Les meilleures pratiques en sécurité Dynamics 365

Pour la grande majorité des entreprises qui choisissent de migrer vers le Cloud, la préoccupation principale demeure la sécurité. Stocker toutes ses données sur un serveur à distance implique une certaine vulnérabilité informatique. Selon un rapport de Statista, environ 94% des entreprises se soucient de la sécurité Cloud, et environ 33% d’entre elles se disent très inquiètes de la sécurité Cloud publique. Par conséquent, les solutions Cloud consacrent une grande partie de leur budget à renforcer leurs modèles de sécurité et à assurer la mise à jour de leurs systèmes sans aucune vulnérabilité connue non corrigée.

Il va sans dire que le CRM de Microsoft 365 utilise un modèle de sécurité robuste qui s’assure que vos données sont protégées, sécurisées, sauvegardées et conformes aux réglementations sur les données. Voici un aperçu du modèle de sécurité Dynamics 365 qui vous permettra de mieux comprendre comment vos données sont protégées sur la plateforme.

Définition du modèle de sécurité Dynamics 365

L’ensemble des solutions Cloud Microsoft, incluant Dynamics 365, utilisent la plateforme Cloud Azure et intègrent le modèle de sécurité incorporé. Chaque année, environ 1 milliard $ sont dépensés pour assurer la sécurité de la plateforme Azure avec l’excellent Microsoft Cyber Defense Operations Center. Le réseau entier est surveillé 24 heures sur 24 pour déceler et contrer toute menace ou tentative de violation de données.

En règle générale, le modèle de sécurité Dynamics 365 respecte la même architecture que la plateforme de sécurité Azure, qui comprend les niveaux suivants :

• Chiffrement
• Passerelle de réseau virtuel sécurisé (Secure Virtual Network Gateway)
• Enregistrement de frappe
• Protection contre les logiciels malveillants et détection des menaces
• Gestion des accès via des mécanismes d’authentification et d’autorisation. Les modèles de sécurité Dynamics 365 utilisent le service d'authentification multifacteur comprenant deux étapes de vérification pour valider chaque utilisateur.

En ce qui concerne l’autorisation d’accès, le modèle de sécurité Dynamics 365 permet aux utilisateurs de définir les différents rôles et d’attribuer les droits d’accès aux données correspondant aux rôles attribués. Ceci permet d’éviter tout accès non autorisé aux données et de définir une hiérarchie de données qui reflète la structure hiérarchique de l’organisation.

En plus de ces couches de sécurité, le modèle de sécurité Dynamics 365 emploie aussi le centre de sécurité Azure pour effectuer une meilleure détection des menaces et surveillance réseau.

Les objectifs du modèle

Le but premier du modèle de sécurité Dynamics 365 est d’assurer l’intégrité et la confidentialité des données, tout en gérant l’accès aux données et la collaboration entre les différents utilisateurs. Voici les objectifs principaux proposés par le modèle de sécurité Dynamics 365 :

• Permettre aux utilisateurs d’accéder uniquement aux données nécessaires à leur fonction ou tâche spécifique. Les données de l’entreprise peuvent être classées selon différents niveaux d’accès, et seuls les utilisateurs ayant le niveau d’autorisation approprié sont autorisés à accéder aux données.
• Catégoriser les rôles de l’utilisateur et définir les niveaux d’autorisation en fonction des rôles utilisateur.
• Prendre en charge le partage de données collaboratif et permettre aux utilisateurs de haut niveau d’accorder les droits d’accès aux données aux utilisateurs de niveau inférieur au besoin.
• Permettre de mettre en œuvre un contrôle d’accès précis et de s’assurer que les données confidentielles ne sont pas mal gérées par des individus qui ne devraient pas y avoir accès.
• La sécurité Dynamics 365 permet de simuler la structure organisationnelle actuelle et de définir les rôles utilisateur en conséquence. Ainsi, vous pouvez créer plusieurs divisions opérationnelles, équipes ou groupes d’utilisateurs et définir la propriété des données et les droits d’accès en conséquence. En spécifiant les permissions d’accès et en rendant les données partageables avec des groupes d’utilisateurs précis, cela permet la collaboration dans un environnement sécuritaire où les accès sont contrôlés.

Les meilleures pratiques en sécurité Dynamics 365 : définitions

Il est important de bien comprendre certains termes et méthodes utilisés par le modèle de sécurité Dynamics 365 pour bien en profiter.

Rôle

Chaque utilisateur se voit attribuer un rôle, possiblement en lien avec son poste ou son rôle au sein de l’entreprise. Il est possible de créer divers rôles tels que directeur, représentant des ventes, professionnel du service à la clientèle, administrateur informatique, membre de l'équipe marketing, etc. Le niveau de privilèges de sécurité fournis pour chaque rôle peut varier et être attribué en fonction de leurs exigences en matière de données.

Entités

Une entité fait référence à tout objet de données stocké dans la base de données Dynamics 365. Il peut s’agir d’un champ de données, d’un fichier client, d’un compte utilisateur ou autre.

Niveaux d'accès

Les droits d’accès indiquent le niveau de privilèges de sécurité accordés à un utilisateur en fonction de son rôle ou à compte d’utilisateur en particulier. Par exemple, un directeur des ventes se verra attribuer la propriété des données de son équipe, alors que les membres de son équipe n’ont qu’un accès en lecture aux mêmes données. De même, les droits d’accès aux différentes entités de la base de données Dynamics 365 peuvent varier en fonction des divisions opérationnelles de l’entreprise.

