Journal d’audit SharePoint pour la sécurité de l’entreprise

Journal d’audit SharePoint : qu’est-ce que c’est ?

Les journaux d’audit, ou logs de contrôle, sont une fonctionnalité intégrée à SharePoint et Microsoft 365 permettant de surveiller les activités au sein d'une collection de sites, en fournissant un registre détaillé des actions effectuées par les utilisateurs et les administrateurs.

Grâce aux journaux d’audit, il est donc possible de tracer :

• les modifications des documents
• les suppressions de fichiers archivés
• les modifications des autorisations des utilisateurs
• etc.

On peut les définir comme une archive transparente, où il est possible de retrouver toutes les interactions significatives survenues dans l’environnement SharePoint de l’entreprise. Comme une caméra active 24 heures sur 24, permettant d’enregistrer tout ce qui se passe dans le digital workplace.

Il est important de souligner que les fonctionnalités des journaux d’audit varient légèrement selon la version de la plateforme utilisée.

Dans SharePoint Server, les journaux peuvent être configurés directement depuis le site et offrent un haut niveau de personnalisation.

Dans SharePoint Online, en revanche, les fonctions d’audit sont reliées à Microsoft Purview, une solution unifiée qui centralise la surveillance et la gestion des activités non seulement pour SharePoint, mais aussi pour d’autres outils de la suite Microsoft 365.

Cette intégration représente une évolution importante, car elle améliore d’une part l’efficacité de la gestion des journaux et permet d’autre part d’exploiter des fonctionnalités avancées telles que l’analyse centralisée des données et l’exportation de rapports détaillés.

Pourquoi surveiller les activités dans SharePoint ?

Chaque action enregistrée dans les journaux représente un point de contrôle pouvant être analysé pour protéger les données de l’entreprise et améliorer la gouvernance interne.

Parmi les principaux avantages, on trouve la possibilité d’identifier les accès non autorisés.

La capacité de détecter des activités suspectes, telles que la suppression massive de fichiers ou des modifications inattendues des paramètres de sécurité, permet en effet d’interpréter des signaux pouvant révéler des menaces informatiques.

Savoir qui a consulté, modifié ou partagé un document peut faire la différence entre un incident de sécurité potentiel et un système bien protégé.

Un journal d’audit peut également révéler si un utilisateur non autorisé a tenté d’accéder à un dossier réservé, permettant ainsi d’intervenir pour révoquer ses autorisations ou renforcer les mesures de sécurité de toute l’infrastructure.

C’est comme si un cambrioleur essayait d’ouvrir la porte de notre maison : la première chose que nous ferions ? Changer la serrure.

En termes de conformité réglementaire, des réglementations telles que le RGPD (concernant la protection des données personnelles et le respect de la vie privée) et des normes internationales comme la ISO 27001 (qui définit les exigences pour optimiser un système de gestion de la sécurité de l’information) exigent des entreprises qu’elles démontrent leur capacité à protéger les données dont elles disposent et à surveiller les activités les concernant. Les journaux de sécurité de SharePoint offrent ainsi une base solide pour générer des rapports détaillés utiles lors d’audits internes ou externes.

Enfin, l’activité de contrôle soutient la gestion des archives d’entreprise.

Cela garantit que les modifications apportées aux documents sont tracées et que les données restent toujours récupérables : une fonctionnalité particulièrement utile dans tous les contextes où il est nécessaire de pouvoir retracer l’historique d’un fichier.

Comment configurer les journaux d’audit dans SharePoint

Pour exploiter pleinement le potentiel des journaux d’audit dans SharePoint, il est nécessaire que ces outils de contrôle soient correctement configurés. Pour cela, il faut suivre quelques étapes.

Dans SharePoint Online, les fonctionnalités d’audit sont intégrées au centre de conformité Microsoft Purview. L’enregistrement des activités des utilisateurs et des administrateurs est généralement activé par défaut. Pour vérifier l’état de l’audit ou pour afficher les journaux, il est possible d’accéder au Microsoft 365 Admin Center avec un rôle d’administrateur et :

1. Accéder au Microsoft Purview Compliance Center en sélectionnant "Afficher tout" puis "Conformité" dans la section dédiée aux administrateurs du Microsoft 365 Admin Center.
   
   
2. Dans le menu de gauche, sélectionner "Solutions" puis "Audit". Cliquer ensuite sur "Rechercher dans les journaux d’audit" pour accéder à la page de recherche.
   
