Par Michael Turcsanyi, PDG de TruPoint

Contenu sponsorisé

Pour de nombreux syndics autorisés en insolvabilité et professionnels de la réorganisation, la plateforme Microsoft 365 est devenue le « bureau » moderne. Elle contient des téraoctets de données parmi les plus sensibles qu’une entreprise puisse traiter : énoncés de créancier, dossiers financiers de débiteurs, renseignements bancaires sur le patrimoine et communications confidentielles avec des avocats, des prêteurs et des parties prenantes. Alors que les entreprises numérisent de plus en plus leurs activités, la sécurité de cet environnement est désormais directement liée à la sécurité de la profession.

Pourtant, une idée fausse et dangereuse est très répandue dans le secteur : utiliser Microsoft 365 est synonyme de sécurité. La configuration par défaut d’un nouveau client Microsoft 365 est ouverte et flexible de façon intentionnelle : elle a été conçue pour offrir une grande convivialité, et non pour respecter les responsabilités réglementaires des professionnels en insolvabilité.

Comme vous ne laisseriez jamais votre bureau physique accessible durant la nuit, vous ne devriez pas utiliser Microsoft 365 avec les paramètres prêts à l’emploi. Et pourtant, c’est ce que font de nombreuses entreprises sans le savoir.

Le modèle de la responsabilité partagée : la protection offerte par Microsoft et celle dont vous êtes responsable

Microsoft offre une infrastructure infonuagique de classe mondiale, assortie de garanties de sécurité physique, de redondance et de disponibilité des services. La sécurité de votre client – vos identités, vos appareils, vos règles d’accès et la gouvernance de vos données – relève toutefois de votre responsabilité.

Il s’agit du fondement même du modèle de la responsabilité partagée, un principe souvent mal compris par les entreprises de services professionnels. Microsoft assure la sécurité des composants infonuagiques. Vous devez faire en sorte de les utiliser de manière sécurisée.

Vous devez notamment vous poser les questions suivantes :

• Qui peut se connecter?
• À partir d’où est-il possible de se connecter?
• Sur quel appareil peut-on se connecter?
• Quelle authentification est requise?
• Quel est le niveau d’accès à vos données?

En pratique, ces questions révèlent une vérité surprenante : un client mal configuré est tout aussi vulnérable dans l’infonuagique qu’un serveur mal sécurisé installé dans le garde-robe d’une salle de réunion.

Les attaques ciblant l’identité sont le grand enjeu du moment

Selon le rapport de 2024 publié par Microsoft sur la défense numérique, plus de 97 % de toutes les cyberattaques ciblent désormais les identités, et non les pare-feu. Les cyberattaquants ne « piratent » plus les systèmes : ils s’y connectent simplement en utilisant des mots de passe compromis, des attaques par hameçonnage ou d’anciennes applications de messagerie électronique qui contournent l’authentification multifacteur.

Pour les cabinets d’insolvabilité, la menace est amplifiée. Les renseignements sur le patrimoine ont une très grande valeur sur le marché noir, et les entreprises de services professionnels sont des cibles de choix pour :

• la fraude du président;
• les attaques par rançongiciel;
• la fraude par virement électronique;
• la récolte d’identifiants;
• l’extorsion de données.

Si la protection de votre entreprise repose uniquement sur des mots de passe ou si d’anciens protocoles sont encore activés, les pirates peuvent exploiter votre client sans générer la moindre alerte.

Niveau de sécurité Microsoft : une mesure commerciale, et non une mesure informatique

Le niveau de sécurité Microsoft est une mesure intégrée de la qualité de la configuration de votre client par rapport aux recommandations de base de Microsoft. Il s’agit en quelque sorte d’une cote de crédit pour la cyberhygiène et la cybersécurité.

