En quelques décennies Microsoft Office a affirmé sa position de leader avec sa suite bureautique qui a transformé les usages professionnels et personnels en proposant, au fil des versions, toujours plus de nouvelles fonctionnalités.
Le cloud arrivant, il a apporté son lot de nouveautés, telles que ressources à la carte, l’adaptation automatique des capacités de calcul et de stockage, le paiement à l’usage… Les organisations consommatrices voient leurs coûts d’infrastructure et de maintenance réduire, alors que les services s’étoffent continuellement ainsi que leurs coûts de location. Au regard des enjeux concurrentiels, la suite OFFICE bascula dans le cloud sous l’impulsion de son nouveau CEO Satya Nadella (« Cloud first, mobile first »), pour devenir Office 365, puis, Microsoft 365.
La force de Microsoft aujourd’hui est que tout le monde (ou presque) connait et utilise la suite Office et chacun se sent suffisamment autonome pour s’engager sans a priori dans la découverte de nouvelles applications. La crise du COVID et la nécessité de généraliser le home office ont accéléré le passage à Microsoft 365. Les organisations utilisant déjà les applications Microsoft voyant la migration et l’intégration vers ce nouvel environnement sans appréhension majeure.
Pourtant l’arrivée de Microsoft 365 bouleverse les façons de travailler. Une constellation d’outils, constamment enrichie et mise à jour, est à la disposition de l’utilisateur lui permettant de s’organiser autrement dans un nouveau contexte de travail, de produire de nouveaux contenus, avec en pivot, les fonctionnalités collaboratives de Teams.
Mais ce déploiement des outils Microsoft 365 est-il vraiment aussi simple ?
C’est ce que nous essayons de mettre en évidence au travers des premiers constats et retours d’expérience d’organisations qui ont fait le pas vers Microsoft 365 et le Cloud.
Selon la norme ISO 24143, la gouvernance organise toutes les fonctions de la gestion de l’information en fonction des objectifs de l’organisme et de ses obligations commerciales, légales et sociétales. Elle garantit une approche complète et systématique de l’information en intégrant des processus relatifs à la diffusion et au contrôle. Nous essaierons de montrer comment la prise en compte de la gouvernance dans la stratégie d’un projet de migration dans Microsoft 365 peut contribuer à la création de valeur pour l’organisation et au succès de son projet.
Quelques constats :
-
La maîtrise des coûts : une réelle économie ?
Certaines organisations avaient déjà pris le virage du Cloud et de Microsoft 365 avant le Covid, avec la volonté de simplifier le déploiement et la maintenance des outils et d’en réduire les coûts en passant d’un mode On-Premises à une offre de services Cloud. Mais au fil des années, les DSI observent un développement continu des volumes stockés et donc des coûts qui augmentent à nouveau. Ils sont parfois tentés de prendre des mesures radicales de nettoyage au risque de perdre des informations ou d’oublier parfois les obligations de conservation. La définition en amont de principes et de règles de gouvernance doit permettre une gestion rationnalisée et maîtrisée de l’information. Paradoxalement ça peut également induire des coûts liés à la mise en place de services additionnels (solution d’acquisition, d’archivage ou de coffre-fort numérique) nécessaires à la mise en œuvre de la conformité.
-
La sécurité et la conformité
A côté de l’argument économique la garantie d’un niveau de sécurité accru proposé dans l’environnement Microsoft a souvent été le déclencheur pour le passage dans le Cloud. Cependant on observe que le contexte lié à la crise du Covid ou à d’autres impératifs a conduit souvent à une ouverture dans l’urgence des tenants dans le Cloud avec par défaut une sécurité permissive. Les utilisateurs (relativement autonomes) s’aventurent dans cet espace, stockent des contenus sur SharePoint ou sur OneDrive, y découvrent les fonctionnalités de partage et les utilisent sans limite, sans contrôle et donc sans garantie de conformité aux exigences légales et règlementaires. Or ce cadre légal et règlementaire applicable dans l’environnement digital se développe et se spécialise en fonction des domaines professionnels mais il n’est pas toujours bien connu et pris en compte. Dans ce contexte de multiples questions se posent : comment éviter la fuite de données, comment s’assurer que les traitements sur les données sont bien opérés et supportés en Suisse ? Comment garantir la confidentialité des données et que le principe de “need to know” est bien respecté ? Comment mettre en place un archivage à valeur probante, reposant sur une empreinte d’intégrité et la maîtrise du cycle de vie de l’information ? Comment fournir un horodatage homogène, assurer la pérennité des supports, et la réversibilité du système d’archivage ? En deux mots comment assurer la gouvernance de l’information ?
