Résumé exécutif

io4 a accompagné une organisation québécoise (services professionnels, exigences de conformité) dans la mise en place d’une voûte documentaire Microsoft 365 permettant à des tiers externes de déposer des documents sensibles de façon sécurisée, cloisonnée et auditable.
La solution combine Microsoft Forms (collecte structurée), Power Automate (orchestration), SharePoint Online (stockage gouverné), Power Automate Approvals (validation interne) et Power BI (pilotage). Pour réduire les risques, io4 a ajouté une classification avancée (labels) et des politiques DLP adaptées aux types de données.

Résultats en 6 semaines :

• +1 850 soumissions traitées en 90 jours (jusqu’à 90/jour en pic)
• - 62 % de temps de traitement administratif
• - 85 % d’échanges de documents sensibles par courriel
• 100 % des dépôts classifiés, journalisés et rattachés à un numéro de suivi
• SLA : temps de prise en charge initiale réduit de ~48 h à <16 h (demandes standard)
• 0 incident de partage externe non autorisé sur la période de stabilisation

Contexte du client

Le client devait collecter régulièrement des documents sensibles depuis l’extérieur : pièces d’identité, formulaires signés, preuves d’adresse, contrats, attestations, documents RH et financiers.
Avant le projet, les dépôts transitaient via courriel, liens de partage manuels ou stockage dispersé, avec peu de contrôle sur :

• la traçabilité (qui a fourni quoi, quand, pour quel dossier),
• la gouvernance (rétention, purge, accès),
• la sécurité (mauvais destinataire, partages excessifs, copies).

Objectif : standardiser la collecte et créer une voûte documentaire : simple côté externe, stricte côté interne.

Défi rencontré

1. Collecte externe sans friction (utilisateurs sans compte M365)
2. Cloisonnement par dossier : un dépôt ne doit pas être visible d’un autre
3. Traçabilité & audit : preuves exploitables en conformité
4. Contrôle interne : validation avant “acceptation” dans le référentiel
5. Classification & DLP : empêcher l’exfiltration involontaire (emails, partage, copié-collé, connecteurs)
6. Pilotage : visibilité temps réel sur volume, SLA, anomalies et statut des dossiers

Solution mise en œuvre

1. Collecte — Microsoft Forms (externe)

• Formulaires par processus (ex. “Onboarding fournisseur”, “Dossier RH”, “Demande client”)
• Champs obligatoires + règles de validation (format ID dossier, type de document, consentement)
• Pièces jointes activées selon le scénario (et contraintes de format/taille documentées)

Objectif : réduire les erreurs en amont (mauvais type de doc, ID manquant, pièces jointes incorrectes).

2. Orchestration — Power Automate (flux principal)

Pipeline “réception → contrôles → routage → classification → approbation → confirmation”

1. Réception d’une réponse Forms
2. Contrôles : extension, taille, nombre de fichiers, présence d’un identifiant, cohérence “type de demande vs documents fournis”
3. Normalisation : renommage + métadonnées (TypeDoc, Sensibilité, CaseID, Propriétaire, Statut)
4. Routage : dépôt dans SharePoint (bibliothèque/domaines ou dossier par case)
5. Cloisonnement : héritage des permissions coupé + groupes ciblés (Least Privilege)
6. Journalisation dans une liste SharePoint “AuditVoûte” (événement, date, statut, erreurs, acteur, runId)
7. Accusé réception à l’externe (sans contenu sensible)

3. Numéro de suivi (Case ID) + journal “case”

Pour rendre le processus audit-ready et faciliter la communication avec l’externe, io4 a ajouté un mécanisme de numéro de suivi.

Approche technique :

• À chaque soumission, Power Automate génère un identifiant lisible (ex. VOUTE-2025-000742) + un GUID technique pour unicité.
• Création/MAJ d’un enregistrement dans une liste SharePoint “Cases” :
  • CaseID, DateCreation, Demandeur, Type, Service, Statut, SLA_Start, SLA_Target, DerniereAction, Owner
• Chaque document déposé référence ce CaseID (métadonnée obligatoire).