• Les niveaux faibles (moins de 30 %) indiquent généralement des environnements aux configurations par défaut ou presque par défaut avec une authentification multifacteur facultative, des droits administrateur excessifs et une journalisation minimale.
• Les niveaux élevés (plus de 65 %) indiquent que les clients bénéficient d’une sécurité renforcée avec des contrôles proactifs qui bloquent les attaques automatisées avant même qu’elles ne commencent.

Pourquoi est-ce important pour les syndics? Parce que ce l’est pour la cyberassurance

Le marché de la cyberassurance a connu une transformation spectaculaire. Les indemnités versées par les assureurs pour les attaques par rançongiciel et les fraudes du président atteignent des niveaux records. Ils ont donc décidé de resserrer leurs normes de tarification.

Aujourd’hui, de nombreux assureurs :

• demandent une preuve des contrôles activés dans Microsoft 365;
• demandent votre niveau de sécurité;
• exigent la mise en place de l’authentification multifacteur et l’accès conditionnel pour être admissible à la protection;
• réduisent la couverture ou refusent d’assurer des entreprises si la sécurité est insuffisante.

Un niveau de sécurité faible ne fait pas qu’accroître le risque : il entraîne aussi la hausse des primes, la réduction de la couverture ou le refus des renouvellements. L’amélioration de votre niveau n’est plus facultative : c’est une exigence commerciale.

Trois mesures à incidence élevée que les syndics peuvent prendre pour améliorer la sécurité de leur client

Il n’est pas nécessaire d’être un spécialiste de la cybersécurité pour apporter des améliorations significatives. Les trois mesures suivantes augmentent immédiatement votre niveau de sécurité, en plus de réduire considérablement la surface d’exposition de votre entreprise.

1. Mise en place d’une authentification multifacteur à l’épreuve de l’hameçonnage

La plupart des entreprises ont activé une certaine forme d’authentification multifacteur, mais peu d’entre elles l’appliquent correctement. Voici les deux principaux pièges :

a) Ancienne méthode d’authentification toujours activée

Les anciens protocoles de messagerie, comme IMAP, POP3 et SMTP, ne prennent pas en charge l’authentification multifacteur. Il s’agit d’une cible de choix pour les pirates, qui entrent alors un simple mot de passe pour se connecter à votre client. Si cette méthode d’authentification est activée, votre environnement n’est pas sécurisé, quelle que soit votre politique d’authentification multifacteur.

b) Utilisation de faibles méthodes d’authentification multifacteur

Il est possible d’intercepter les codes envoyés par messagerie texte au moyen de l’usurpation de la carte SIM ou de la manipulation psychosociale. Voici quelques méthodes d’authentification modernes à l’épreuve de l’hameçonnage :

• application Microsoft Authenticator;
• correspondance des numéros;
• clés de sécurité matérielles FIDO2;
• Windows Hello Entreprise.

Les données de Microsoft montrent qu’une solide authentification multifacteur bloque plus de 99 % des tentatives de prise de contrôle de comptes.

2. Accès conditionnel : le videur numérique de votre entreprise

L’accès conditionnel est sans doute la fonctionnalité de sécurité la plus importante de Microsoft 365. Elle évalue le risque associé à chaque connexion et applique automatiquement les règles basées sur vos politiques.

Voici quelques exemples :

• elle autorise uniquement les connexions effectuées à partir du Canada;
• elle bloque les tentatives d’accès provenant de pays inconnus ou à haut risque;
• elle exige l’authentification multifacteur si le risque attribué à la connexion est élevé;
• elle restreint l’accès aux appareils approuvés.

Si une tentative de connexion est effectuée à partir d’un emplacement suspect ou d’un appareil non géré, la fonctionnalité d’accès conditionnel l’arrête avant même que le pirate n’accède à une boîte de réception ou à un site SharePoint. Pour les syndics qui traitent des données sensibles sur les débiteurs et les créanciers, l’accès conditionnel n’est pas facultatif : il est essentiel.