-
Une stratégie de déploiement pas toujours optimale.
La présumée grande autonomie des utilisateurs face aux outils proposés par la suite Microsoft 365 et la volonté de leur donner les moyens de travailler a, dans un certain nombre de cas, conduit à une stratégie priorisant le déploiement de One Drive. L’idée étant de mettre rapidement à disposition de chaque utilisateur un environnement de stockage personnel pas si lointain des anciens serveurs mais avec des capacités supplémentaires de partage, de travail hors connexion, de sécurité et de fiabilité. Cependant on a pu observer que cette approche peut être ensuite un frein à l’utilisation d’autres outils (Teams pouvant être utilisé que pour l’organisation de meetings ou le tchat).
Le risque (avéré dans plusieurs cas observés) de cette stratégie centrée dans un premier temps sur OneDrive est de reproduire la problématique de la multiplication/duplication des fichiers, la difficulté de contrôle et de traçabilité et donc la perte de maîtrise de l’information. Face à ce risque certains DSI expriment le souhait de pouvoir désactiver ou limiter les capacités de stockage de OneDrive.
-
Le traitement de l’information
La période Covid a été un formidable accélérateur pour l’utilisation de la solution Teams facilitant la communication et l’organisation des meetings à distance. Teams est un espace de travail rassemblant les fonctionnalités citées précédemment mais aussi la gestion des documents liés aux activités en s’appuyant sur SharePoint et ses fonctionnalités de gestion de contenu documentaire. Là encore, le contexte et la facilité de prise en main ont favorisé une adoption rapide et la multiplication des sites Teams. Néanmoins pour atteindre l’objectif d’une information maîtrisée dans un environnement de travail centré sur Teams, il est nécessaire de poser des principes de structuration (équipes, canaux), des règles de gouvernance (cycle de vie des canaux, droits d’accès…) et qui est responsable et garant du bon fonctionnement. Sans ce cadre on finit par générer un vrac numérique éclaté dans une multitude de sites Teams non gérés.
Les outils d’analyse des contenus (comme les Classifiers de Microsoft) sont une aide potentielle pour analyser et gérer les volumes toujours croissants d’information. Mais cette aide s’appuie sur la définition préalable de critères de reconnaissance et de qualification de l’information pour assurer une gestion maîtrisée et la conformité aux exigences légales et règlementaires.
En quoi la Gouvernance peut-elle orienter la stratégie de déploiement de MICROSOFT 365
-
Etablir une architecture fonctionnelle cohérente : Quel outil pour quel usage ?
- Microsoft 365 offre une constellation d’outils permettant d’élargir le champ des fonctionnalités nécessaires à la gestion de l’information. Chacun d’entre eux apporte son lot de fonctionnalités complémentaires mais parfois redondantes et le plus difficile est de comprendre ce qu’il est opportun d’utiliser pour répondre à chaque type de besoin dans un contexte professionnel particulier. Les utilisateurs sont bien souvent les premiers demandeurs de principes simples et clairs pour travailler de manière efficace et sécurisée dans cet environnement.
