Les entreprises veulent garder le contrôle des contenus qu’ils gèrent dans les services cloud. Quoi de plus normal, admet Microsoft qui vient de présenter dans ce domaine une extension des possibilités offertes autour de sa bureautique en ligne Office 365. Ces annonces ont été faites à l’occasion de la conférence RSA 2015 qui se tient en ce moment à San Francisco, du 20 au 24 avril. Microsoft va proposer davantage de visibilité sur les interactions réalisées sur les contenus d’Office 365, pour que les entreprises puissent s’assurer du respect des politiques de sécurité qu’elles ont établies. Désormais, la visibilité sur les connexions sera étendue aux échanges effectués entre Office 365, le serveur de messagerie Exchange Online et SharePoint Online, explique Microsoft dans un billet.

L’éditeur annonce également l’arrivée prochaine d’une API de gestion de l’activité sur Office 365. Elle permettra aux clients et partenaires d’intégrer les informations sur les logs d’Office 365 au sein de solutions de surveillance et de gestion des incidents, ou dans des logiciels d’analyse et de visualisation de données. Certains partenaires d’Office 365 l’ont déjà fait dans le cadre d’un programme bêta, indique Microsoft en précisant que cette API sera diffusée plus largement cet été à la faveur d’une préversion accessible en mode privé. Les clients intéressés peuvent s’inscrire sur le site dev.office.com. Enfin, pour les utilisateurs d’Office 365 eux-mêmes, l’éditeur de Redmond prépare une fonctionnalité qui leur permettra d’autoriser ses ingénieurs de support à accéder à leurs contenus, ou bien à leur en refuser l’accès. Sous le nom de Customer Lockbox for Office 365, cette fonctionnalité sera livrée pour Exchange Online à la fin de cette année et pour SharePoint Online au premier trimestre 2016. Elle sera disponible pour toutes les versions commerciales d’Office 365 existantes (Business, Entreprise, Education, Secteur public).

La demande d'accès des ingénieurs de Microsoft mentionnera la raison de l'intervention. (agrandir l'image)

Un niveau de chiffrement supplémentaire pour Office 365

Sur son blog Office, Microsoft fournit quelques explications. Il dit avoir conçu ses services bureautiques en ligne de telle sorte que ses équipes d’ingénieurs n’aient pas besoin d’interagir avec les contenus des utilisateurs. « Presque toutes les opérations sont automatisées et l’implication humaine est contrôlée et décorrélée des contenus », assure l’éditeur. Ses ingénieurs n’ont donc aucune raison d’accéder à ceux-ci, sauf dans de rares cas, par exemple quand l’utilisateur a un problème avec sa boîte mails ou ses documents. Ils le font via une technologie de contrôle d’accès appelée Lockbox. Celle-ci utilise plusieurs niveaux d’approbation au sein de Microsoft pour disposer d’un accès au moment où c’est nécessaire et uniquement pendant un temps limité. Et toutes les interactions sont enregistrées et auditées. Désormais, avec Customer Lockbox for Office 365, les utilisateurs sont enrôlés dans le processus d’approbation Lockbox impliquant un accès à leurs contenus. Cela permet de s’assurer que les ingénieurs de Microsoft n’accèdent pas à leurs contenus sans un accord explicite. Lorsque l’utilisateur reçoit de leur part une demande d’accès, il peut l’accepter ou la rejeter. Tant qu’il ne l’aura pas accepté, l’ingénieur ne disposera pas d’accès. Evidemment, ce qui est intéressant, c’est aussi de pouvoir consulter l’activité liée à ces accès à travers des systèmes de monitoring, via l’API.

Enfin, Microsoft va ajouter d’ici la fin de l’année des niveaux supplémentaires de chiffrement sur les emails dans Office 365, en donnant aux utilisateurs un contrôle sur leurs propres clés de chiffrement. Cela ajoutera une couche de sécurité supplémentaire qui utilisera des clés protégées par des modules matériels certifiés FIPS 140-2 niveau 2, précise dans un billet Rajesh Jha, vice président de Microsoft pour Outlook et Office 365.