Principales considérations en matière de conformité et de sécurité pour le secteur de l’énergie
Introduction
Le secteur de l’énergie fournit à la société du carburant et des infrastructures essentielles sur lesquelles elle peut compter chaque jour. Afin d’assurer la fiabilité des infrastructures liées aux réseaux électriques, les autorités de régulation imposent des normes strictes aux organisations du secteur de l’énergie. Ces normes réglementaires concernent non seulement la génération et la transmission de l’énergie, mais aussi les données et les communications qui sont essentielles aux opérations quotidiennes des sociétés énergétiques.
Les organisations du secteur de l’énergie travaillent avec et échangent de nombreux types d’informations dans le cadre de leurs opérations régulières. Ces informations incluent les données client, la documentation de conception d’ingénierie des immobilisations, les cartes d’emplacement des ressources, les artefacts de gestion de projet, les métriques de performances, les rapports de service sur le terrain, les données environnementales et les métriques de performances. Alors que ces organisations cherchent à transformer leurs systèmes d’exploitation et de collaboration en plateformes numériques modernes, elles se tournent vers Microsoft en tant que fournisseur de services cloud (CSP) approuvé et Microsoft 365 comme plateforme de collaboration de pointe. Étant donné que Microsoft 365 est basé sur la plate-forme Microsoft Azure, les organisations doivent examiner les deux plateformes lorsqu’elles tiennent compte de leurs contrôles de conformité et de sécurité lors du passage au Cloud.
En Amérique du Nord, le North American Electric Reliability Corporation (NERC) applique des normes de fiabilité qui sont appelées les Normes de protection des infrastructures critiques (CIP, Critical Infrastructure Protection). La NERC est supervisée par la Commission fédérale de régulation de l’énergie (FERC, Federal Energy Regulatory Commission) des Etats-Unis et par les autorités gouvernementales au Canada. Tous les propriétaires, exploitants et utilisateurs de réseaux électriques doivent se déclarer auprès de la NERC et doivent se conformer aux normes CIP. Les fournisseurs de services cloud et les fournisseurs tiers tels que Microsoft ne sont pas soumis aux normes CIP de la NERC. Toutefois, les normes CIP incluent des objectifs qui doivent être pris en compte lorsque les entités enregistrées utilisent des fournisseurs pour l’exploitation du Système de production-transport d’électricité (BES, Bulk Electric System). Les clients Microsoft, exploitant des réseaux de production et transport d’électricité, sont entièrement responsables de la vérification de leur conformité aux normes CIP de la NERC.
Si vous souhaitez en savoir plus sur les services cloud de Microsoft et sur la NERC, consultez les ressources suivantes :
- Standards CIP de la NERC et Cloud Computing
- Guide de mise en œuvre dans le cloud pour les audits NERC
Les normes de régulation recommandées par les organisations énergétiques incluent le FedRAMP (Federal Risk and Authorization Management Program), basé sur la norme SP 800-53 Rev 4 du NIST (National Institute of Standards and Technology).
- Microsoft Office 365 et Office 365 pour le gouvernement des Etats-Unis ont reçu une autorisation de fonctionnement (ATO, Authorization to Operate) FedRAMP de niveau d’impact modéré.
- Azure et Azure Government ont reçu une autorisation provisoire de fonctionnement (P-ATO, Provisional Authorization to Operate) FedRAMP de niveau d’impact élevé, ce qui représente le niveau le plus haut d’autorisation du FedRAMP.
Si vous souhaitez en savoir plus sur les services cloud de Microsoft et sur le FedRAMP, consultez les ressources suivantes :
Ces réussites sont importantes pour l’industrie de l’énergie, car une comparaison de l’ensemble des contrôles modérés du FedRAMP avec les exigences CIP de la NERC montre que les contrôles modérés du FedRAMP englobent toutes les exigences CIP de la NERC. Pour plus d'informations, Microsoft a développé un Guide de mise en œuvre dans le cloud pour les audits de la NERC qui inclut un mappage de contrôle entre l’ensemble actuel des normes NERC CIP et l’ensemble des contrôles modérés du FedRAMP, comme indiqué dans la norme 800-53 Rev 4 du NIST.
Alors que le secteur de l’énergie cherche à moderniser ses plateformes de collaboration, une attention particulière est requise pour la configuration et le déploiement des outils de collaboration et de contrôles de sécurité, et notamment :
- l’évaluation des scénarios de collaboration courants
- l’accès aux données dont les employés ont besoin pour être productifs
- les exigences en matière de conformité
- les risques associés aux données, aux clients et à l’organisation
Microsoft 365 est un environnement cloud de l’espace de travail moderne. Il offre une collaboration sécurisée et flexible au sein de l’entreprise, y compris des contrôles et l’application des stratégies pour respecter les cadres de conformité réglementaires les plus stricts. Dans les articles suivants, cet article explore comment Microsoft 365 aide le secteur de l’énergie à passer à une plateforme de collaboration moderne tout en aidant à sécuriser et à maintenir les données et les systèmes à la fois sécurisés et conformes aux réglementations :
- Fournir une plateforme de collaboration complète avec Microsoft Teams
- Assurer une collaboration sécurisée et conforme au secteur de l’énergie
- Identifier les données sensibles et empêcher la perte de données
- Gérer les données en gérant efficacement les enregistrements
- Se conformer aux réglementations de la FERC et de la FTC pour les marchés de l’énergie
- Se protéger contre l’exfiltration des données et les risques internes
En tant que partenaire Microsoft, Protiviti a contribué et fourni des remarques importantes sur le contenu de cet article.
Fournir une plateforme de collaboration complète avec Microsoft Teams
La collaboration nécessite généralement, plusieurs formes de communication, la capacité de stocker et d’accéder à des documents et la possibilité d’intégrer d’autres applications si besoin. Qu’il s’agisse d’entreprises mondiales ou d’entreprises locales, les employés du secteur de l’énergie doivent généralement collaborer et communiquer avec les membres d’autres services ou entre les équipes. Ils ont également souvent besoin de communiquer avec des partenaires externes, des fournisseurs ou des clients. Par conséquent, l’utilisation de systèmes qui créent des silos ou rendent difficile le partage d’informations n’est généralement pas recommandée. Ceci étant dit, nous voulons toujours nous assurer que les employés partagent les informations en toute sécurité et conformément à la politique.