   
3. Définir des paramètres comme les activités, les plages de dates, les utilisateurs, les fichiers ou les sites ; puis lancer la recherche pour afficher les résultats pertinents.
   
   

Bien que l’enregistrement des activités soit généralement activé par défaut, certaines exceptions ou configurations spécifiques d’entreprise peuvent nécessiter une vérification de l’état du journal d’audit.

De plus, il peut être nécessaire d’attendre de 30 minutes à 24 heures pour que les données soient disponibles après l’activation ou la modification des paramètres d’audit.

Recherche des journaux d’audit de SharePoint Online dans Microsoft Purview

Journal d’audit SharePoint : quelles activités surveiller ?

Les journaux d’audit de SharePoint permettent de surveiller un large éventail d’activités, en offrant une vue détaillée et en détectant les anomalies pouvant cacher des risques pour la sécurité de l’environnement numérique de votre entreprise.

Quels sont les événements pouvant être tracés dans les journaux d’audit ? En voici quelques exemples.

Modification et suppression de documents

Lorsqu’un utilisateur modifie ou supprime un document dans SharePoint, les journaux enregistrent des détails spécifiques tels que le nom de l’utilisateur, la date et l’heure de l’action ainsi que le fichier concerné. Cela est utile non seulement pour résoudre des incidents, comme une suppression accidentelle, mais aussi pour prévenir les abus ou erreurs récurrents.

De plus, en cas de suppression, les journaux offrent un point de référence pour récupérer les fichiers à partir des sauvegardes.

Modifications des autorisations et des comptes

Les journaux surveillent attentivement toute modification apportée aux autorisations d’accès, y compris les changements concernant les droits sur un site, une bibliothèque ou un fichier individuel.

Cela permet d’éviter que des utilisateurs non autorisés accèdent à du contenu sensible. Par exemple, si un administrateur accorde des droits de modification à un utilisateur externe, les journaux enregistrent le nom de l’administrateur, celui de l’utilisateur destinataire et le niveau d’accès accordé.

Filtrer les activités enregistrées par les journaux d’audit

Requêtes de recherche

Chaque fois qu’un utilisateur utilise la fonction de recherche dans SharePoint, les journaux enregistrent les termes recherchés et les résultats affichés. Ce type de suivi sert à détecter des comportements suspects.

En effet, si un utilisateur effectue de nombreuses recherches en utilisant des mots-clés sensibles (comme "salaires", "contrats confidentiels"), cela peut être le signe d’une tentative d’accès non autorisé à des informations confidentielles.

Au-delà de l’aspect sécuritaire, le suivi des requêtes de recherche offre également des avantages organisationnels, car les données peuvent être analysées pour optimiser l’architecture des contenus et faciliter ainsi la recherche d’informations par les utilisateurs.

Flux de travail et autres activités système

Les flux de travail automatisés, également appelés workflows, sont des processus qui exécutent des actions spécifiques dans SharePoint, comme l’approbation de nouveaux documents ou l’envoi de notifications. Les journaux d’audit suivent ces activités, en fournissant des détails sur qui a déclenché le workflow, quand il a été exécuté et quels résultats il a produits.

Prenons l’exemple d’un workflow d’approbation de contrat : les journaux peuvent montrer si un document a été approuvé par toutes les parties requises ou si le processus a été interrompu en raison d’une erreur.

Analyser les activités enregistrées par les journaux d’audit

Comment analyser les rapports des journaux d’audit dans SharePoint

Les rapports des journaux d’audit peuvent être consultés directement dans le Centre de conformité via Microsoft Purview Audit ou être exportés pour réaliser des analyses plus approfondies.

Il est possible de filtrer les données selon des critères spécifiques, tels que la plage de dates, l’utilisateur ou le type d’activité.

Un responsable informatique peut analyser les activités de connexion d’un collègue sur une période donnée pour vérifier d’éventuels comportements suspects, tandis qu’un chef de projet peut examiner les modifications apportées aux documents clés durant le développement d’un projet.

L’exportation des rapports au format Excel permet une analyse plus approfondie grâce à l’utilisation de filtres, de graphiques et de tableaux croisés dynamiques. Les fonctionnalités d’Excel peuvent s’avérer utiles pour détecter des tendances récurrentes, comme des accès fréquents à certains fichiers en dehors des horaires de travail.

SharePoint, de son côté, génère une série de rapports standard pour les événements courants.

