Second billet de la série "Office 365 contre le Shadow-IT", j'aborde là les raisons qui me font penser qu'adopter MS Teams permet de lutter contre un Shadow-IT qui amène vos données à être stockées ou traitées via des applications complètement hors de contrôle de votre organisation.

Commençons d'abord par nous poser la question des raisons qui ont poussé Microsoft à imaginer la solution Ms Teams ?

Cela fait déjà plus de 10 ans que, n'ayant pas d'autres moyens à leur disposition pour travailler tout le temps et de partout, vos collègues et vous-mêmes peut-être (2) assumez contourner des procédures officielles ou des mesures de sécurité et devoir recourir au Shadow-IT pour être en mesure de travailler efficacement.

On en est plus au problème des collaborateurs qui s'envoient des emails sur leur messagerie interne privée (1) : Trello, Slack, IFTTT et bien d'autres encore sont autant de solutions qui ont fait leur preuve, pour toutes les tailles d'organisations mais ces solutions mettent en difficulté les responsables d'organisation pour garantir une bonne gouvernance des données.

Depuis le milieu des années 2010, Microsoft déploie sur Office 365 de petits logiciels pour lutter contre le Shadow-IT.

Avant l'arrivée de Teams en mars 2017, cela déjà quelques années que Microsoft affiche sa volonté d'enrichir la suite Office 365 de petits logiciels plus simples que les progiciels "historiques" sur lesquels reposent la suite Office 365 : ainsi, Exchange pour les emails, SharePoint, qui sert aussi bien à OneDrive et enfin Skype for Business ne deviennent plus les priorités absolues d'Office 365.

Microsoft mise en effet sur de nouveaux petits logiciels : ces petits logiciels n'existent qu'en version Cloud mais surtout, ils possèdent des fonctionnalités beaucoup plus simples non seulement que les progiciels précités mais aussi que les logiciels de la suite Office traditionnelle (Word, Excel, PowerPoint…). Leur adoption en est ainsi largement facilitée à tel point qu'une formation parait futile. Pour certains d'entre eux, ils sont déjà relativement connus des utilisateurs finaux : ils se nomment Planner (planificateur), Forms, To-Do, Sway. Dans une moindre mesure, je liste aussi les applications Office 365 Vidéos et Stream, des plateformes logicielles dont les fonctionnalités d'utilisation et d'administration demeurent également très simples d'adoption.

Qu'a donc voulu faire Microsoft, avec cet écosystème de nouveaux logiciels Office 365 qui gravitent loin de la suite Office traditionnelle ? La réponse est qu'Internet et les magasins d'applications de nos smartphones modernes ont apporté à vos collaborateurs de nouveaux usages numérique utiles dans leur vie privée mais pas seulement : ces magasins d'applications proposent également de nouvelles façons, quelque peu disruptives, permettant de travailler de partout et à toute heure plus efficacement que ne permettent les applications bureautiques traditionnelles mises à disposition par leur organisation.

Microsoft s'est donc mise à observer et à s'inspirer de ce qui se passait autour de sa position jusque là hégémonique en entreprise. Prenons l'exemple du planificateur, Planner : ce n'est pas un scoop si j'écris que ce logiciel est la réponse de Microsoft à la percée de Trello, plus simple que son outil de gestion de tâches, MS Project, ou que son outil de gestion de tâches le plus utilisé dans le monde, Excel ! Microsoft a ainsi cherché à combler le retard pris sur des services Cloud qu'ils l'ont pris quelque peu par surprise. Pour comprendre comment Microsoft a pu se laisser quelque peu surprendre, remémorons-nous que Microsoft n'est pas très à l'aise, depuis quelques années, avec le sujet téléphonie mobile…

Ces solutions ont rencontré un succès certain mais, au regard des règles d'une organisation un peu lucide sur le sujet, elles peuvent tout à fait légitimement être assimilées à des applications de type Shadow-IT.

Or ces nouveaux petits logiciels composant la suite Office 365 ne sont pas assimilables à du Shadow-It puisqu'ils sont accessibles seulement après avoir franchi le portail de sécurité Office 365.

Ces petits logiciels bénéficient du portail de sécurité Office 365 de votre organisation.

Au travers du portail de connexion Office 365, la Direction des systèmes d'information de votre Organisation va ainsi gérer les accès aux applications et aux données puisque les utilisateurs de ses petits logiciels sont authentifiés : votre organisation est là en mesure de gérer les éventuels accès ouverts à l'extérieur.

Derrière le portail d'authentification unique, Office 365 compte également sur la solution MS Teams (3) pour lutter contre le Shadow-IT externe de votre organisation. MS Teams (qui, au passage, s'inspire de la solution Slack) est à considérer d'abord comme un agrégateur de contenus Office 365 de manière à simplifier l'accès à cet écosystème de nouveaux petits logiciels. Mais MS Teams n'est pas uniquement un agrégateur d'applications Office 365. Si vous n'avez jamais parcouru le contenu du magasin des applications MS Teams, vous risquez maintenant d'être surpris par ce qui va suivre :  en effet, on trouve également dans ce magasin d'applications une section d'applications "tierces", i.e. des applications qui n'appartiennent pas à la suite Office 365, dont le fameux Trello cité plus haut !

Ms Teams s'appuie en effet sur un cadre de connecteurs externes qui ne cesse de s'enrichir (ces connecteurs sont aussi visibles sur Flow, la réponse de Microsoft à la solution IFTTT).

Ms Teams est aussi un agrégateur de données externes !

C'est peut-être là que réside l'étonnant paradoxe de MS Teams et la plus grande malice de la part de Microsoft pour imposer finalement Office 365 dans la collaboration moderne en tant que plateforme bureautique incontournable : MS Teams est aussi un agrégateur de données externes !