Fournir aux employés une plateforme de collaboration moderne et basée sur le cloud qui leur permet de choisir et d’intégrer facilement les outils qui les rendent les plus productifs leur permet de trouver les meilleures façons de travailler et de collaborer. L’utilisation de Microsoft Teams, conjointement avec des contrôles de sécurité et des stratégies de gouvernance qui protègent l’organisation, peut aider votre personnel à collaborer facilement dans le cloud.
Microsoft Teams offre un centre de collaboration pour votre organisation, qui permet aux utilisateurs de se rassembler rapidement, pour travailler efficacement et collaborer ensemble sur des initiatives ou des projets communs. Il permet aux membres de l’équipe de mener des conversations, de collaborer et de co-créer des documents. Il permet aux utilisateurs de stocker et de partager des fichiers avec des membres de l’équipe ou des personnes extérieures à l’équipe. Il leur permet également d’organiser des réunions en direct grâce à l’audio et la vidéo intégrées à l’entreprise. Microsoft Teams peut également être personnalisé avec un accès facile aux applications Microsoft telles que Planificateur, Dynamics 365, Power BI et d’autres applications métier tierces. Teams simplifie l’accès aux services Office 365 et aux applications tierces pour centraliser les besoins de collaboration et de communication de l’organisation.
Chaque équipe Microsoft s’appuie sur un groupe Office 365. Un groupe Office 365 est considéré comme le fournisseur d’adhésion pour de nombreux services Office 365, notamment Microsoft Teams. Les groupes Office 365 sont utilisés pour contrôler en toute sécurité les utilisateurs considérés comme membres et lesquels sont propriétaires du groupe. Cette conception nous permet de contrôler facilement quels utilisateurs ont accès à différentes fonctionnalités dans Teams. Par conséquent, les membres et les propriétaires de l’équipe peuvent uniquement accéder aux fonctionnalités qu’ils sont autorisés à utiliser.
Un scénario courant dans lequel Microsoft Teams peut bénéficier aux organisations énergétiques consiste à collaborer avec des sous-traitants ou des entreprises externes dans le cadre d’un programme de service sur le terrain, tel que la gestion de la forêt. Les sous-traitants sont généralement engagés pour gérer la forêt ou supprimer des arbre autour des installations du système électrique. Ils ont souvent besoin de recevoir des instructions de travail, de communiquer avec les répartiteurs et d’autres membres du personnel de service sur le terrain, de prendre et de partager des photos de l’environnement externe, de se déconnecter lorsque le travail est terminé et de partager des données avec le siège social. Traditionnellement, ces programmes sont exécutés à l’aide d’un téléphone, d’un texte, d’un ordre de travail papier ou d’applications personnalisées. Cette méthode peut présenter de nombreux défis. Par exemple :
- Les processus sont manuels ou analogiques, ce qui complique le suivi des mesures
- Les communications ne sont pas toutes capturées au même endroit
- Les données sont compartimentées et ne sont pas nécessairement partagées avec tous les employés qui en ont besoin.
- Le travail peut ne pas être effectué de manière cohérente ou efficace
- Les applications personnalisées ne sont pas intégrées aux outils de collaboration, ce qui rend difficile l’extraction et le partage des données ou la mesure des performances
Microsoft Teams offre un espace de collaboration facile à utiliser pour partager des informations et mener des conversations entre les membres de l’équipe et des sous-traitants de service externe de service sur le terrain, et ce, en toute sécurité. Teams peut être utilisé pour organiser des réunions, passer des appels vocaux, centraliser le stockage et le partage de manière centralisée des ordres de travail, collecter des données sur le terrain, charger des photos, intégrer des solutions de processus métier (créées avec Power Apps et Power Automate) et intégrer des applications métier. Ce type de données de service sur le terrain peut être considéré comme ayant un impact faible ; Toutefois, des gains d’efficacité peuvent être obtenus en centralisant les communications et les données d’accès entre les employés et le personnel de service sur le terrain dans ces scénarios.
Un autre exemple dans lequel Microsoft Teams peut bénéficier à l’industrie de l’énergie se situe lorsque les membres du personnel du service de terrain travaillent à la restauration d’un service pendant une panne. Le personnel sur le terrain a souvent besoin d’un accès rapide aux données schématiques pour les sous-stations, les stations de génération ou des plans des actifs sur le terrain. Ces données sont considérées comme ayant un impact élevé et doivent être protégées conformément aux réglementations CIP de la NERC. Le travail sur le terrain pendant les pannes nécessite une communication entre le personnel de terrain et les employés de bureau, qui à leur tour, communiquent avec les clients finaux. La centralisation des communications et du partage des données dans Microsoft Teams fournit au personnel de terrain une méthode simple pour accéder aux données essentielles et communiquer les informations ou l’état au siège social. Par exemple, Microsoft Teams permet au personnel sur le terrain de participer à des audioconférences pendant leur trajet vers une panne. Le personnel de terrain peut également prendre des photos ou des vidéos de son environnement et partager celles-ci avec le siège social, ce qui est particulièrement important lorsque l’équipement sur le terrain ne correspond pas aux schémas. Les données et l’état collectés sur le terrain peuvent alors être transmis aux employés de bureau et aux dirigeants par le biais d’outils de visualisation de données tels que Power BI. Au final, Microsoft Teams peut renforcer l’efficacité et la productivité du personnel de terrain dans ces situations critiques.
Teams : améliorer la collaboration et réduire les risques en matière de conformité
Microsoft 365 fournit des fonctionnalités de stratégie commune pour Microsoft Teams via l’utilisation de groupes Office 365 comme service d’appartenance sous-jacent. Ces stratégies peuvent contribuer à améliorer la collaboration et à respecter les exigences de conformité.
Les stratégies de noms de groupes Office 365 permettent de s’assurer que les groupes Office 365 et, par conséquent, Microsoft Teams, sont nommés conformément selon la stratégie d’entreprise. Le nom d’une équipe peut présenter des défis s’il n’est pas nommé correctement. Par exemple, les employés peuvent ne pas savoir dans quelles équipes travailler ou partager des informations s’ils sont mal nommés. Les stratégies de nommage de groupe permettent d’appliquer une bonne hygiène et peuvent également empêcher l’utilisation de mots spécifiques, tels que des mots réservés ou une terminologie inappropriée.