Parmi ceux-ci :

• Modifications du contenu : fournit des détails sur les fichiers modifiés, ainsi que sur la date et l’auteur de la modification.
• Suppression et restauration : suit la suppression de fichiers ou de dossiers, ainsi que d’éventuelles restaurations.

Il est important de noter que l’accès à ces rapports et le niveau de détail des données dépendent de la licence Microsoft 365 utilisée. Pour bénéficier de fonctionnalités avancées ou de périodes de conservation étendues, une licence Microsoft 365 E5 ou un module complémentaire pour Microsoft Purview peut être nécessaire.

Importer et analyser les journaux d’audit de SharePoint dans Excel

Enfin, via PowerShell, il est possible de créer des rapports personnalisés.

Cela permet de filtrer des événements spécifiques ou de combiner des données provenant de plusieurs collections de sites. Par exemple, une entreprise pourrait utiliser l’intégration avec PowerShell pour surveiller uniquement les activités liées à un projet et les accès d’utilisateurs externes à des documents sensibles.

Un script PowerShell peut également automatiser la création d’un rapport hebdomadaire incluant uniquement les événements relatifs à la modification des autorisations sur une collection de sites, offrant ainsi une vue d’ensemble des activités les plus importantes effectuées.

Journal d’audit SharePoint : comment améliorent-ils la sécurité ?

Les journaux d’audit ne sont pas seulement des outils passifs servant uniquement à enregistrer des événements, mais peuvent être utilisés de manière proactive pour renforcer la sécurité de l’entreprise.

Prenons un exemple concret pour mieux comprendre.

Si un utilisateur accède à une collection de sites en dehors des horaires de travail habituels, cela pourrait indiquer une attaque potentielle ou un accès compromis. En analysant les journaux, il est donc possible d’adopter des mesures préventives, comme la désactivation temporaire d’un compte ou l’activation de vérifications supplémentaires.

Le partage de documents avec des utilisateurs externes est une pratique courante dans de nombreuses entreprises, mais elle comporte des risques importants si elle n’est pas correctement surveillée.

Dans ce cas, les journaux d’audit permettent de tracer quels fichiers ont été partagés, avec qui et à quel moment. Une organisation pourrait ainsi découvrir qu’un document confidentiel a été partagé par erreur avec un utilisateur non autorisé et intervenir immédiatement pour révoquer l’accès.

Dans des scénarios plus complexes, comme la collaboration avec des utilisateurs externes, les journaux peuvent être utilisés pour garantir le respect des politiques de l’entreprise, évitant ainsi les fuites de données ou les utilisations inappropriées.

À ce propos, on peut citer l’intégration avec Microsoft Sentinel, une plateforme cloud de gestion des informations et des événements de sécurité qui permet de corréler les journaux d’activité provenant de différentes sources pour identifier et atténuer les principales menaces.

Avec Sentinel, les administrateurs peuvent centraliser les données des journaux, les analyser grâce à l’intelligence artificielle et créer des règles d’automatisation pour réagir en temps réel aux incidents.

Présentation de Microsoft Sentinel

Bonnes pratiques pour l’utilisation des journaux d’audit de SharePoint

Une utilisation correcte des journaux d’audit ne se limite pas à la configuration technique, mais nécessite une approche stratégique et proactive impliquant l’ensemble de l’organisation.

Il existe plusieurs bonnes pratiques qui peuvent être adoptées : découvrons-les ensemble.

Établir une politique d’audit claire

Une politique d’audit est le point de départ pour un suivi efficace et devrait inclure les éléments suivants :

• Types d’événements à surveiller : définir clairement les activités devant être suivies, telles que les modifications de documents, les accès non autorisés et le partage de données.
  
  
• Conservation des données : établir la durée de conservation des journaux, en tenant compte des réglementations applicables (par exemple, la conservation pendant des périodes spécifiques).
  
  
• Rôles et responsabilités : identifier les personnes au sein de l’organisation responsables de l’analyse des journaux et de la réponse aux événements.
  

Créer de nouvelles stratégies de rétention pour les données collectées par les journaux d’audit

Impliquer les équipes IT et conformité

La surveillance des journaux d’audit ne doit pas être réservée uniquement à l’équipe IT, mais devrait également impliquer les équipes de conformité.

Il serait ainsi possible de créer un rapport mensuel partagé mettant en évidence les activités critiques, telles que les modifications d’autorisations ou les accès aux données sensibles, afin que les deux équipes restent constamment alignées sur les éventuels problèmes et les méthodes de résolution adoptées.