-
Définir les règles de gouvernance pour optimiser les processus et les outils :
- Quelle que soit la richesse fonctionnelle proposée par Microsoft 365, elle ne dispense pas l’organisation de faire en amont l’effort d’analyse de l’information gérée, des risques associés et des règles de gouvernance nécessaires pour les maîtriser. Les exigences de sécurité, de confidentialité, de conformité et de conservation légale peuvent conditionner l’usage des différents outils. L’identification de ces exigences, est une condition préalable au choix et au déploiement. L’amélioration des processus métier reste toujours la priorité, mais la sécurité et la conformité sont aujourd’hui des critères incontournables à prendre en compte pour établir la feuille de route d’un projet.
- La suite Microsoft 365 propose des fonctionnalités de gouvernance (Compliance center devenu récemment Pureview), sur lesquelles il y a encore peu de retours d’expérience. Microsoft 365 est une brique majeure du SI mais pas la seule, il existe de nombreuses applications métiers qui produisent et stockent également de l’information. Aujourd’hui, le marché propose des solutions dites de Gouvernance qui viennent compléter l’offre Microsoft 365 pour la gestion de la conformité (AddOn Microsoft ou des outils ayant développé des connecteurs dédiés Microsoft 365). Ces options peuvent être intéressantes à évaluer car elles apportent, pour certaines, une vision transversale de la gouvernance de l’information applicable à Microsoft 365 mais aussi aux autres briques fonctionnelles du système d’information.
-
Un déploiement maitrisé de la suite Microsoft 365 en phase avec la maturité de votre organisation
Une stratégie de déploiement clairement définie s’appuie donc sur une analyse des priorités pour l’organisation en termes de déploiement d’applications M365, des besoins des métiers et des risques (sécurité, qualité, conformité).
Sur la base d’une approche globale, on définit une feuille de route Microsoft 365 prévoyant un déploiement progressif, application par application en s’assurant de la conformité aux principes de gouvernance.
Ce déploiement prévoit un dispositif clair et compréhensible de conduite du changement pour l’accompagnement des utilisateurs à l’adoption des bonnes pratiques et à l’appropriation d’une culture de la conformité.
Pour mener à bien un projet de déploiement Microsoft 365 il est nécessaire de mettre en œuvre une approche méthodologique par étapes :
- Evaluation du niveau de maturité d’utilisation de M 365 et de la gouvernance de l’information dans l’organisation.
- Niveau de déploiement de Microsoft 365-Analyse architecture et sécurité
- Evaluation des principes et procédures de gouvernance existants
- Analyse des cas d’usage courants
- Identification des manques et des risques
- Construction de la gestion des identités et des dispositifs de conformité.
- Déploiement des applications selon la feuille de route en mode itératif
- Quelle application, pour qui et pourquoi ?
- Qualification des données manipulées (données personnelles, confidentielles…)
- Principes de gouvernance à appliquer selon les domaines d’activité.
- Identification des impacts en termes d’architecture et de sécurité
- Réalisation – Déploiement incluant la conduite du changement
- Mise en place des indicateurs de suivi des activités car la maîtrise de la gouvernance de l’information peut requérir des améliorations à reprendre au fil du déploiement de Microsoft 365.
La gouvernance de l’information peut être perçue comme une contrainte et un frein. Notre approche l’intègre totalement dans le déploiement de Microsoft 365 en proposant une approche maîtrisée et progressive afin de permettre à l’utilisateur de gagner en productivité tout en garantissant la conformité aux exigences légales et règlementaires.
Découvrez l’offre : Gravity Microsoft 365
Redsen vous accompagne dans la mise en place d’une architecture Microsoft 365 et ses outils sur mesure, intégrant le respect des contraintes règlementaires et légales (ex : RGPD ou LPD).
⚙️ Suite à ces conseils, nous vous accompagnons également dans la mise en œuvre technique des solutions proposées et adaptées à vos enjeux, les bonnes pratiques pour sécuriser vos documents et les actions de conduite du changement garantissant l’efficience au quotidien de vos collaborateurs.
Si vous souhaitez allez plus loin dans la compréhension de l’offre Gravity, nous vous invitons à lire :
Migration d’une Gestion Électronique Documentaire On-Premise vers le Cloud Microsoft 365
La gestion des identités au cœur de l’architecture et de la sécurité du SI