Cas client : Mise en place d’une voûte documentaire pour collecter des données sensibles depuis l’extérieur

24.12.25 11:30 AM - Commentaire(s) - Par Jordane


Résumé exécutif


io4 a accompagné une organisation québécoise (services professionnels, exigences de conformité) dans la mise en place d’une voûte documentaire Microsoft 365 permettant à des tiers externes de déposer des documents sensibles de façon sécurisée, cloisonnée et auditable.
La solution combine Microsoft Forms (collecte structurée), Power Automate (orchestration), SharePoint Online (stockage gouverné), Power Automate Approvals (validation interne) et Power BI (pilotage). Pour réduire les risques, io4 a ajouté une classification avancée (labels) et des politiques DLP adaptées aux types de données.


Résultats en 6 semaines :

  • +1 850 soumissions traitées en 90 jours (jusqu’à 90/jour en pic)
  • - 62 % de temps de traitement administratif
  • - 85 % d’échanges de documents sensibles par courriel
  • 100 % des dépôts classifiés, journalisés et rattachés à un numéro de suivi
  • SLA : temps de prise en charge initiale réduit de ~48 h à <16 h (demandes standard)
  • 0 incident de partage externe non autorisé sur la période de stabilisation


Contexte du client


Le client devait collecter régulièrement des documents sensibles depuis l’extérieur : pièces d’identité, formulaires signés, preuves d’adresse, contrats, attestations, documents RH et financiers.
Avant le projet, les dépôts transitaient via courriel, liens de partage manuels ou stockage dispersé, avec peu de contrôle sur :

  • la traçabilité (qui a fourni quoi, quand, pour quel dossier),
  • la gouvernance (rétention, purge, accès),
  • la sécurité (mauvais destinataire, partages excessifs, copies).


Objectif : standardiser la collecte et créer une voûte documentaire : simple côté externe, stricte côté interne.



Défi rencontré

  1. Collecte externe sans friction (utilisateurs sans compte M365)
  2. Cloisonnement par dossier : un dépôt ne doit pas être visible d’un autre
  3. Traçabilité & audit : preuves exploitables en conformité
  4. Contrôle interne : validation avant “acceptation” dans le référentiel
  5. Classification & DLP : empêcher l’exfiltration involontaire (emails, partage, copié-collé, connecteurs)
  6. Pilotage : visibilité temps réel sur volume, SLA, anomalies et statut des dossiers


Solution mise en œuvre


1. Collecte — Microsoft Forms (externe)

  • Formulaires par processus (ex. “Onboarding fournisseur”, “Dossier RH”, “Demande client”)
  • Champs obligatoires + règles de validation (format ID dossier, type de document, consentement)
  • Pièces jointes activées selon le scénario (et contraintes de format/taille documentées)

Objectif : réduire les erreurs en amont (mauvais type de doc, ID manquant, pièces jointes incorrectes).


2. Orchestration — Power Automate (flux principal)

Pipeline “réception → contrôles → routage → classification → approbation → confirmation”

  1. Réception d’une réponse Forms
  2. Contrôles : extension, taille, nombre de fichiers, présence d’un identifiant, cohérence “type de demande vs documents fournis”
  3. Normalisation : renommage + métadonnées (TypeDoc, Sensibilité, CaseID, Propriétaire, Statut)
  4. Routage : dépôt dans SharePoint (bibliothèque/domaines ou dossier par case)
  5. Cloisonnement : héritage des permissions coupé + groupes ciblés (Least Privilege)
  6. Journalisation dans une liste SharePoint “AuditVoûte” (événement, date, statut, erreurs, acteur, runId)
  7. Accusé réception à l’externe (sans contenu sensible)

3. Numéro de suivi (Case ID) + journal “case”

Pour rendre le processus audit-ready et faciliter la communication avec l’externe, io4 a ajouté un mécanisme de numéro de suivi.

Approche technique :

  • À chaque soumission, Power Automate génère un identifiant lisible (ex. VOUTE-2025-000742) + un GUID technique pour unicité.
  • Création/MAJ d’un enregistrement dans une liste SharePoint “Cases” :
    • CaseID, DateCreation, Demandeur, Type, Service, Statut, SLA_Start, SLA_Target, DerniereAction, Owner
  • Chaque document déposé référence ce CaseID (métadonnée obligatoire).

Bénéfices :

  • échanges faciles : “Votre dossier = VOUTE‑2025‑000742”
  • traçabilité complète : 1 soumission = 1 case = n documents = n événements


4. Validation / Approbation interne (Power Automate Approvals)

Afin d’éviter qu’un document soit “accepté” sans revue, io4 a intégré un workflow d’approbation.