Former les utilisateurs

Si les équipes sont correctement formées aux principaux aspects de la sécurité et aux outils disponibles pour la gérer, tant au niveau personnel qu’organisationnel, une grande partie du travail est déjà accomplie.

Tous les utilisateurs devraient être conscients de l’utilisation des journaux d’audit dans l’espace numérique de travail de l’entreprise. Des sessions de formation adaptées sont souvent la méthode la plus simple et la plus efficace pour sensibiliser les collègues aux risques liés aux comportements non conformes et montrer comment les journaux peuvent servir à protéger à la fois l’entreprise et ses collaborateurs.

Intégrer d’autres outils de Microsoft 365

De nombreuses entreprises choisissent d’adopter des solutions tierces pour gérer des logiques de sécurité plus complexes. En effet, les fonctionnalités standard offertes par SharePoint ne sont pas toujours jugées suffisantes pour analyser et surtout réagir efficacement aux menaces.

Toutefois, notre recommandation est d’exploiter pleinement les licences Microsoft disponibles dans l’entreprise afin d’amplifier les capacités d’analyse, de surveillance et de gouvernance sans investir inutilement dans des solutions peu intégrées à l’écosystème Microsoft 365.

Partage des données avec Power BI pour des visualisations avancées

Power BI est un outil capable de transformer des données complexes en visualisations intuitives. Les données collectées à partir des journaux de SharePoint peuvent être importées dans Power BI pour générer des rapports dynamiques et des tableaux de bord personnalisés, offrant des analyses plus approfondies que les tableaux Excel.

À titre d’exemple, un responsable IT peut créer un tableau de bord affichant en temps réel les activités d’accès aux documents sensibles, en mettant en évidence les anomalies telles que les tentatives d’accès à des heures inhabituelles. Les données des journaux peuvent également être utilisées pour générer des tendances d’utilisation et identifier les zones de la plateforme les plus fréquentées par les utilisateurs.

Présentation des visualisations disponibles dans Power BI

Utilisation des journaux pour améliorer la gouvernance de Teams et OneDrive

La gouvernance de Microsoft Teams et OneDrive est étroitement liée à SharePoint, car une grande partie des fichiers et des activités sont gérés via cette plateforme.

Dans ce cas, les journaux d’audit peuvent être utilisés pour :

• Surveiller les partages au sein de Teams, en identifiant d’éventuelles actions non autorisées ou des risques pour la sécurité.
• Analyser l’utilisation de OneDrive pour garantir une gestion des données conforme aux politiques de l’entreprise.

Services Microsoft surveillés à l’aide des journaux d’audit

Synergie avec Microsoft Defender for Office 365

Microsoft Defender for Office 365 offre une protection avancée contre des menaces telles que le phishing et les malwares. En intégrant les données des journaux de SharePoint avec cet outil, il est possible de :

• Corréler des événements enregistrés dans les journaux avec des menaces potentielles identifiées par Defender ;
• Recevoir des alertes automatiques lorsqu'une activité suspecte sur SharePoint est associée à des comportements anormaux détectés par Defender.

Si Microsoft Defender détecte une tentative de phishing impliquant un fichier sur SharePoint, les journaux d’audit peuvent aider à déterminer qui a accédé au fichier et quelles actions ont été entreprises, facilitant ainsi une réponse rapide et ciblée.

Présentation de Defender for Office 365

Journal d’audit SharePoint : un cas pratique

Après beaucoup de théorie, nous avons décidé de conclure ce guide en expliquant comment améliorer la sécurité de l’entreprise à l’aide des journaux d’audit de SharePoint à travers un petit exemple pratique tiré de notre expérience avec un client.

Imaginons une entreprise de taille moyenne, avec environ 500 employés, où SharePoint Online est utilisé comme principale plateforme de gestion documentaire.

Les responsables IT décident de configurer les journaux d’audit pour surveiller :

• Les accès aux documents confidentiels
• Les modifications des autorisations sur les collections de sites
• Les activités de partage avec des utilisateurs externes

Après avoir activé les journaux via le Compliance Center de Microsoft Purview, l’entreprise met en place un tableau de bord Power BI pour collecter et afficher les principales activités, en mettant en évidence les événements anormaux tels que les accès hors des heures de travail ou les modifications non autorisées.

Après six mois de contrôle, l’entreprise enregistre les résultats suivants :

1. Grâce aux journaux d’audit, chaque activité sur les documents est tracée, facilitant les audits internes et garantissant la conformité.
   
