Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Tom Crabb, NetIQ : le point sur la gouvernance des accès

juin 2012 par Tom Crabb, directeur du Marketing produits, NetIQ

Dans les secteurs industriels encadrés par un environnement réglementaire strict, les grandes entreprises doivent relever un défi pour le moins délicat : gérer et respecter des cycles d’audit de plus en plus complexes et de plus en plus courts. Autrefois annuels, ces audits devenus trimestriels — voire mensuels dans certains cas — ont pour objet de démontrer et de vérifier que les mesures mises en place par les entreprises permettent de protéger correctement leurs données. Un défi de taille auquel viennent s’ajouter des tendances liées au comportement des utilisateurs, telles que l’utilisation de produits d’informatique personnelle dans un cadre professionnel (BYOD), la fréquentation des réseaux sociaux, les applications SaaS fonctionnant en mode cloud ou l’émergence d’une économie pirate qui exploite à son profit des informations privées et professionnelles. Ces différents éléments sont la source de challenges majeurs en matière de visibilité pour les départements informatiques et pour les équipes en charge de la sécurité, sans oublier la maîtrise de risques acceptables pour l’entreprise.

Aujourd’hui, compte tenu des exigences inhérentes au raccourcissement des cycles d’audits, les entreprises ne peuvent plus s’appuyer sur leurs ressources humaines et un simple tableur pour suivre, vérifier et valider les autorisations d’accès qu’elles accordent aux utilisateurs. Cette approche est aujourd’hui obsolète dans la mesure où elle est incapable de s’adapter dynamiquement pour refléter l’évolution permanente des rôles et des responsabilités, les changements d’autorisations, le départ d’employés ou l’octroi d’un accès temporaire grâce auquel les sous-traitants, partenaires et intervenant tiers peuvent accéder aux applications, systèmes et ressources disponibles en interne ou à l’extérieur de l’entreprise.

Autorisations d’accès : qui est responsable ?

Au bout du compte, les chefs d’entreprise doivent avoir la possibilité de gérer et de certifier efficacement l’accès à leurs ressources, systèmes et applications, afin de garantir la conformité aux exigences réglementaires et de fournir aux auditeurs les informations dont ils besoin. Et au bout du compte, ces responsables doivent être en mesure d’indiquer aux autorités réglementaires qui est autorisé à accéder à quoi, et si cet accès est justifié.

Pour travailler au quotidien, les employés doivent avoir la possibilité d’accéder à un grand nombre d’applications, de systèmes et de ressources. Et si les départements informatiques maîtrisent l’infrastructure de back-end (provisioning), ce sont les dirigeants de l’entreprise qui disposent des meilleurs atouts pour déterminer non seulement qui doit être autorisé à accéder à tel ou tel système ou application, mais également pour certifier si cet accès est effectivement justifié. Ainsi, le département informatique peut prendre en compte certains employés dans le cadre d’événements donnés, mais le provisioning ne couvre ni la totalité des applications, systèmes et ressources, ni les autorisations accordées en fonction du rôle que jouent les employés au sein de l’entreprise.

Suivi des rôles et des autorisations

Les entreprises doivent être en mesure de maîtriser au meilleur coût le chaos qu’engendrent la délivrance d’habilitations dans l’entreprise, l’exécution des tâches et un niveau de risque acceptable, sans recourir au reporting manuel à l’aide d’un tableur classique. Dans l’idéal, les entreprises pourraient mettre en œuvre une technologie permettant de conserver en interne les informations relatives aux autorisations. Elles pourraient ensuite fournir ces dossiers à leurs partenaires sur demande afin de leur présenter le niveau de risque encouru.

Nombre de solutions de gouvernance des accès (Access Governance) actuellement disponibles ont été créées pour permettre aux chefs d’entreprise de répondre à un besoin fondamental : gérer et certifier l’accès aux applications, systèmes et ressources. De plus, ces solutions peuvent déterminer si les autorisations délivrées sont justifiées. Avec ces solutions de gouvernance des accès, les entreprises peuvent identifier, suivre et avaliser automatiquement les utilisateurs autorisés à accéder à certains systèmes, applications et ressources - ainsi que ceux qui accèdent à plus d’applications, systèmes et ressources que nécessaire - sur site ou en cloud. De plus, la technologie de gouvernance des accès permet de re-certifier certains utilisateurs, ainsi que de produire des comptes-rendus cohérents au moment requis afin de répondre aux exigences de cycles d’audit selon une approche qui minimise les risques.

Grâce au niveau de contrôle et de visibilité accru qu’apportent les solutions de gouvernance d’accès, les entreprises peuvent minimiser les risques encourus, assurer leur conformité aux règles et réglementations en vigueur, et maintenir cette conformité.

Rôle de la gouvernance des accès dans l’entreprise

Au bout du compte, les entreprises cherchent à regrouper les données d’identité et applicatives générées par différents systèmes. Ces informations peuvent ensuite être présentées dans des tableaux de bord facilement exploitables et dont le format analytique produit des informations actionnables les aidant à prendre des décisions et à appliquer des règles telles que la séparation des tâches qui, à terme, ont un impact sur leur activité.

Face à l’obligation de gérer et de suivre des milliers d’identités qui accèdent à des centaines, voire à des milliers d’applications, systèmes et ressources, les chefs d’entreprises doivent pouvoir disposer facilement d’informations d’identité actionnables. Dans les environnements complexes, ces informations indiquent les rôles et les identités qui peuvent présenter le plus haut niveau de risque selon un barème d’évaluation, des comptes-rendus pouvant être réalisés pour montrer si l’entreprise respecte ses propres règles et les réglementations extérieures en vigueur, etc. Compte tenu du volume de données, de leur complexité et des changements qui interviennent actuellement dans les entreprises, les informations relatives aux identités et aux accès s’avèrent indispensables, et le marché des hautes technologies se doit d’apporter une réponse appropriée.

Avec l’évolution du marché, les entreprises vont continuer à exiger de nouvelles solutions et des fonctionnalités supplémentaires pour faire face à la complexité croissante des tâches de gestion et de suivi des accès aux systèmes, applications et ressources — et ce, alors que nous évoluons inexorablement vers des environnements mobiles et en cloud.


Voir les articles précédents

    

Voir les articles suivants