Office 365 stratégies d’expiration de groupe permettent de s’assurer que les groupes Office 365, et par conséquent Microsoft Teams, ne sont pas conservés pendant des périodes plus longues que celles requises par le organization. Cette fonctionnalité permet d’éviter deux problèmes de gestion des informations essentielles :
- La prolifération de Microsoft Teams qui ne sont pas nécessaires ou utilisés
- la conservation excessive de données qui n’est plus requise par l’organisation
Les administrateurs peuvent spécifier une période d’expiration pour les groupes Office 365 (par exemple 90, 180 ou 365 jours). Si un service stocké par un groupe Office 365 est inactif pendant la période d’expiration, les propriétaires de groupes en sont informés. Si aucune action n'est entreprise, le groupe Office 365 et tous les services associés, y compris Microsoft Teams, sont supprimés.
La rétention excessive de données dans une équipe Microsoft peut présenter des risques de litige pour les organisations. L’utilisation de stratégies d’expiration est une méthode recommandée pour protéger l’organisation. Combiné avec des étiquettes et des stratégies de conservation intégrées, Microsoft 365 permet de garantir que les organisations conservent uniquement les données nécessaires pour respecter les obligations de conformité réglementaire.
Teams : intégrer facilement les besoins personnalisés
Microsoft Teams permet la création en libre-service d’équipes par défaut. Cependant, de nombreuses organisations réglementées souhaitent contrôler et comprendre quels espaces de collaboration sont actuellement utilisés par les employés, quels espaces contiennent des données sensibles, et qui sont les propriétaires des espaces, dans l’ensemble de leur organisation. Pour faciliter ces contrôles, Microsoft 365 permet aux organisations de désactiver la création d’équipes en libre-service. De plus, l'utilisation d'outils intégrés d'automatisation des processus métier Microsoft 365, tels que Power Apps et Power Automate, permet aux organisations de créer des processus simples pour demander une nouvelle équipe. En remplissant un formulaire facile à utiliser, une approbation peut être automatiquement demandée par un responsable. Une fois approuvée, l’équipe peut être automatiquement mise à disposition et le demandeur reçoit un lien vers sa nouvelle équipe. En créant de tels processus, les organisations peuvent également intégrer des exigences personnalisées pour faciliter d’autres processus métier.
Assurer une collaboration sécurisée et conforme au secteur de l’énergie
Comme mentionné, Microsoft Office 365 et Office 365 U.S. Government ont chacun atteint ATO FedRAMP au niveau d’impact modéré. Azure et Azure Government ont obtenu une autorisation provisoire de fonctionnement (P-ATO, Provisional Authorization to Operate) FedRAMP de niveau d’impact élevé, ce qui représente le niveau le plus haut d’autorisation du FedRAMP. De plus, l’ensemble des contrôles modérés du FedRAMP englobent toutes les exigences CIP de la NERC, permettant ainsi aux organisations du secteur de l’énergie ("entités enregistrées") d’exploiter les autorisations FedRAMP existantes comme une approche évolutive et efficace pour répondre aux exigences d’audit de la NERC. Toutefois, il est important de noter que FedRAMP n’est pas une certification à un instant dans le temps, mais un programme d’évaluation et d’autorisation qui inclut des dispositions pour la surveillance continue. Bien que cette disposition s’applique principalement au fournisseur de solutions Cloud, les clients de Microsoft qui utilisent des systèmes électriques en bloc sont responsables de garantir leur propre conformité aux normes NERC CIP. Il est généralement recommandé de surveiller en permanence la posture de conformité de l’organization pour garantir la conformité continue aux réglementations.
Microsoft fournit un outil principal pour vous aider à contrôler la conformité aux réglementations dans la durée :
- Le Gestionnaire de conformité Microsoft Purview aide l’organisation à comprendre sa position actuelle en matière de conformité et les actions qu’elle peut prendre pour l’améliorer. Le gestionnaire de conformité calcule un score basé sur le risque mesurant les progrès accomplis dans la réalisation d’actions qui aident à réduire les risques liés à la protection des données et aux normes réglementaires. Le gestionnaire de conformité fournit une note initiale basée sur la protection de base des données Microsoft 365. Cette ligne de base est un ensemble de contrôles qui incluent les réglementations et les normes courantes de l'industrie. Bien que ce gestionnaire constitue un bon point de départ, il devient plus efficace lorsqu’une organisation ajoute des évaluations qui sont plus pertinentes pour son industrie. Le gestionnaire de conformité prend en charge un certain nombre de normes réglementaires pertinentes pour les obligations de conformité aux CIP de la NERC, notamment l’ensemble des contrôles modérés FedRAMP, la norme 800-53 Rev 4 du NIST et la norme SOC 2 de l’AICPA. Les organisations du secteur de l’énergie peuvent également créer ou importer des jeux de contrôle personnalisés si nécessaire.
Les fonctionnalités de flux de travail intégrées dans le score de conformité et le gestionnaire de conformité, permettent aux organisations énergétiques de transformer et de numériser leurs processus de conformité réglementaire. Traditionnellement, les équipes de conformité du secteur de l’énergie font face aux défis suivants :
- rapports ou suivi incohérents des progrès des mesures correctives
- processus inefficaces ou inutiles
- ressources insuffisantes ou manque d’appropriation
- manque d’informations en temps réel et erreur humaine
L’automatisation de certains aspects des processus de conformité réglementaire grâce à l’utilisation du gestionnaire de conformité permet aux organisations de réduire la charge administrative des fonctions juridiques et de conformité. Cet outil peut vous aider à résoudre ces problèmes en fournissant des informations plus récentes sur les actions correctives, la création de rapports plus cohérents et la propriété détaillée des actions (liée à la mise en œuvre des actions). Les organisations peuvent suivre automatiquement les actions correctives au fil du temps et constater les gains d’efficacité globaux. Cette fonctionnalité permet au personnel de concentrer davantage d’efforts sur l’obtention d’insights et le développement de stratégies pour aider à naviguer plus efficacement contre les risques.
Le Gestionnaire de conformité n’exprime pas une mesure absolue de la conformité organisationnelle à une norme ou à une réglementation particulière. Il exprime le degré d’adoption des contrôles permettant de réduire les risques auxquels sont exposés les données à caractère personnel et la confidentialité individuelle. Les recommandations du Gestionnaire de conformité ne doivent pas être interprétées comme une garantie de conformité. Les actions client fournies dans le Gestionnaire de conformité sont des recommandations. Il incombe à chaque organization d’évaluer l’efficacité de ces recommandations pour respecter ses obligations réglementaires avant la mise en œuvre. Les recommandations trouvées dans le Gestionnaire de conformité ne doivent pas être interprétées comme une garantie de conformité.
