Qui gère les données ici ?
Les organisations ont l'obligation légale de protéger leurs données personnelles, mais respectent-elles cette règlementation ?
PublicitéLes incidents liés à la fuite d'informations confidentielles au sein de grandes banques ou de grandes administrations publiques ont un point commun : l'accès, légitime ou pas, d'un individu à des données en vertu de ses privilèges d'accès (potentiellement le sésame ultime au sein des organisations). Et ces incidents posent le problème de la gestion des utilisateurs à forts privilèges.
Comment bien comprendre la gestion des comptes utilisateurs privilégiés (PUM) ?
Un utilisateur à forts privilèges est un individu qui, dans le cadre de sa fonction, dispose de droits d'accès au système sensiblement supérieurs à ceux de la plupart de ses collaborateurs. Parmi ces privilégiés, on compte notamment les administrateurs système et ceux qui disposent de comptes d'urgence.
Mais étant donné que l'utilisateur privilégié peut accéder à un large éventail de ressources informatiques, il peut non seulement se servir de données privées et confidentielles au sein de son organisation, mais également créer de nouveaux profils utilisateurs et même accorder ou supprimer des privilèges ou des droits d'accès à un utilisateur existant. Ces pouvoirs accrus peuvent grandement faciliter l'accès privilégié à des informations confidentielles, offrant ainsi un « sésame » quasi-universel à ses détenteurs.
Il n'est pas surprenant que le flot croissant et ininterrompu des menaces de sécurité, et le poids des règlementations conduisent les responsables informatiques à passer outre les restrictions pour mener à bien leur travail.
Mais dans ce cas de figure, toute erreur est susceptible d'avoir de graves conséquences sur la réputation de l'entreprise, sa capacité à fidéliser ses clients, son chiffre d'affaire et le soutien des investisseurs et des actionnaires.
De plus en plus d'initiatives de compatibilité visent à protéger les entreprises de dommages délibérés ou accidentels. La norme ISO27001 établit ainsi un standard de sécurité valable dans le monde entier : elle stipule que l'allocation et l'usage de privilèges doivent être restreint et contrôlé. Ainsi, les droits d'accès pour chaque système ou application doivent être définis.
Cela signifie que les organisations doivent suivre une politique de contrôle qui donne des droits d'accès en fonction des besoins d'utilisation en aval de procédures d'autorisation et de l'enregistrement de tous ces privilèges.
Les dirigeants des entreprises font le nécessaire pour se conformer à ces règles et éviter la menace de responsabilités individuelles et de sanctions pénales.
Le gros des textes se focalise sur le principe du "faible privilège" : cela requiert que, dans une strate donnée d'un environnement informatique, l'accès à l'information et aux ressources soit restreint au cadre de ce qui est légitimement nécessaire à l'utilisateur en fonction de son besoin. Cette restriction doit être effectuée sur tous les composants, qu'il s'agisse d'un processus, d'un utilisateur ou d'un programme.
Attribués à l'utilisateur, les termes d'utilisateur à accès réduit ou de compte utilisateur à faibles privilèges permettent de faire référence à des droits d'accès réduits à leur minima à chaque instant et il en va de même pour le lancement d'applications.
L'étape fondamentale pour prendre ce challenge par le bon bout est de voir la gestion des privilèges utilisateurs comme un facteur important dans la gestion des risques et de l'activité. Sur le plan stratégique, une organisation est mieux placée pour déployer des outils de contrôle, de surveillance et de définition des utilisateurs jouissant de privilèges ; ainsi que pour s'assurer que la solution aide l'entreprise à suivre une voie éprouvée (un modèle de maturité) conciliable avec les besoins changeant de son activité.
PublicitéUne organisation doit également adopter de meilleures pratiques sur tout un ensemble de procédures, y compris la sécurisation des journaux de fichiers, la séparation des tâches et l'introduction de responsabilités individuelles afin de s'assurer que les comptes privilégiés ne soient pas partagés, qu'ils soient à jour et que leurs activités soient surveillées.
Une étude récente commanditée par CA et menée par Quocirca sur le comportement et la gestion des utilisateurs privilégiés a révélé que la sécurité des organisations européennes est menacée par des erreurs de manipulation, de mauvaises pratiques et des risques de non-conformité aux standards.
Selon cette étude, sur 270 organisations européennes, 41% affirment que (malgré leur certification à la norme ISO27001), des pratiques non-conformes telles que le partage de comptes utilisateurs à forts privilèges et l'utilisation d'identifiants par défaut étaient toujours d'usage. Plus d'un tiers de ces entreprises auraient pourtant mis en place et obtenu leur certification ISO27001 d'un audit externe.
Le principal problème mis en avant par cette étude est celui de la vigilance : les sondés admettent négliger les risques liés à une mauvaise gestion de privilèges utilisateurs du fait que d'autres menaces sont traitées en priorité (accès à internet, programmes malveillants, outils web 2.0).
Les organisations doivent ainsi faire face à un problème de gestion de leurs droits d'accès. Les incidents sont souvent accidentels, ce qui signifie qu'il faut non seulement faire de la prévention auprès de leurs salariés, mais également mettre en place certaines mesures afin de contrôler et surveiller les comptes utilisateurs privilégiés pour assurer la bonne continuité de l'ensemble de l'activité de l'entreprise.
Article rédigé par
Arnaud Gallut, Directeur des Solutions de Sécurité, CA France
Arnaud Gallut est Directeur des Solutions de Sécurité chez l'éditeur de logiciels CA en France. Il possède plus de dix ans d'expérience dans le domaine des technologies de l'information, acquise en France et aux Etats-Unis. Arnaud a développé son expertise des problématiques de gestion de la sécurité notamment au sein de Calendra puis BMC et Oracle. Il est diplômé de l'EFREI (Ecole Française d'Electronique et d'Informatique).
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire