Comme le rappellent certaines failles de sécurité largement médiatisées, la gouvernance des accès aux données est une nécessité absolue pour les entreprises. Or, force est de constater des carences en la matière : le contrôle des accès aux informations critiques est souvent inefficace et n'a pas la souplesse requise pour s'adapter facilement au changement. Selon un rapport de Gartner sur la sécurité et la gestion des risques[i], les décisions relatives à l'accès aux données doivent être fondées sur une évaluation des risques et des avantages d'un niveau donné de partage des données, ainsi que des processus, personnes et technologies permettant ce partage en toute sécurité.
Leader dans le domaine de la gestion des identités et des accès, Quest Software utilise un processus en six étapes pour guider les évaluations et améliorer le contrôle des accès aux données.
Six étapes pour une meilleure gouvernance :
1. Répertorier les utilisateurs et les ressources : cette première étape consiste à effectuer un inventaire de l'infrastructure pour répertorier les données importantes (ou points d'accès à ces données), qui sont souvent éparpillées sur diverses plates-formes, des périphériques de stockage en réseau et des sites SharePoint, dans des groupes Active Directory, sur des appareils mobiles, etc. En particulier, il est également important d'identifier les sources de données non structurées ou orphelines.
2. Classer les données et attribuer des droits d'accès : les données doivent être classées en fonction de leur confidentialité, de leur corrélation avec les réglementations (par exemple, les numéros de carte de crédit), de leur pertinence générale et des besoins en matière d'archivage. Il faut également passer en revue et évaluer les propriétaires des données pour vérifier leur conformité par rapport à la politique de sécurité.
3. Associer les données à des propriétaires et des approbateurs : des propriétaires doivent être désignés en fonction du rôle, du lieu et d'autres attributs. La séparation des tâches doit être prise en considération pour assurer la conformité et la sécurité.
4. Vérifier les accès : planifier l'audit et le reporting des accès afin d'assurer leur contrôle continu à l'échelle de l'entreprise et de garantir leur conformité et leur sécurité.
5. Automatiser les demandes d'accès et la résolution des problèmes : l'automatisation des processus de traitement des demandes d'accès en fonction des droits d'accès et du rôle du demandeur au sein de l'entreprise est recommandée pour des raisons de sécurité. En outre, le traitement automatisé des écarts permet d'éliminer proactivement des menaces ou infractions potentielles.
6. Empêcher les modifications illicites : verrouiller les données, groupes ou droits d'accès qui ne doivent jamais être modifiés. Toutes les modifications doivent être consignées dans un référentiel sécurisé infalsifiable, afin d'assurer l'intégrité des analyses.
Protection et gestion proactives des données critiques
· La gouvernance automatisée et multiplate-forme des accès aux données permet d'éliminer non seulement les obstacles qui empêchent l'application des réglementations, mais également les accès illicites aux données sensibles stockées sur des serveurs de fichiers virtuels et physiques, périphériques de stockage en réseau, sites SharePoint, serveurs de fichiers Windows, etc.
· Le contrôle efficace des accès est essentiel pour la réduction et la prévention des menaces. Selon l'édition 2011 du rapport de Verizon sur les failles en matière de protection des données, 86 % des problèmes de sécurité peuvent être détectés par les entreprises avant qu'un incident ne se produise.
· La visibilité complète, à 360 degrés, des accès des utilisateurs à l'échelle de l'entreprise procure aux responsables informatiques, aux dirigeants de l'entreprise et aux propriétaires des données les informations requises pour l'application des politiques et des réglementations sans impact négatif sur les opérations.
Citation :
· Nick Nikols, Vice-Président et Directeur Général, Identity, Security and Windows Management, Quest Software
« Notre vision de la gouvernance complète des accès aux données associe la découverte, le contrôle et l'automatisation pour aider les décideurs au sein des entreprises à déterminer qui a besoin d'accéder à des données critiques stockées dans des formats structurés au sein d'applications et de bases de données ou dans des formats non structurés au sein de documents et de feuilles de calcul, afin de répondre aux besoins en constante évolution de l'entreprise sans compromettre la sécurité ou la conformité requise. »
Leader dans le domaine de la gestion des identités et des accès, Quest Software utilise un processus en six étapes pour guider les évaluations et améliorer le contrôle des accès aux données.
Six étapes pour une meilleure gouvernance :
1. Répertorier les utilisateurs et les ressources : cette première étape consiste à effectuer un inventaire de l'infrastructure pour répertorier les données importantes (ou points d'accès à ces données), qui sont souvent éparpillées sur diverses plates-formes, des périphériques de stockage en réseau et des sites SharePoint, dans des groupes Active Directory, sur des appareils mobiles, etc. En particulier, il est également important d'identifier les sources de données non structurées ou orphelines.
2. Classer les données et attribuer des droits d'accès : les données doivent être classées en fonction de leur confidentialité, de leur corrélation avec les réglementations (par exemple, les numéros de carte de crédit), de leur pertinence générale et des besoins en matière d'archivage. Il faut également passer en revue et évaluer les propriétaires des données pour vérifier leur conformité par rapport à la politique de sécurité.
3. Associer les données à des propriétaires et des approbateurs : des propriétaires doivent être désignés en fonction du rôle, du lieu et d'autres attributs. La séparation des tâches doit être prise en considération pour assurer la conformité et la sécurité.
4. Vérifier les accès : planifier l'audit et le reporting des accès afin d'assurer leur contrôle continu à l'échelle de l'entreprise et de garantir leur conformité et leur sécurité.
5. Automatiser les demandes d'accès et la résolution des problèmes : l'automatisation des processus de traitement des demandes d'accès en fonction des droits d'accès et du rôle du demandeur au sein de l'entreprise est recommandée pour des raisons de sécurité. En outre, le traitement automatisé des écarts permet d'éliminer proactivement des menaces ou infractions potentielles.
6. Empêcher les modifications illicites : verrouiller les données, groupes ou droits d'accès qui ne doivent jamais être modifiés. Toutes les modifications doivent être consignées dans un référentiel sécurisé infalsifiable, afin d'assurer l'intégrité des analyses.
Protection et gestion proactives des données critiques
· La gouvernance automatisée et multiplate-forme des accès aux données permet d'éliminer non seulement les obstacles qui empêchent l'application des réglementations, mais également les accès illicites aux données sensibles stockées sur des serveurs de fichiers virtuels et physiques, périphériques de stockage en réseau, sites SharePoint, serveurs de fichiers Windows, etc.
· Le contrôle efficace des accès est essentiel pour la réduction et la prévention des menaces. Selon l'édition 2011 du rapport de Verizon sur les failles en matière de protection des données, 86 % des problèmes de sécurité peuvent être détectés par les entreprises avant qu'un incident ne se produise.
· La visibilité complète, à 360 degrés, des accès des utilisateurs à l'échelle de l'entreprise procure aux responsables informatiques, aux dirigeants de l'entreprise et aux propriétaires des données les informations requises pour l'application des politiques et des réglementations sans impact négatif sur les opérations.
Citation :
· Nick Nikols, Vice-Président et Directeur Général, Identity, Security and Windows Management, Quest Software
« Notre vision de la gouvernance complète des accès aux données associe la découverte, le contrôle et l'automatisation pour aider les décideurs au sein des entreprises à déterminer qui a besoin d'accéder à des données critiques stockées dans des formats structurés au sein d'applications et de bases de données ou dans des formats non structurés au sein de documents et de feuilles de calcul, afin de répondre aux besoins en constante évolution de l'entreprise sans compromettre la sécurité ou la conformité requise. »