Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Varonis : La mafia de l’accès aux informations

octobre 2011 par Varonis

En réponse à l’article paru dans Information Week sur les tribulations d’un directeur informatique fictif, le spécialiste de gouvernance des données, Varonis Systems, insiste sur le fait que l’automatisation de la séparation des privilèges est la voie de l’avenir et que les contrôles de la manipulation de ces données représentent un élément essentiel du puzzle Gouvernance, Risque et Conformité (GRC), spécifiant qui peut faire quoi, où et quand avec les informations détenues par une société.

Mr Laura n’est pas seul —dans la plupart des sociétés, les employés ont trop d’accès aux informations ; 90 % est un chiffre assez représentatif selon notre expérience. D’autre part, il n’est pas le seul directeur informatique dont l’entreprise doit collaborer en utilisant des données numériques pour survivre (et prospérer). Enfin, il souligne le fait que certaines données sont si sensibles que leur accès est strictement contrôlé. « Mais de nombreuses données se situent dans la zone « intermédiaire » : elles ne sont pas aussi bien surveillées mais nécessitent une certaine protection ».

Si j’interprète bien la pensée de Mr Laura, il souhaiterait faciliter l’accès aux données (qui font partie de la catégorie intermédiaire), observer l’utilisation qui en est faite puis « être très strict avec ceux qui abusent de leurs privilèges ».

Cette approche n’est pas très différente de celle que nous avons privilégiée dans les entreprises, mais je veux encourager ceux qui ont travaillé dans l’espoir que la séparation des privilèges est possible et efficace : on ne peut pas dire que la séparation des privilèges ne fonctionne pas ; elle ne fonctionne pas sans la bonne automatisation et l’utilisation correcte de cette automatisation.

L’automatisation est nécessaire car le volume de données à protéger est énorme, le contrôle d’accès et les relations de groupes nombreux et complexes, et le rythme du changement s’est accéléré dans le domaine de la collaboration d’équipes utilisant des ressources numériques. Trop de décisions complexes doivent être prises trop fréquemment pour maintenir un modèle de séparation de privilèges au moyen de méthodes manuelles traditionnelles.

La séparation des privilèges a également été difficile car les sociétés ne savent plus à qui appartiennent les données—personne ne sait même qui doit prendre la décision sur l’autorisation de l’accès. En outre, le suivi de l’accès aux données était, jusqu’à assez récemment, irréaliste ou impossible pour la plupart des sociétés. Sans piste d’audit, l’utilisation ne peut être surveillée ; l’abus ne peut être détecté et l’efficacité du contrôle d’accès ne peut être validée.

Heureusement, l’automatisation existe aujourd’hui et peut conserver un audit des accès aux données, détecter les abus, identifier les propriétaires de données, fournir des recommandations automatisées sur les moyens de limiter l’accès et automatiser l’autorisation d’accès et les processus d’évaluation. Avec ce type d’automatisation, la collaboration sécurisée—avec séparation des privilèges— est non seulement possible ; elle va devenir la norme.




Voir les articles précédents

    

Voir les articles suivants