Bénéfices :

• échanges faciles : “Votre dossier = VOUTE‑2025‑000742”
• traçabilité complète : 1 soumission = 1 case = n documents = n événements

4. Validation / Approbation interne (Power Automate Approvals)

Afin d’éviter qu’un document soit “accepté” sans revue, io4 a intégré un workflow d’approbation.

Fonctionnement :

• Après dépôt en “Zone Quarantaine” (SharePoint), déclenchement d’un Approval vers le groupe responsable (ex. RH, Finance, Juridique).
• L’approbation peut se faire :
  • dans Teams (Adaptive Card),
  • dans Outlook,
  • dans le portail Approvals.
• Décision possible : Approuver / Rejeter / Demander une correction (commentaires obligatoires).
• En cas d’approbation :
  • déplacement automatique du fichier vers la Zone Coffre (Vault),
  • passage du statut de case à Approved,
  • application des politiques de rétention/label.
• En cas de rejet ou correction :
  • statut Rejected / ActionRequired,
  • notification externe avec instructions sans divulguer d’informations sensibles.

Pourquoi c’est important :

• contrôle humain sur les documents sensibles,
• réduction du risque “mauvais document au mauvais endroit”,
• preuve d’un processus de validation.

5. Tableau de bord Power BI (pilotage & SLA)

Le client voulait un suivi “opération + gouvernance” : volume, statut, délais, exceptions.

Architecture data :

• Source principale : liste SharePoint Cases + liste AuditVoûte + bibliothèque (métadonnées documents).
• Dataset Power BI : mesures SLA, volumes, taux d’erreur, backlog.
  
  

Pages du rapport :

• Vue globale : soumissions par jour/semaine, top catégories, tendances
• SLA & backlog : cases en retard, temps moyen avant prise en charge, temps d’approbation
• Qualité : top erreurs (pièce trop volumineuse, mauvais format, champ manquant)
• Conformité : documents par sensibilité, rétention appliquée, accès exceptionnels
  
  

Résultat :

• visibilité quasi temps réel,
• capacité de détecter un goulot (approbations, erreurs externes),
• reporting pour la direction IT / conformité.

6. Classification avancée + DLP (Microsoft Purview & Power Platform)

Pour limiter l’exposition et encadrer l’usage, io4 a implémenté une stratégie de classification + DLP adaptée aux données collectées.

A) Classification (labels de sensibilité)

• 3 niveaux, par exemple :
  • Interne
  • Confidentiel
  • Restreint / Données sensibles
• Attribution :
  • automatique via métadonnées (TypeDoc) + règles
  • ou par défaut sur la bibliothèque “Vault”

Contrôles possibles selon label :

• chiffrement/permissions,
• restrictions de partage,
• watermarking (si requis),
• accès conditionnel renforcé selon le site / bibliothèque.

B) DLP (Purview)

• Règles ciblées pour empêcher :
  • partage externe non conforme,
  • envoi par email de données sensibles,
  • diffusion via Teams/SharePoint/OneDrive hors périmètre.
• Alignement sur les types d’information (PII, numéros gouvernementaux, etc.) selon les cas d’usage.

C) DLP Power Platform (connecteurs)

• Politique DLP Power Platform :
  • connecteurs “Business” (SharePoint, Outlook, Teams, Dataverse si utilisé)
  • connecteurs “Non-Business” bloqués ou restreints
• Objectif : empêcher qu’un flux Power Automate envoie des fichiers sensibles vers des destinations non approuvées.

⚠️ Le niveau exact (auto‑labeling, DLP avancée, scope par workload) dépend du licensing M365 du client — io4 conçoit une configuration “best possible” selon le plan retenu.

Résultats obtenus (90 jours post-déploiement)

4.1 Performance & efficacité

• 1 850 soumissions traitées (20–30/jour en moyenne, pics à 90/jour)
• - 62 % de temps administratif (classement, renommage, relance)
• Temps de prise en charge initiale : ~48h → <16h
• Taux d’erreur (soumissions non conformes) : –40 % après itération sur les validations Forms
  
  

4.2 Réduction du risque

• - 85 % de documents sensibles transmis par email
• 0 incident de partage externe non autorisé
• 100 % des dépôts rattachés à un CaseID unique + journal d’audit
  
  

4.3 Gouvernance & conformité

• 100 % des documents : métadonnées + sensibilité + emplacement gouverné
• Approbation systématique avant passage en “Vault”
• Rétention & purge appliquées automatiquement par catégorie documentaire
• Suivi continu via Power BI (SLA, backlog, conformité)

Conclusion — Bénéfices pour le client

En ajoutant Case ID + Approvals + Power BI + Classification/DLP, la voûte documentaire n’est pas seulement un “dépôt sécurisé” : c’est un processus complet, mesurable et gouverné, qui réduit le risque, accélère le traitement et répond aux exigences de conformité.

Bénéfices clés :

• Expérience simple pour les externes + parcours robuste pour l’interne
• Contrôle et validation avant “acceptation” des documents
• Visibilité end-to-end (SLA, backlog, erreurs) via tableau de bord
• Réduction nette du risque d’exfiltration grâce à la classification et DLP

Résumé exécutif

io4 a mené une migration tenant‑to‑tenant Microsoft 365 post‑fusion pour un client de services B2B. Le périmètre couvrait 128 utilisateurs, 3 TB de courriels Exchange, pour un total de 17 TB de données (Exchange, OneDrive, SharePoint, Teams), 4 environnements Power Platform et un parc Intune.
Après une pré‑migration complète (préparation et pre‑stage des données), nous avons opéré une bascule une fin de semaine.

Résultats clés :

• Disponibilité : ~30 min d’indisponibilité email lors du cutover DNS ; aucune perte de données confirmée.
• Sécurité : Secure Score +31 pts (49 → 80),.
• Coûts : –18 % sur les coûts récurrents M365 (≈ 36 800 €/an).
• Support : –35 % de tickets accès/identité à S+30.
• Adoption : +22 % d’usage Teams Meetings ; +19 % OneDrive.
  

Contexte du client

À la suite d’une fusion, l’organisation se retrouve avec deux tenants M365 :

• Tenant A (acquéreur) : gouvernance et sécurité matures (E3 + modules sécurité, Intune, Purview).
• Tenant B (acquis) : configurations hétérogènes, partage externe permissif, MFA partiel.

Périmètre technique :

• Identités & messagerie : 128 utilisateurs, 146 boîtes aux lettres.
• Données : 17 TB au total — Exchange 3 TB, OneDrive 7 TB, SharePoint 6 TB, Teams 1 TB.
• Parc géré : 72 Windows 11, 16 macOS, 28 mobiles iOS/Android.
• Power Platform : 4 environnements (prod/dev/sandbox/test).
• Contraintes : continuité d’activité, RGPD, rétention légale 7 ans sur une partie des mails.

Objectifs : consolidation dans le tenant A, coexistence contrôlée, harmonisation sécurité/conformité, réduction des coûts, maintien des apps métiers (Teams, SharePoint, Power Platform), projet < 12 semaines.

Défi rencontré

1. Identité & coexistence

   • Collisions UPN/alias ; transfert du domaine principal (MX, Autodiscover, SPF/DKIM/DMARC) sans rupture.
   • Accès B2B pour préserver la collaboration externe pendant la transition.

2. Workloads

   • Exchange : boîtes partagées, délégations, archives in‑place.
   • Teams : canaux standards/privés, onglets (Planner/OneNote), apps tierces.
   • SharePoint : permissions héritées, liens de partage, pages modernes.
   • OneDrive : partages externes sensibles.
   • Power Platform : DLP policies, connecteurs, secrets.
   • Intune : policies et ré‑enrôlement partiel.

3. Sécurité & conformité

   • Unifier Conditional Access, imposer MFA & device compliance.
   • Déployer Defender for Office 365.
   • Purview : labels de sensibilité, DLP, rétention, eDiscovery.

4. Organisation & adoption

• Limiter l’impact utilisateur (alias, calendriers, signatures).
• Communication et accompagnement ciblés.

Solution mise en œuvre

Architecture & gouvernance

• Design cible : consolidation dans tenant A, normalisation UPN (prenom.nom@domaine.com), délégation par Administrative Units.
• Sécurité : Conditional Access renforcé, PIM pour rôles sensibles, device compliance exigée.

Méthodologie (10 semaines)

Phase 0 — Découverte & planification (S1–S2)
Inventaire (Graph/PowerShell), cartographie dépendances, comités projet hebdo.

Phase 1 — Coexistence contrôlée (S3)
Entra ID sync ; pré‑création des comptes/groupes ; coexistence.

Phase 2 — Pre‑stage des données (S4–S7)

• Exchange Online : pre‑stage de 90–95 % des boîtes.
• OneDrive & SharePoint : pre‑stage des contenus avec mapping des permissions.
• Teams : préparation (canaux, onglets, apps) et liste des propriétaires.
• Power Platform : export/import des solutions, mise à jour des connecteurs/secrets.

Phase 3 — Cutover one‑shot (S8, week‑end)

• Basculer DNS (MX, Autodiscover, SPF/DKIM/DMARC), ouvrir la nouvelle autodiscover.
• Finaliser le delta des boîtes Exchange ; réconciliation des délégations et boîtes partagées.
• Activer Conditional Access.
• War room J+3 pour traitement rapide des incidents.

Phase 4 — Stabilisation & optimisation (S9–S10)
Suivi Secure Score, tuning Defender, DLP et Retention Purview ; retrait contrôlé du tenant B.

Résultats obtenus

Volumétrie migrée

• 17 TB migrés : Exchange 3 TB, OneDrive 7 TB, SharePoint 6 TB, Teams 1 TB.
• 0 perte de données confirmée (hash/rapports) ; ~30 min de coupure mail au cutover.
  
  

Sécurité & conformité

• Secure Score : 49 → 80 (+31).
• MFA 100 %, legacy auth bloquée, Safe Links/Attachments activés, DKIM/DMARC opérationnels.
• Purview : 3 labels (Interne, Confidentiel, Restreint), DLP sur données personnelles, rétention 7 ans.

Coûts (TCO Microsoft 365 récurrent)

• –18 % de TCO récurrent (≈ 25 000 $/an).
• Gains issus de la consolidation des licences (-14 %) et de la suppression d’outils redondants (-4 %).

Support & expérience

• –35 % de tickets accès/identité (index 100 → 65).
• –22 % de tickets liés aux partages externes.
  
  

Adoption des usages

• Teams Meetings : +22 % 
• OneDrive : +19 % 

Planning projet 

• Pré‑migration structurée (pre‑stage), cutover unique le week‑end, stabilisation en S9–S10.

Conclusion — Bénéfices pour le client

La migration tenant‑to‑tenant menée par io4, avec pré‑migration complète et bascule one‑shot sécurisée par AvePoint Cloud Backup, a unifié l’environnement Microsoft 365, renforcé la sécurité, simplifié l’administration et réduit les coûts. La continuité opérationnelle a été assurée et la gouvernance (labels, DLP, rétention, eDiscovery) est désormais cohérente et auditable.

En synthèse :

• Sécurité : MFA, Conditional Access, Defender, Purview → posture durcie et contrôlée.
• Productivité : collaboration homogène (Teams/SharePoint), adoption en hausse.
• Coûts : –18 % du TCO Microsoft 365 via consolidation et rationalisation.
• Fondations : prêtes pour Zero Trust, automatisation et analytics.