Fonctionnement :

  • Après dépôt en “Zone Quarantaine” (SharePoint), déclenchement d’un Approval vers le groupe responsable (ex. RH, Finance, Juridique).
  • L’approbation peut se faire :
    • dans Teams (Adaptive Card),
    • dans Outlook,
    • dans le portail Approvals.
  • Décision possible : Approuver / Rejeter / Demander une correction (commentaires obligatoires).
  • En cas d’approbation :
    • déplacement automatique du fichier vers la Zone Coffre (Vault),
    • passage du statut de case à Approved,
    • application des politiques de rétention/label.
  • En cas de rejet ou correction :
    • statut Rejected / ActionRequired,
    • notification externe avec instructions sans divulguer d’informations sensibles.

Pourquoi c’est important :

  • contrôle humain sur les documents sensibles,
  • réduction du risque “mauvais document au mauvais endroit”,
  • preuve d’un processus de validation.


5. Tableau de bord Power BI (pilotage & SLA)

Le client voulait un suivi “opération + gouvernance” : volume, statut, délais, exceptions.

Architecture data :

  • Source principale : liste SharePoint Cases + liste AuditVoûte + bibliothèque (métadonnées documents).
  • Dataset Power BI : mesures SLA, volumes, taux d’erreur, backlog.

Pages du rapport :

  • Vue globale : soumissions par jour/semaine, top catégories, tendances
  • SLA & backlog : cases en retard, temps moyen avant prise en charge, temps d’approbation
  • Qualité : top erreurs (pièce trop volumineuse, mauvais format, champ manquant)
  • Conformité : documents par sensibilité, rétention appliquée, accès exceptionnels

Résultat :

  • visibilité quasi temps réel,
  • capacité de détecter un goulot (approbations, erreurs externes),
  • reporting pour la direction IT / conformité.

6. Classification avancée + DLP (Microsoft Purview & Power Platform)


Pour limiter l’exposition et encadrer l’usage, io4 a implémenté une stratégie de classification + DLP adaptée aux données collectées.


A) Classification (labels de sensibilité)
  • 3 niveaux, par exemple :
    • Interne
    • Confidentiel
    • Restreint / Données sensibles
  • Attribution :
    • automatique via métadonnées (TypeDoc) + règles
    • ou par défaut sur la bibliothèque “Vault”

Contrôles possibles selon label :

  • chiffrement/permissions,
  • restrictions de partage,
  • watermarking (si requis),
  • accès conditionnel renforcé selon le site / bibliothèque.

B) DLP (Purview)
  • Règles ciblées pour empêcher :
    • partage externe non conforme,
    • envoi par email de données sensibles,
    • diffusion via Teams/SharePoint/OneDrive hors périmètre.
  • Alignement sur les types d’information (PII, numéros gouvernementaux, etc.) selon les cas d’usage.

C) DLP Power Platform (connecteurs)
  • Politique DLP Power Platform :
    • connecteurs “Business” (SharePoint, Outlook, Teams, Dataverse si utilisé)
    • connecteurs “Non-Business” bloqués ou restreints
  • Objectif : empêcher qu’un flux Power Automate envoie des fichiers sensibles vers des destinations non approuvées.


⚠️ Le niveau exact (auto‑labeling, DLP avancée, scope par workload) dépend du licensing M365 du client — io4 conçoit une configuration “best possible” selon le plan retenu.


Résultats obtenus (90 jours post-déploiement)


4.1 Performance & efficacité

  • 1 850 soumissions traitées (20–30/jour en moyenne, pics à 90/jour)
  • - 62 % de temps administratif (classement, renommage, relance)
  • Temps de prise en charge initiale : ~48h → <16h
  • Taux d’erreur (soumissions non conformes) : –40 % après itération sur les validations Forms

4.2 Réduction du risque

  • - 85 % de documents sensibles transmis par email
  • 0 incident de partage externe non autorisé
  • 100 % des dépôts rattachés à un CaseID unique + journal d’audit

4.3 Gouvernance & conformité

  • 100 % des documents : métadonnées + sensibilité + emplacement gouverné
  • Approbation systématique avant passage en “Vault”
  • Rétention & purge appliquées automatiquement par catégorie documentaire
  • Suivi continu via Power BI (SLA, backlog, conformité)


Conclusion — Bénéfices pour le client


En ajoutant Case ID + Approvals + Power BI + Classification/DLP, la voûte documentaire n’est pas seulement un “dépôt sécurisé” : c’est un processus complet, mesurable et gouverné, qui réduit le risque, accélère le traitement et répond aux exigences de conformité.

Bénéfices clés :

  • Expérience simple pour les externes + parcours robuste pour l’interne
  • Contrôle et validation avant “acceptation” des documents
  • Visibilité end-to-end (SLA, backlog, erreurs) via tableau de bord
  • Réduction nette du risque d’exfiltration grâce à la classification et DLP


Jordane

Catégories -
Microsoft 365
Partager -
Balises -