3. Politiques appropriées de journalisation et de conservation des audits

À la suite d’une violation présumée, la première question est toujours la même : « À quoi ont-ils eu accès? » Sans politiques de journalisation et de conservation appropriées, vous ne le saurez peut-être jamais. De nombreuses entreprises s’appuient à tort sur les paramètres de conservation par défaut de Microsoft, lesquels ne respectent pas toujours les exigences de conformité internes du Bureau du surintendant des faillites et des assureurs.

Chaque cabinet d’insolvabilité doit s’assurer que :

• la journalisation d’audit unifiée est entièrement activée;
• les journaux sont conservés pendant une période réglementaire appropriée;
• SharePoint, OneDrive, Teams et Exchange sont régis par des politiques de conservation;
• les éléments supprimés ne peuvent être purgés par des pirates à l’insu du système.

Les journaux d’audit sont vos preuves : ils sont cruciaux pour les enquêtes, les examens réglementaires et la transparence vis-à-vis de la clientèle.

La principale difficulté pour les entreprises : les risques associés à la modification de la configuration

Configurer Microsoft 365 pour en optimiser la sécurité ne se fait pas en claquant des doigts. Des politiques mal configurées peuvent :

• empêcher les utilisateurs de se connecter;
• perturber les intégrations avec les logiciels d’insolvabilité;
• bloquer les courriels envoyés à partir d’appareils mobiles;
• perturber la synchronisation de Teams ou de OneDrive;
• désactiver l’accès aux plateformes bancaires de gestion de patrimoine.

Tous ces risques expliquent souvent pourquoi les entreprises évitent d’effectuer des changements alors qu’elles connaissent les risques de l’inaction.

L’avantage qu’offre TruPoint : l’optimisation de la sécurité par défaut

TruPoint connaît parfaitement la réalité réglementaire et opérationnelle des cabinets d’insolvabilité. Elle ne se contente pas de fournir les licences Microsoft : elle conçoit des environnements sécurisés, conformes et très performants pour les syndics.

Notre approche comprend :

✓ des déploiements à la sécurité renforcée : dès le début, la configuration de sécurité de nos environnements TruOfficeMCet TruWorkspaceMC est conforme aux meilleures pratiques;

✓ la surveillance active du niveau de sécurité : nous considérons votre niveau de sécurité comme un ICR financier. Notre équipe le surveille de façon continue et modifie les politiques en fonction de l’évolution des menaces;

✓ des contrôles conformes aux exigences des assureurs : comme nous travaillons en étroite collaboration avec les assureurs, nous comprenons exactement les attentes des tarificateurs. Nous aidons donc notre clientèle à produire les rapports et les preuves nécessaires à un renouvellement en douceur;

✓ une sensibilité opérationnelle : nous veillons à ce que les changements apportés aux paramètres de sécurité ne perturbent jamais les flux de travail liés à la gestion de patrimoine, les intégrations système et les activités quotidiennes. Votre équipe se concentre sur la gestion de patrimoine, et nous veillons à ce que vos portes numériques demeurent verrouillées.

La cybersécurité de votre entreprise est-elle optimale ou « par défaut »?

La plupart des entreprises ne réalisent le problème qu’au moment où :

• elles reçoivent un questionnaire de renouvellement de leur assureur;
• leur assureur demande des preuves;
• le compte d’un employé est compromis;
• une connexion suspecte apparaît dans le journal d’audit.

Dès lors, la situation devient stressante et possiblement coûteuse.

Réserver une évaluation gratuite de vos paramètres de sécurité de Microsoft 365

TruPoint offre une évaluation gratuite conçue particulièrement pour les cabinets d’insolvabilité. Vous obtiendrez :

• votre niveau de sécurité actuel;
• une explication claire des risques;
• une feuille de route avec les mesures correctives classées en ordre de priorité;
• une note d’information rédigée dans un langage clair adapté aux partenaires ou aux assureurs.
• Visitez la page www.trupoint.com/M365.

N’attendez pas une violation – ou un refus de renouvellement d’assurance – pour déterminer le risque que vous courrez.