Si l'administrateur MS Teams le permet, vos utilisateurs peuvent utiliser :

• Non seulement, des applications complémentaires à la suite Office 365, comme le fameux Trello cité plus haut, en lieu et place de Planner pour gérer des tâches…

• Mais également des solutions de stockage de fichiers Cloud autre que SharePoint Online ou un SharePoint Server telles que Box, DropBox et Google Drive, des espaces de stockage Cloud considérés comme "pirates" par les organisations.

Attention, cependant ! La limite de cette argumentation est vite atteinte lorsque l'on réalise que les données ne sont pas gérées en tant que telles dans le Tenant Office 365 : elles ne bénéficient ni du cadre d'authentification fort ni des autres parties du dispositif de sécurité d'Office 365 (4).

Préférez les applications Office 365 si vous considérez vos données comme essentielles à votre travail !

En effet, ne nous y trompons pas : à partir du moment on vous demandera de vous connecter avec un autre compte que celui d'Office 365, ces applications du magasin MS Teams demeurent donc des fenêtres Web, des connecteurs ou des ChatBots, étrangers à la sécurité d'Office 365.

Si vous gérez des informations que vous considérez comme sensibles parce qu'essentielles à votre travail, préférez les applications Office 365 ! Rappelez-vous que votre organisation édicte certainement des règles internes sur les contenus qu'elle estime "à risque" au regard de la gestion de son capital informationnel ou de ses obligations réglementaires (le RGPD a fait office de piqûre de rappel, en France, quant à la gestion des données à caractère personnel). En dehors du strict respect du RGPD, pour savoir si vos données doivent être considérées comme sensibles, posez-vous la question des conséquences d'une possible indisponibilité de votre application, d'une perte, d'une altération, d'un vol ou d'une fuite de vos données, de l'incapacité de présenter des preuves, en cas d'audit ou de litige et si elles sont sujets à amende.

Si vous estimez que ces conséquences sur votre activité pourraient être graves voire catastrophiques, alors vos données sont plus en sécurité sur Office 365 que sur un Cloud qui présentera moins de garantie en termes de disponibilité de service et de sécurité, même si vous y accédez au travers de MS Teams ! Sur MS Teams, préférez alors, dans la mesure du possible, les applications Office 365 aux applications Cloud externes si vous considérez vos données comme essentielles à votre travail !

Concernant la gestion des applications disponibles via MS Teams, j'évoque justement, dans mon dernier livre dédié à la mise en place d'une gouvernance efficace pour MS Teams et SharePoint (5), la gestion de stratégies de mise à disposition d'applications par type de profils utilisateurs. Sur l'image ci-dessous, vous découvrez un élément de package de stratégie par type de profil utilisateurs, en lien avec les stratégies de mise à disposition d'applications.

Si certaines de vos données sont vraiment à considérer comme des données sensibles, il faudra peut-être externes pour certains profils utilisateurs tout simplement proscrire l'utilisation de certaines applications externes, leur mettre à disposition d'autres appartenant à Office 365 et investiguer le puissant potentiel du centre de sécurité et de conformité qui fonctionne avec une grande partie des applications Office 365. Et si vous considérez qu'il n'est peut-être pas nécessaire d'aller jusque là parce que la donnée ne le requiert pas, que malgré tout, vous souhaitez plus simplement mitiger le risque, sachez que Flow permet également d'automatiser la convergence de flux depuis des applications externes comme de Trello vers Planner, de DropBox vers OneDrive, de Gmail à Outlook…

Avec Office 365, Microsoft veut rester incontournable sur la bureautique moderne, MS Teams devient le fer-de-lance contre le Shadow-IT bureautique externe. Concernant le lutte contre Shadow-IT interne, je dirai que c'est à SharePoint, avec ou sans la PowerPlatform, que revient cette lourde tâche. Le prochain billet que je publierai s'appellera donc "Episode 3 | SharePoint contre le Shadow-IT", avant-dernier billet de la série dédié à Office 365 contre le Shadow-IT.

Le dernier billet ("Episode 4 | Le centre de sécurité et conformité contre le Shadow-IT") sera consacré à la présentation des fonctionnalités majeures du centre de sécurité et conformité d'Office 365 : je vous détaillerai, entre autres, la liste des applications et données qu'il surveille et traite sur Office 365.

(1) Dans le premier billet de la série, j'ai évoqué ce phénomène largement répandu dans la décennie 2000-2010 ; 63 % des collaborateurs envoyaient ainsi des documents internes à leur adresse électronique personnelle de manière à pouvoir poursuivre à leur domicile le travail commencé au bureau, tout en ayant conscience que cela n'est probablement pas autorisé (source (2) ci-dessous)

(2) Source : RSA, November 2007, The Confessions Survey: Office Workers Reveal Everyday Behavior That Places Sensitive Information at Risk (http://www.rsa.com/company/news/releases/pdfs/RSA-insider-confessions.pdf)

(3) Je ne traite ici que d'un MS Teams administré par une organisation sur Office 365 et pas la version gratuite de Teams qui existe depuis août 2018, laquelle a plutôt vocation à concurrencer le développement de Slack

(4) J'en profite pour faire la promotion d'un événement de formation, le "Microsoft Security & Endpoint Management Bootcamp" qui aura lieu du 16 au 19 Décembre 2019, à Issy-Les-Moulineaux ; pour s'inscrire https://www.microsoftevents.com/profile/form/index.cfm?PKformID=0x8435431abcd

(5) Lien vers mon livre "SharePoint, Teams : une gouvernance efficace" https://www.bod.fr/librairie/adopter-sharepoint-sans-developper-frank-poireau-9782322159185