   
2. Les journaux permettent d’identifier une tentative d’accès non autorisé aux données du service financier, permettant une intervention rapide pour bloquer l’utilisateur concerné.
   
   
3. La visualisation centralisée des activités réduit le temps nécessaire pour analyser les données et réagir aux incidents.
   
   

Ainsi, avec quelques outils et un investissement minimal en ressources, toute entreprise peut facilement renforcer sa posture de sécurité.

Toutefois, si l’entreprise ne dispose pas des compétences techniques internes pour exploiter pleinement les technologies Microsoft disponibles, elle peut toujours faire appel à des consultants, tels que les experts de notre équipe, certifiés Microsoft Gold Partner et disposant de décennies d’expérience dans la mise en œuvre, la gestion et la personnalisation du digital workplace basé sur Microsoft 365.

Qu'est-ce qu'un journal d’audit dans SharePoint ?

Un journal d’audit est un registre qui permet de surveiller toutes les activités effectuées au sein d'une collection de sites SharePoint. Il sert à tracer les modifications, les accès, les partages et les changements de permissions des utilisateurs, offrant une vue détaillée et transparente des interactions dans l’espace numérique de travail.

Comment configurer les journaux d’audit dans SharePoint Online ?

Dans SharePoint Online, l’enregistrement des activités est intégré au Microsoft Purview Compliance Center. L’accès aux journaux s’effectue via le portail d’administration Microsoft 365, dans la section dédiée à l’Audit, où il est possible d’effectuer des recherches en définissant des paramètres tels que des dates, des utilisateurs ou des fichiers spécifiques.

Quels types d’activités sont surveillés ?

Les journaux d’audit peuvent tracer les modifications et suppressions de documents, les changements de permissions et de comptes, les recherches effectuées par les utilisateurs et l’exécution de flux de travail automatisés. Chaque événement est enregistré avec des détails utiles pour l’analyse et la prévention des risques.

Comment analyser les données des journaux d’audit ?

Les données peuvent être analysées directement dans le Compliance Center ou exportées vers Excel pour des traitements supplémentaires, comme l'application de filtres ou la création de graphiques. Il est également possible d'utiliser PowerShell pour générer des rapports personnalisés ou Power BI pour des visualisations interactives plus avancées.

Quelle est la valeur des journaux d’audit pour la sécurité de l’entreprise ?

Les journaux d’audit permettent d’identifier des activités anormales, des accès suspects ou des partages non autorisés. Ces éléments sont essentiels pour prévenir les violations, réagir rapidement aux incidents et garantir la conformité aux normes telles que le RGPD ou l'ISO 27001.

Avec quels outils Microsoft les journaux d’audit sont-ils intégrés ?

Les journaux de SharePoint peuvent être intégrés à Microsoft Sentinel pour la corrélation des événements, à Microsoft Defender for Office 365 pour la protection contre le phishing et les malwares, et à Power BI pour la création de tableaux de bord avancés. Ils fonctionnent également avec Teams et OneDrive, qui partagent la même infrastructure documentaire.

Pendant combien de temps les journaux sont-ils conservés ?

La durée de conservation varie en fonction de la licence Microsoft 365 utilisée. Les fonctionnalités standards sont disponibles avec les licences de base, tandis que les fonctionnalités avancées et les périodes de conservation prolongées nécessitent une licence E5 ou des modules complémentaires spécifiques pour Microsoft Purview.

Est-il possible d’améliorer la gouvernance de Teams et OneDrive grâce aux journaux d’audit ?

Oui. Les journaux peuvent être utilisés pour contrôler le partage de fichiers dans Teams et vérifier la bonne utilisation de OneDrive, contribuant ainsi à aligner la gestion des données sur les politiques de l’entreprise.

Est-il nécessaire d’avoir une politique pour l’utilisation des journaux d’audit ?

Il est fortement recommandé d’adopter une politique d’audit. Elle doit définir les activités à surveiller, les délais de conservation des données et les responsabilités internes. C’est la seule façon de gérer efficacement les journaux et de garantir la sécurité et la transparence.

Qui devrait gérer et analyser les journaux ?

La responsabilité ne doit pas incomber uniquement à l’équipe IT. Il est essentiel d’impliquer également l’équipe de conformité afin d’assurer une analyse partagée et une réponse coordonnée aux événements critiques. La production de rapports périodiques permet de maintenir une vigilance constante sur les anomalies éventuelles.