De nombreux contrôles liés à la cybersécurité sont inclus dans l’ensemble des contrôles modérés du FedRAMP et les normes NERC CIP. Cependant, les contrôles clés liés à la plate-forme Microsoft 365 comprennent les contrôles de gestion de la sécurité (CIP-003-6), la révocation de la gestion ou de l’accès aux comptes (CIP-004-6), le périmètre de sécurité électronique (CIP-005-5), la surveillance des évènements de sécurité et la réponse aux incidents (CIP-008-5). Les fonctionnalités de base de Microsoft 365 suivantes vous aident à gérer les risques et les exigences inclus dans ces articles.
Sécuriser les identités des utilisateurs et contrôler l’accès
La protection de l’accès aux documents et aux applications commence par la sécurisation élevée des identités des utilisateurs. En tant que base, cette action nécessite de fournir une plateforme sécurisée pour l’entreprise afin de stocker et de gérer les identités, et de fournir un moyen d’authentification approuvé. Cela nécessite également un contrôle dynamique de l’accès à ces applications. À mesure que les employés travaillent, ils peuvent passer d’une application à l’autre ou à plusieurs emplacements et appareils. C’est pourquoi l’accès aux données doit être authentifié à chaque étape du processus. En outre, le processus d’authentification doit prendre en charge un protocole fort et plusieurs facteurs d’authentification (code de passe SMS à usage unique, application d’authentification, certificat, etc.) pour garantir que les identités n’ont pas été compromises. Enfin, l’application de stratégies d’accès basées sur les risques est une recommandation clé pour protéger les données et les applications contre les menaces internes, les fuites de données par inadvertance et l’exfiltration de données.
Microsoft 365 fournit une plateforme d’identification sécurisée avec Microsoft Entra ID où les identités sont stockées de manière centralisée et gérées de manière sécurisée. Microsoft Entra ID, ainsi qu’une multitude de services de sécurité Microsoft 365 associés, constitue la base pour fournir aux employés l’accès dont ils ont besoin pour travailler en toute sécurité tout en protégeant les organization contre les menaces.
Microsoft Entra’authentification multifacteur (MFA) est intégrée à la plateforme et fournit une couche de protection supplémentaire pour vous assurer que les utilisateurs sont bien ceux qu’ils prétendent être lorsqu’ils accèdent aux données et applications sensibles. Microsoft Entra l’authentification multifacteur nécessite au moins deux formes d’authentification, comme un mot de passe et un appareil mobile connu. Elle prend en charge plusieurs options d’authentification par deuxième facteur, notamment : l’application Microsoft Authenticator, un code secret unique fourni par SMS, la réception d’un appel téléphonique dans lequel un utilisateur doit saisir un code confidentiel, et une authentification basée sur des cartes à puce ou un certificat. Dans le cas où un mot de passe serait compromis, un pirate informatique potentiel a toujours besoin du téléphone de l’utilisateur pour accéder aux données de l’organisation. De plus, Microsoft 365 utilise l’authentification moderne comme protocole clé, apportant la même expérience d’authentification élevée que celles des navigateurs web aux outils de collaboration, y compris pour les applications Microsoft Outlook et Microsoft Office.
Microsoft Entra l’accès conditionnel fournit une solution robuste pour automatiser les décisions de contrôle d’accès et appliquer des stratégies pour protéger les ressources de l’entreprise. Un exemple courant est lorsqu’un employé tente d’accéder à une application contenant des données client sensibles et qu’il est automatiquement tenu d’effectuer une authentification multifacteur. L’accès conditionnel Azure regroupe les signaux de la demande d’accès d’un utilisateur (tels que les propriétés concernant l’utilisateur, son appareil, son emplacement, son réseau et l’application ou le dépôt auquel il tente d’accéder). Il évalue dynamiquement chaque tentative d’accès à l’application par rapport aux stratégies que vous configurez. Si le risque de l’utilisateur ou de l’appareil est élevé, ou si d’autres conditions ne sont pas remplies, Microsoft Entra ID applique automatiquement la stratégie (par exemple, exiger dynamiquement l’authentification multifacteur, restreindre ou même bloquer l’accès). Cette conception permet de s’assurer que les ressources sensibles sont protégées dans des environnements changeant dynamiquement.
Microsoft Defender pour Office 365 (ATP) fournit un service intégré qui protège les organisations contre les liens et les programmes malveillants envoyés par e-mail. L’un des vecteurs d’attaque les plus courants affectant les utilisateurs aujourd’hui est les attaques par hameçonnage par e-mail. Ces attaques peuvent cibler, de façon minutieuse, des employés très précis et peuvent être conçues de façon très convaincantes. Ils contiennent généralement un appel à l’action qui oblige un utilisateur à sélectionner un lien malveillant ou à ouvrir une pièce jointe avec un programme malveillant. Une fois l’appareil infecté, un attaquant peut voler les informations d’identification d’un utilisateur et se déplacer latéralement dans l’organisation. Il peut également exfiltrer les courriers électroniques et les données et rechercher des informations sensibles. Microsoft Defender pour Office 365 évalue les liens au moment du clic pour les sites potentiellement malveillants et les bloque. Les pièces jointes aux courriers électroniques sont ouvertes dans un bac à sable protégé avant d’être envoyées dans la boîte aux lettres d’un utilisateur.
Microsoft Defender pour les applications cloud offre aux organisations la possibilité d’appliquer des stratégies à un niveau granulaire. Cette conception inclut la détection des anomalies comportementales basées sur des profils utilisateur individuels qui sont automatiquement définis à l’aide du Machine Learning. Defender pour les applications Cloud s’appuie sur les stratégies d’accès conditionnel Azure en évaluant des signaux supplémentaires liés au comportement des utilisateurs et aux propriétés des documents consultés. Au fil du temps, Defender pour les applications Cloud apprend le comportement typique de chaque employé (les données auxquelles ils accèdent et les applications qu'ils utilisent). En se basant sur les modèles de comportement appris, les stratégies peuvent automatiquement appliquer les contrôles de sécurité si un employé change de comportement. Par exemple, si un employé accède généralement à une application de comptabilité de 9h00 à 17h00, du lundi au vendredi, mais que ce même utilisateur commence à accéder fortement à cette application le dimanche soir, Defender for Cloud Apps peut appliquer dynamiquement des stratégies pour demander à l’utilisateur de s’authentifier à nouveau. Cette exigence permet de s’assurer que les informations d’identification n’ont pas été compromises. De plus, Defender pour les applications Cloud peut vous aider à découvrir et identifier le Shadow IT dans l'organisation. Cette fonctionnalité permet aux équipes InfoSec de s’assurer que les employés utilisent des outils sanctionnés lorsqu’ils travaillent avec des données sensibles. Enfin, Defender pour Cloud Apps peut protéger les données sensibles n’importe où dans le cloud, même en dehors de la plateforme Microsoft 365. Il permet aux organisations de sanctionner (ou d’annuler l’approbation) d’applications cloud externes spécifiques, en contrôlant l’accès et en surveillant le moment où les utilisateurs travaillent dans ces applications.
Microsoft Entra ID, ainsi que les services de sécurité Microsoft 365 associés, fournissent la base sur laquelle une plateforme de collaboration cloud moderne peut être déployée auprès des organisations du secteur de l’énergie. Microsoft Entra ID comprend des contrôles pour protéger l’accès aux données et aux applications. En plus de fournir une sécurité renforcée, ces contrôles aident les organisations à respecter les obligations de conformité réglementaire.
Microsoft Entra ID et les services Microsoft 365 et sont profondément intégrés et fournissent les fonctionnalités importantes suivantes :
- stocker et gérer de façon sécurisée les identités des utilisateurs.
- Utiliser un protocole d’authentification forte, y compris l’authentification multifacteur, pour authentifier les utilisateurs sur les demandes d’accès
- Offrir une expérience d'authentification cohérente et robuste dans n’importe quelle application
- Valider dynamiquement les stratégies sur toutes les demandes d'accès, en intégrant de multiples signaux dans le processus de décision de la politique (y compris l'identité, l'appartenance à un utilisateur/groupe, une application, un appareil, un réseau, un emplacement et un score de risque en temps réel)
- valider des stratégies granulaires basées sur le comportement des utilisateurs et les propriétés des fichiers et appliquer de manière dynamique des mesures de sécurité supplémentaires si nécessaire.
- identifier les informatiques fantômes dans l’organisation, et permettre aux équipes InfoSec de sanctionner ou de bloquer les applications cloud.
- surveiller et contrôler l’accès aux applications cloud Microsoft et non Microsoft.
- se protéger de manière proactive contre l’hameçonnage du courrier électronique et les attaques de ransomware.
Identifier les données sensibles et empêcher la perte de données
L’ensemble des contrôles modérés du FedRAMP et les normes CIP de la NERC incluent également la protection des informations comme exigence de contrôle essentielle (CIP-011-2). Ces exigences répondent spécifiquement à la nécessité d’identifier les informations relatives aux informations du système électronique BES (Bulk Electric System) et de la protection et du traitement sécurisé de ces informations (y compris le stockage, le transit et l’utilisation). Des exemples spécifiques d’informations sur les systèmes informatiques BES peuvent inclure des procédures de sécurité ou des informations de sécurité sur les systèmes qui sont fondamentaux pour le fonctionnement du système électrique en bloc (SYSTÈMES CYBER BES, Systèmes d’Access Control physique et systèmes de Access Control ou de surveillance électroniques) qui ne sont pas disponibles publiquement et qui peuvent être utilisés pour autoriser l’accès non autorisé ou la distribution non autorisée. Cependant, le même besoin existe pour identifier et protéger les informations des clients qui sont essentielles aux opérations quotidiennes des organisations énergétiques.
Microsoft 365 permet d’identifier et de protéger les données sensibles au sein de l’organisation grâce à une combinaison de fonctionnalités puissantes, notamment :
Protection des données Microsoft Purview pour la classification basée sur l’utilisateur et la classification automatisée des données sensibles
Protection contre la perte de données Microsoft Purview (DLP) pour l’identification automatisée des données sensibles à l’aide de types de données sensibles (c’est-à-dire d’expressions régulières) et de mots clés, et l’application des stratégies
La Protection des données Microsoft Purview permet aux employés de classifier des documents et des e-mails avec des étiquettes de confidentialité. Les étiquettes de confidentialité peuvent être appliquées manuellement par les utilisateurs aux documents dans les applications Microsoft Office et aux courriers électroniques dans Outlook. Les étiquettes de sensibilité peuvent appliquer automatiquement des marquages de document, une protection par chiffrement et appliquer la gestion des droits. Les étiquettes de confidentialité peuvent également être appliquées automatiquement en configurant des stratégies qui utilisent des mots clés et des types de données sensibles (numéros de carte de crédit, numéros de sécurité sociale, numéros d’identité, etc.).
Microsoft fournit également des classificateurs pouvant être entraînés. Ceux-ci utilisent des modèles d’apprentissage automatique pour identifier les données sensibles en fonction de ce qu’est le contenu, par opposition à une simple correspondance de modèles ou par les éléments du contenu. Un classificateur apprend à identifier un type de contenu en examinant de nombreux exemples de contenu à classer. La formation d’un classifieur commence en lui présentant des exemples de contenu dans une catégorie particulière. Une fois qu’il a traité les exemples, le modèle est testé en lui fournissant un mélange d’exemples correspondants et non correspondants. Ensuite, le classifieur estime si un exemple donné est inclus dans la catégorie. Une personne confirme ensuite les résultats, en triant les positifs, les négatifs, les faux positifs et les faux négatifs pour améliorer la précision des prévisions du classifieur. Lorsque le classifieur formé est publié, il traite et classifie automatiquement le contenu dans SharePoint Online, Exchange Online et OneDrive.
L’application d’étiquettes de confidentialité aux documents et aux e-mails incorpore des métadonnées dans l’objet qui identifie la sensibilité choisie, ce qui permet à la sensibilité de voyager avec les données. Par conséquent, même si un document étiqueté est stocké sur le bureau d’un utilisateur ou dans un système local, il est toujours protégé. Cette conception permet à d’autres solutions Microsoft 365, telles que les Microsoft Defender for Cloud Apps ou les périphériques réseau, d’identifier les données sensibles et d’appliquer automatiquement des contrôles de sécurité. Les étiquettes de confidentialité ont l’avantage supplémentaire d’informer les employés sur les données au sein d’une organisation qui sont considérées comme sensibles et sur la manière de gérer ces données.
Protection contre la perte de données Microsoft Purview (DLP) identifie automatiquement les documents, les e-mails et les conversations qui contiennent des données sensibles en analysant ces éléments à la recherche de types de données sensibles, puis en appliquant des stratégies sur ces objets. Les stratégies sont appliquées sur les documents dans SharePoint et OneDrive Entreprise. Les stratégies sont également appliquées lorsque les utilisateurs envoient des e-mails et dans Microsoft Teams dans les conversations de chat et de canal. Les stratégies peuvent être configurées pour rechercher des mots-clés, des types de données sensibles, des étiquettes de conservation, et si des données sont partagées au sein de l'organisation ou à l'extérieur. Des contrôles sont fournis pour aider les organisations à optimiser les stratégies DLP pour éviter au maximum les faux positifs. Lorsque des données sensibles sont trouvées, des conseils de stratégie personnalisables peuvent être affichés aux utilisateurs dans les applications Microsoft 365. Les conseils de politique informent les utilisateurs que leur contenu contient des données sensibles et peuvent proposer des actions correctives. Les stratégies peuvent également empêcher les utilisateurs d’accéder aux documents, de partager des documents ou d’envoyer des messages électroniques qui contiennent certains types de données sensibles. Microsoft 365 prend en charge plus de 100 types de données sensibles intégrés. Les organisations peuvent configurer des types de données sensibles personnalisés pour satisfaire leur stratégie.
Le déploiement des stratégies de la protection des données et la protection contre la perte de données Microsoft Purview au sein des organisations nécessite une planification minutieuse. Cela nécessite également une formation des utilisateurs afin que les employés comprennent le schéma de classification des données de l’organisation et quels types de données sont sensibles. Fournir aux employés des outils et des programmes de formation qui les aident à identifier les données sensibles et à comprendre comment les traiter, leur permet de faire partie de la solution pour atténuer les risques liés à la sécurité des informations.
Gérer les données en gérant efficacement les enregistrements
Les réglementations nécessitent de nombreuses organisations pour gérer la conservation des documents clés pour l’organisation en fonction de la planification de conservation de l’entreprise gérée. Les organisations sont confrontées à des risques de non conformité réglementaire si les données sont supprimées trop tôt ou à des risques juridiques si les données sont conservées trop longtemps. Des stratégies efficaces de gestion des documents aident à garantir que les documents de l’organisation sont conservés selon des périodes de conservation prédéterminées conçues pour minimiser les risques pour l’organisation. Les périodes de conservation sont prescrites dans un calendrier de conservation des dossiers organisationnels géré de manière centralisée. Les périodes de conservation sont basées sur la nature de chaque type de document, les exigences de conformité réglementaire pour la conservation de types de données spécifiques et les stratégies définies de l’organisation.
L’attribution précise de périodes de rétention d’enregistrements entre les documents de l’organisation peut nécessiter un processus granulaire qui affecte des périodes de rétention de manière unique à des documents individuels. L’application de stratégies de conservation des enregistrements à grande échelle peut être difficile pour de nombreuses raisons. Ces raisons incluent le grand nombre de documents au sein des organisations du secteur de l’énergie ainsi que le fait que, dans de nombreux cas, les périodes de conservation peuvent être déclenchées par des événements organisationnels (tels que des contrats expirant ou un employé quittant l’organisation).
Microsoft 365 offre des fonctionnalités pour définir des étiquettes et des stratégies de conservation afin de mettre en œuvre facilement les exigences de gestion des enregistrements. Un gestionnaire d’enregistrements définit une étiquette de conservation, qui représente un « type d’enregistrement » dans un planning de conservation classique. L’étiquette de conservation contient les paramètres qui définissent les informations suivantes :
- la durée de conservation d’un enregistrement
- les exigences de concurrence ou ce qui se produit à l’expiration de la période de conservation (supprimer le document, démarrer une révision de disposition ou ne rien faire)
- les déclencheurs de la période de conservation (date de création, date de dernière modification, date étiqueté ou un événement), et
- Si le document ou l’e-mail est un enregistrement (ce qui signifie qu’il ne peut pas être modifié ou supprimé)
Les étiquettes de conservation sont ensuite publiées sur les sites SharePoint ou OneDrive, les boîtes aux lettres Exchange et les groupes Office 365. Les utilisateurs peuvent ensuite appliquer manuellement des étiquettes de rétention aux documents et aux e-mails. Ou bien, les gestionnaires d’enregistrements peuvent utiliser des règles pour appliquer automatiquement des étiquettes de rétention. Les règles d’application automatique peuvent être basées sur des mots clés ou des données sensibles trouvées dans des documents ou des e-mails, tels que des numéros de carte de crédit, des numéros de sécurité sociale ou d’autres informations personnellement identifiables (PII). Les règles d’application automatique peuvent également être basées sur les métadonnées SharePoint.
L’ensemble des contrôles modérés du FedRAMP et les normes CIP de la NERC incluent également la réutilisation et l’élimination des ressources comme exigence de contrôle essentielle (CIP-011-2). Ces exigences s’adressent, une fois de plus, spécifiquement aux informations du Système de production-transport d’électricité. Toutefois, d’autres règlements de compétence exigent que les organisations de l’industrie de l’énergie gèrent et éliminent efficacement les enregistrements pour de nombreux types d’informations. Ces informations comprennent les états financiers, les informations sur les projets d’immobilisations, les budgets, les données des clients, etc. Dans tous les cas, les organisations énergétiques sont tenues de maintenir des programmes de gestion des dossiers solides et des preuves liées à la disposition défendable des dossiers de l’entreprise.
Avec chaque étiquette de rétention, Microsoft 365 permet aux gestionnaires d’enregistrements de déterminer si une révision de destruction est requise. Ensuite, lorsque ces types d’enregistrement sont proposés pour destruction, une fois leur période de conservation expirée, un examen doit être effectué, par les examinateurs de destruction désignés, avant la suppression du contenu. Une fois la révision de destruction approuvée, la suppression du contenu est effectuée. Cependant, la preuve de la suppression (l’utilisateur qui a effectué la suppression et la date/l’heure à laquelle elle s’est produite) est toujours conservée pendant plusieurs années en tant que certificat de destruction. Si les organisations ont besoin d’une conservation plus longue ou permanente des certificats de destruction, elles peuvent utiliser Microsoft Sentinel pour le stockage cloud à long terme des données de journal et d’audit. Microsoft Sentinel donne aux organisations un contrôle total sur le stockage et la conservation à long terme des données d’activité, des données de journal et des données de conservation/disposition.