Privilèges utilisateur

Les privilèges utilisateur spécifient les droits de l’utilisateur particulier sur l’entité de données.

Dépendances

Les dépendances de sécurité spécifient les interactions entre les entités quant aux privilèges d’accès accordés à chaque utilisateur. Par exemple, si un utilisateur a le droit de créer une nouvelle entité, il lira automatiquement les valeurs d'entité. De même, si un utilisateur détient la propriété d'une entité, il aura également le droit de la partager avec un autre utilisateur et d’accorder des droits d’accès à d’autres utilisateurs.

Les meilleures pratiques en sécurité Dynamics 365 : types de sécurité

Sécurité basée sur les rôles (role-based security)

Tel que mentionné ci-dessus, ce type de cadre de sécurité vous permet de créer des rôles aux utilisateurs et de leur attribuer les privilèges de sécurité des données. Vous pouvez imposer les droits d’accès aux données exacts et vous assurer que les utilisateurs ne peuvent accéder qu’aux données dont ils ont besoin. Cela permet de restreindre l’utilisation inutile ou mal intentionnée des données et par conséquent de garantir une meilleure confidentialité.

Les droits d’accès peuvent être attribués en fonction du rôle de l’utilisateur et de sa division opérationnelle ou de son affiliation à une équipe. Les différents niveaux d’accès disponibles sont :

• Aucun : aucun accès aux données n’est accordé
• Accès de base : accès aux entités de données appartenant à l’utilisateur et pouvant être partagées au sein de son équipe
• Accès local : accès aux données disponibles au sein de la division opérationnelle (généralement accordé aux responsables de division)
• Accès avancé : accès aux données au sein de la division opérationnelle et des divisions subordonnées associées
• Accès global : accès aux données au niveau de l'organisation qui inclut des privilèges de droits d'accès profonds, de base et locaux (attribué aux utilisateurs de niveau administrateur uniquement)

Sécurité basée sur les enregistrements (record-based security)

La sécurité basée sur les enregistrements définit le privilège de sécurité particulier associé à chaque enregistrement de données au sein de l’entreprise. On peut attribuer aux utilisateurs les privilèges leur permettant de créer, lire, écrire, supprimer, ajouter, ajouter, attribuer ou partager.

Les privilèges sont attribués en fonction du rôle de l’utilisateur et de ses tâches.

Sécurité basée sur les champs (field-based security)

La sécurité basée sur les champs définit les autorisations de sécurité accordées à chaque champ de données dans un enregistrement. Par exemple, pour un fichier de données client, les représentants de ventes peuvent être autorisés à avoir un accès en écriture uniquement au dernier champ d'interaction, tout en ayant un accès en lecture seule au reste des champs.

Les meilleures pratiques en sécurité Dynamics 365 : conseils de sécurité

Comme le sait tout expert en sécurité informatique, la meilleure sécurité ne concerne pas uniquement les outils utilisés, mais la façon dont ils sont utilisés. Voici quelques conseils pour vous aider à mieux utiliser la plateforme Dynamics 365.

Évitez de modifier les privilèges d’un rôle et les droits d'accès aux données courants qui existent. Ces derniers ont été spécifiés selon des recommandations de recherche minutieuse et conviennent parfaitement à la majorité des divisions opérationnelles. Si vous souhaitez ajouter des privilèges personnalisés, créez de nouveaux rôles plutôt que de manipuler les rôles de sécurité existants.

• Assurez la maintenance :

Un excellent moyen de maintenir vos principes de sécurité consiste à attribuer des rôles de sécurité à une équipe au lieu de les attribuer à un utilisateur individuel.

Vous pouvez également combiner les rôles de sécurité en fonction du rôle de l’utilisateur et de sa fonction.

Enfin, faites l’essai d’associer les équipes aux profils de sécurité au niveau du champ pour une gestion facile des accès.

• Autres :

N'oubliez pas de planifier à long terme et de créer des divisions opérationnelles et des entrées d'équipe avec une compréhension globale de votre modèle de sécurité.

Procédez à l’audit de vos systèmes afin de détecter d’éventuelles failles de sécurité et traitez-les dès que possible.

En conclusion

L'efficacité d'un modèle de sécurité dépend en grande partie de sa mise en œuvre correcte. Les modèles de sécurité Dynamics 365 englobent diverses fonctionnalités qui peuvent vous aider à créer une plateforme CRM solide et sécurisée pourvu qu’elles soient correctement utilisées. Mais dans un premier temps, vous devez parfaire votre compréhension des différents rôles des utilisateurs au sein de la structure de votre unité organisationnelle pour ensuite adapter son implémentation à vos besoins et en assurer le succès.

Vous devez également utiliser les meilleures pratiques pour assurer une meilleure protection dans un monde virtuel de plus en plus compétitif et en constante évolution. Pour ce faire, obtenez l'aide d'un expert de Gestisoft. Nous sommes en mesure de vous conseiller sur la mise en œuvre et la bonne compréhension de la mise en place d'un cadre de sécurité robuste pour votre organisation.

Contactez-nous dès maintenant pour toute question au sujet de l’utilisation du modèle de sécurité Dynamics 365.

‍