Comme le rappellent certaines failles de sécurité médiatisées, la gouvernance des accès aux données est une nécessité absolue pour les entreprises. Or, force est de constater des carences en la matière : le contrôle des accès aux informations critiques est souvent inefficace et n'a pas la souplesse requise pour s'adapter facilement au changement. Selon un rapport de Gartner sur la sécurité et la gestion des risques, les décisions relatives à l'accès aux données doivent être fondées sur une évaluation des risques et des avantages d'un niveau donné de partage des données, ainsi que des processus, personnes et technologies permettant ce partage en toute sécurité.
Spécialisé dans la gestion des identités et des accès, Quest Software dévoile son processus en six étapes pour guider les évaluations et améliorer le contrôle des accès aux données :
1. Répertorier les utilisateurs et les ressources : cette première étape consiste à effectuer un inventaire de l'infrastructure pour répertorier les données importantes (ou points d'accès à ces données), qui sont souvent éparpillées sur diverses plates-formes, des périphériques de stockage en réseau et des sites SharePoint, dans des groupes Active Directory, sur des appareils mobiles, etc. En particulier, il est également important d'identifier les sources de données non structurées ou orphelines.
2. Classer les données et attribuer des droits d'accès : les données doivent être classées en fonction de leur confidentialité, de leur corrélation avec les réglementations (par exemple, les numéros de carte de crédit), de leur pertinence générale et des besoins en matière d'archivage. Il faut également passer en revue et évaluer les propriétaires des données pour vérifier leur conformité par rapport à la politique de sécurité.
3. Associer les données à des propriétaires et des approbateurs : des propriétaires doivent être désignés en fonction du rôle, du lieu et d'autres attributs. La séparation des tâches doit être prise en considération pour assurer la conformité et la sécurité.
4. Vérifier les accès : planifier l'audit et le reporting des accès afin d'assurer leur contrôle continu à l'échelle de l'entreprise et de garantir leur conformité et leur sécurité.
5. Automatiser les demandes d'accès et la résolution des problèmes : l'automatisation des processus de traitement des demandes d'accès en fonction des droits d'accès et du rôle dudemandeur au sein de l'entreprise est recommandée pour des raisons de sécurité. En outre, le traitement automatisé des écarts permet d'éliminer proactivement des menaces ou infractions potentielles.
6. Empêcher les modifications illicites : verrouiller les données, groupes ou droits d'accès qui ne doivent jamais être modifiés. Toutes les modifications doivent être consignées dans un référentiel sécurisé infalsifiable, afin d'assurer l'intégrité des analyses.
La gouvernance automatisée et multiplate-forme des accès aux données permet d'éliminer les obstacles qui empêchent l'application des réglementations, et les accès illicites aux données sensibles stockées sur des serveurs de fichiers virtuels et physiques, périphériques de stockage en réseau, sites SharePoint, serveurs de fichiers Windows, etc.
Le contrôle efficace des accès est essentiel pour la réduction et la prévention des menaces. Selon l'édition 2011 du rapport de Verizon sur les failles en matière de protection des données, 86 % des problèmes de sécurité peuvent être détectés par les entreprises avant qu'un incident ne se produise.
La visibilité complète des accès des utilisateurs à l'échelle de l'entreprise procure aux responsables informatiques et aux utilisateurs les informations requises pour l'application des politiques et des réglementations sans impact négatif sur les opérations.
Commenter cet article