Se conformer aux réglementations de la FERC et de la FTC pour les marchés de l’énergie
La Commission fédérale de la réglementation des États-Unis (FERC) supervise les réglementations relatives aux marchés de l’énergie et aux échanges sur les marchés de l’énergie électrique et du gaz naturel. La Federal Trade Commission (FTC) supervise les mêmes réglementations sur le marché du pétrole. Dans les deux cas, ces organismes de réglementation ont établi des règles et des orientations pour interdire la manipulation des marchés de l’énergie. Par exemple, la FERC recommande aux organisations énergétiques d’investir dans des ressources technologiques pour surveiller les transactions, les communications avec les négociants et le respect des contrôles internes. Les régulateurs recommandent également que les organisations énergétiques évaluent régulièrement l’efficacité continue du programme de conformité de l’organisation.
Traditionnellement, les solutions de surveillance des communications sont coûteuses et peuvent être complexes à configurer et à gérer. De plus, les organisations peuvent éprouver des difficultés à surveiller les nombreux canaux de communication variés mis à la disposition des employés. Microsoft 365 fournit plusieurs fonctionnalités intégrées pour surveiller les communications des employés, superviser les activités des employés et aider à se conformer aux réglementations de la FERC pour les marchés de l’énergie.
Mettre en place un contrôle de surveillance
Microsoft 365 permet aux organisations de configurer des stratégies de surveillance qui capturent les communications des employés (en fonction des conditions configurées) et permettent à celles-ci d’être examinées par des superviseurs désignés. Les stratégies de supervision peuvent capturer les e-mails et les pièces jointes internes/externes, les communications de chat et de canal Microsoft Teams, les communications de chat et les pièces jointes de Skype Entreprise Online et les communications via des services tiers (tels que Facebook ou Dropbox).
La nature complète des communications qui peuvent être capturées et examinées dans un organization et les conditions étendues avec lesquelles les stratégies peuvent être configurées permettent aux stratégies de supervision Microsoft 365 d’aider les organisations à se conformer aux réglementations du marché de l’énergie ferc. Les stratégies de supervision peuvent être configurées pour examiner les communications d’individus ou de groupes. En outre, les superviseurs peuvent être configurés pour être des individus ou des groupes. Des conditions complètes peuvent être configurées pour capturer des communications sur la base de messages entrants, de domaines, d’étiquettes de rétention, de mots clés ou d’expressions, de dictionnaires de mots clés, de types de données sensibles, de pièces jointes, de taille de message ou de taille de pièces jointes. Les examinateurs disposent d’un tableau de bord dans lequel ils peuvent examiner les communications avec indicateur, agir sur les communications qui pourraient enfreindre les stratégies ou marquer les éléments marqués comme résolus. Ils peuvent également passer en revue les résultats des révisions précédentes et les éléments qui ont été résolus.
Microsoft 365 fournit des rapports qui permettent aux activités de révision des stratégie de surveillance d’être auditées en fonction de la stratégie et du réviseur. Les rapports disponibles peuvent être utilisés pour valider que les stratégies de supervision fonctionnent comme défini par les politiques de supervision écrites de l’organisation. Les rapports peuvent également être utilisés pour identifier les communications qui nécessitent une révision, y compris les communications qui ne sont pas conformes à la stratégie d’entreprise. Enfin, toutes les activités liées à la configuration des stratégies de surveillance et à la consultation des communications sont auditées dans le journal d’audit unifié d’Office 365.
Les stratégies de surveillance de Microsoft 365 permettent aux organisations de surveiller les communications pour vérifier leur conformité avec les stratégies de l’entreprise, comme par exemple, les violations de harcèlement des ressources humaines et les propos injurieux dans les communications de l’entreprise. Elles permettent également aux organisations de réduire les risques, en surveillant les communications lorsque les organisations subissent des changements organisationnels sensibles, comme des fusions, des acquisitions ou des changements de direction.
Conformité des communications
Avec de nombreux canaux de communication disponibles pour les employés, les organisations ont de plus en plus besoin de solutions efficaces pour détecter et examiner les communications dans des secteurs réglementés tels que les marchés commerciaux de l’énergie. Ces défis peuvent inclure l’augmentation du nombre de canaux de communication et du volume de messages, ainsi que le risque d’amendes potentielles pour violations de stratégie.
La Conformité des communications de Microsoft Purview est une solution de conformité qui permet de réduire les risques de communication en vous aidant à détecter, examiner et agir sur les messages inappropriés au sein de votre organisation. Les stratégies prédéfinies et personnalisées vous permettent d’analyser les communications relatives aux correspondances de stratégie internes et externes pour les examiner par des réviseurs désignés. Les réviseurs peuvent examiner les e-mails analysés, Microsoft Teams, Viva Engage ou les communications tierces dans votre organization et prendre les mesures appropriées pour s’assurer qu’ils sont conformes aux normes de message de votre organization.
La conformité des communications permet aux équipes de conformité d’examiner les messages de façon efficace afin d’éviter les infractions suivantes :
- Les infractions aux stratégies d’entreprise, telles que l’utilisation acceptable, les normes éthiques et les stratégies spécifiques à l’entreprise
- La sensibilité ou la divulgation d’informations professionnelles sensibles, telles que des communications non autorisées concernant des projets sensibles, comme les acquisitions imminentes, les fusions, les informations de confidentialité, les réorganisations ou les équipes de direction.
- les exigences de conformité réglementaire, telles que les communications des employés concernant les types d’entreprises ou les transactions dans lesquelles une organisation s’engage en conformité avec les réglementations FERC pour les marchés de l’énergie
La conformité des communications fournit des classifieurs de menaces, de harcèlement et de blasphèmes intégrés pour aider à réduire les faux positifs lors de l’examen des communications. Cette classification permet aux réviseurs de gagner du temps pendant le processus d’investigation et de correction. Cela permet également aux examinateurs de se concentrer sur des messages spécifiques dans de longs fils de discussion qui ont été mis en évidence par des alertes de stratégie. Ce résultat permet aux équipes de conformité d’identifier et de corriger plus rapidement les risques. Cela offre aux équipes de conformité la possibilité de configurer et d’affiner facilement les stratégies, d’ajuster la solution aux besoins spécifiques de l’organisation et de réduire les faux positifs. La conformité des communications peut également aider à identifier le comportement des utilisateurs potentiellement à risque au fil du temps, en mettant en évidence les modèles potentiels de comportements à risque ou de violations de stratégie. Enfin, il fournit des workflows de correction intégrés flexibles. Ces flux de travail aident les réviseurs à prendre rapidement des mesures pour remonter aux équipes juridiques ou des ressources humaines conformément aux processus d’entreprise définis.
Protéger contre le risque d’exfiltration des données et interne
Une menace courante pour les entreprises est l'exfiltration de données, ou l'opération consistant à extraire des données d'une organisation. Cette action peut être une préoccupation importante pour les organisations énergétiques en raison de la nature sensible des informations auxquelles les employés ou le personnel des services sur le terrain ont accès au quotidien. Ces données comprennent à la fois des informations sur le système électronique BES (Bulk Electric System) ainsi que des informations commerciales et des données sur les clients. Avec l’augmentation des méthodes de communication disponibles et de nombreux outils pour déplacer les données, des outils avancés sont généralement nécessaires pour atténuer les risques de fuites de données, de violations de stratégie et de risques internes.
Gestion des risques internes
L’activation des employés avec des outils de collaboration en ligne qui peuvent être accessibles n’importe où, par nature, présente un risque pour un organization. Les employés peuvent, par inadvertance ou par malveillance, divulguer des données à des attaquants ou à des concurrents. Ils peuvent également exfiltrer des données à des fins personnelles ou les transmettre à un futur employeur. Ces scénarios présentent des risques sérieux pour les organisations du point de vue de la sécurité et de la conformité. L’identification de ces risques lorsqu’ils se produisent et leur atténuation rapide nécessite des outils intelligents pour la collecte de données et la collaboration au sein des différents services tels que les services juridiques, les ressources humaines et la sécurité des informations.
La gestion des risques liés aux initiés Microsoft Purview est une solution de conformité qui contribue à minimiser les risques internes en vous permettant de détecter, d'enquêter et d'agir sur les activités malveillantes et involontaires au sein de votre organisation. Les stratégies relatives aux risques d'initiés vous permettent de définir les types de risques à identifier et à détecter dans votre organisation, y compris les mesures à prendre et l'escalade des cas vers Microsoft eDiscovery (Premium) si nécessaire. Les analystes des risques de votre organisation peuvent rapidement prendre les mesures appropriées pour s’assurer que les utilisateurs sont conformes aux normes de conformité de votre organisation.
Par exemple, la gestion des risques internes peut mettre en corrélation les signaux des appareils d’un utilisateur (par exemple, copier des fichiers sur un lecteur USB ou envoyer un e-mail à un compte de courrier personnel) avec les activités de services en ligne (telles que la messagerie Office 365, SharePoint Online, Microsoft Teams, OneDrive Entreprise) pour identifier les modèles d’exfiltration de données. Cet outil peut également corréler ces activités avec les employés quittant une organisation, ce qui est un modèle de comportement courant associé à l’exfiltration des données. Il peut détecter plusieurs activités et comportements potentiellement risqués au fil du temps. Lorsque des modèles courants émergent, ils peuvent déclencher des alertes et aider les examinateurs à se concentrer sur les activités clés afin de vérifier une violation de stratégie avec un haut niveau de confiance. La gestion des risques internes peut également masquer les données des enquêteurs pour vous aider à respecter les réglementations en matière de confidentialité des données tout en continuant à exposer les activités clés qui les aident à effectuer efficacement des investigations. Lorsqu’il est prêt, il permet aux enquêteurs de regrouper et d’envoyer en toute sécurité les données d’activité clés aux services des ressources humaines et juridiques en suivant des flux de travail d’escalade communs pour soulever des cas d’action corrective.
La gestion des risques internes est une augmentation significative des fonctionnalités de Microsoft 365 pour détecter et examiner les risques internes tout en permettant aux organisations de respecter les réglementations en matière de confidentialité des données et de suivre les chemins d’escalade établis lorsque des cas nécessitent une action de niveau supérieur.
Conclusion
Microsoft 365 fournit une solution intégrée et complète qui permet une collaboration basée sur le cloud facile à utiliser dans toute l’entreprise avec Microsoft Teams. Microsoft Teams permet également une meilleure communication et collaboration avec le personnel des services sur le terrain, aidant les organisations de l’énergie à être plus efficaces et efficientes. Une meilleure collaboration au sein de l’entreprise et avec le personnel sur le terrain peut finalement aider les organisations énergétiques à mieux servir leurs clients.
Les organisations du secteur de l’énergie doivent se conformer à des réglementations strictes concernant la façon dont elles stockent, sécurisent, gèrent et conservent les informations relatives à leurs opérations et à leurs clients. Elles doivent également se conformer aux réglementations relatives à la manière dont ils contrôlent et empêchent la manipulation des marchés de l’énergie. Microsoft 365 fournit des contrôles de sécurité solides pour protéger les données, les identités, les appareils et les applications contre les risques et pour se conformer aux réglementations strictes du secteur de l’énergie. Des outils intégrés sont fournis pour aider les organisations énergétiques à évaluer leur conformité, ainsi qu’à prendre des mesures et à suivre les activités de correction au fil du temps. Ces outils fournissent également des méthodes faciles à utiliser pour surveiller et superviser les communications. La plateforme Microsoft 365 repose sur des composants fondamentaux tels que Microsoft Azure et Microsoft Entra ID, ce qui permet de sécuriser la plateforme globale et d’aider les organization à répondre aux exigences de conformité pour les ensembles de contrôles FedRAMP Moderate et High. Cette conception, à son tour, contribue à la capacité d’un organization énergétique à se conformer aux normes CIP de la NERC.
Globalement, Microsoft 365 aide les organisations énergétiques à mieux se protéger, à disposer de programmes de conformité plus fiables et à permettre au personnel de se concentrer sur l’obtention de meilleures informations et la mise en œuvre de stratégies pour mieux réduire les risques.