les objectifs du propriétaire des données doivent être alignés sur ceux du propriétaire du site ou de l’administrateur de collection de sites du côté de SharePoint.

Gouvernance de l’accès

Développez un processus clair pour les demandes d’accès et la recertification, une fois la propriété d’une ressource SharePoint affectée à un utilisateur de l’entreprise. Un workflow d’autorisation peut apporter l’assurance que les utilisateurs appliquent la bonne procédure de demande d’accès en permettant aux employés de l’entreprise qui sont propriétaires des données d’approuver ou refuser les demandes. À des fins d’audit, tenez un journal de toutes les demandes acceptées/refusées.

Un workflow de recertification est essentiel pour les groupes SharePoint étant donné qu’ils ne sont généralement pas gérés par le service informatique et continuent de contenir des utilisateurs qui n’ont plus besoin de disposer d’un accès. Sans workflow d’autorisation et de recertification, les LCA peuvent redevenir désordonnées.

Il est important de désactiver les demandes d’accès SharePoint natives pour les sites qui n’utilisent pas le partage externe. Ceci aura pour effet de limiter les demandes d’accès à l’outil choisi offrant davantage de capacité dans le cadre des demandes.

Définir des normes de droits d’accès

La même procédure peut être utilisée depuis la section sur les Données sensibles consultées activement et appliquée sur tous les sites et répertoires gérés. Créez des groupes de sécurité spécifiques aux données pour ces sites et répertoires, et évitez les droits directs.

De nombreux clients utilisent des types de droits différents pour leurs sites et répertoires SharePoint. En mettant en place un modèle de moindre privilège, le client a l’assurance de n’accorder un accès qu’aux utilisateurs qui en ont besoin et avec un niveau d’accès adapté. Dans la plupart des cas, un ensemble de base constitué de trois droits SharePoint devrait pouvoir fournir les accès requis : Propriétaires (Complets), Membres (Contribution) et Visiteurs (Lecture). Le fait que SharePoint propose un niveau de droit autorisant le contrôle complet des sites doit inciter à prendre des précautions supplémentaires quant au choix des personnes qui figurent dans ce groupe Propriétaires.

SharePoint

Varonis DatAdvantage for SharePoint vous indique qui devrait avoir accès aux dossiers SharePoint

Définir une structure de site et de droits adaptée

Au niveau des sites et des répertoires, mieux vaut définir un point de démarcation pour indiquer à partir d’où la fonction d’héritage est désactivée et les groupes affectés gérés. Tous les éléments situés sous ce point de démarcation doivent hériter des droits le plus possible.

Si les utilisateurs d’un groupe doivent disposer du même accès à un ensemble de données, ces données doivent être conservées sur un site ou dans un répertoire commun. Ceci réduit le nombre de recertifications et d’autorisations nécessaires et limite les fournitures d’accès redondantes. Si un sous-site ou sous-répertoire exige des droits différents, il doit être géré séparément ou les données doivent être déplacées de la structure en cours vers leur propre site/répertoire de niveau supérieur.

Groupes Active Directory / Groupes SharePoint

Bien qu’il soit possible d’utiliser à la fois des groupes SharePoint et des groupes Active Directory pour des sites et répertoires SharePoint, les groupes Active Directory sont généralement mieux gérés par le service informatique. Mieux vaut donc utiliser des groupes Active Directory dans la plupart des cas. Toutefois, vous aurez besoin de groupes SharePoint si une capacité de partage externe est nécessaire.

Partage externe

Le partage externe exige d’utiliser des groupes SharePoint. Les groupes SharePoint doivent être liés à un propriétaire de données et gérés de la même façon que les groupes AD. Il est possible de recertifier les membres des groupes SharePoint pour que seuls les utilisateurs ayant besoin d’un accès puissent accéder à un site ou à un répertoire.

Accès anonyme

Pour limiter les accès excessifs, désactivez l’accès anonyme aux sites internes. L’accès anonyme permet à n’importe qui de se connecter à un site sans données d’identification, et empêche de contrôler les actions des utilisateurs. Faites toujours preuve de vigilance lorsque vous recourez à l’accès anonyme et utilisez-le uniquement quand c’est nécessaire.

Voulez-vous découvrir comment Varonis peut vous aider à protéger vos données dans SharePoint (et SharePoint Online) ? Bénéficiez d’une démonstration individuelle et voyez comment Varonis peut aider à rationaliser vos droits SharePoint, à savoir qui accède aux données dans SharePoint, et être averti de toute fuite de données et de surexposition des données dans SharePoint, et pouvoir y remédier.