Comment visualisez-vous les risques liés aux habilitations de vos utilisateurs ? Pour contrôler les risques informatiques, la gestion des identités et des accès (identity and access management ou IAM) s’avère être un outil de plus en plus efficace. D’autant plus que le risque potentiel pour une entreprise augmente avec le nombre de comptes utilisateurs, de rôles et de groupes. Lorsque les responsables métiers ou informatiques mettent en œuvre un système d’Access Intelligence, ils peuvent considérablement réduire le risque potentiel d’accès non autorisés, de pertes de données ou de malversations éventuelles. Collecter et évaluer les risques liés aux ressources informatiques et à leur accès via un logiciel d’IAM performant est aussi un outil privilégié pour garantir le respect des directives de conformité informatique.
Voici cinq conseils pour vous aider à réussir votre projet de contrôle de conformité basé sur l’analyse des risques 1) Utiliser un système de gestion des risques intégrant l’analyse intelligente des accès
Les solutions d’Access Intelligence s’appuient sur les technologies de Business Intelligence. Elles permettent à l’entreprise de s’assurer que toutes les informations liées aux accès (utilisateurs, rôles, autorisations…) sont capturées et documentées. Ces informations sont les réponses aux questions telles que « Qui a actuellement quelle autorisation ? » ou « Quels accès avait auparavant cette personne ? ». A l’aide de rapports dynamiques personnalisés et d’une interface graphique optimisée pour manipuler les données, l’analyse intelligente des accès associés aux utilisateurs permet d’identifier les problèmes et les risques potentiels. Dès lors l’entreprise est en mesure de mieux protéger ses données et ressources informatiques contre des interventions non autorisées et potentiellement dangereuses.
2) Déployer la solution par étape
Penser grand, commencer petit ! L’analyse intelligente des accès donne aux managers en charge de la gestion des risques les moyens d’entreprendre des analyses approfondies. La technologie d’Access Intelligence peut être déployée sur un périmètre bien délimité, afin d’éviter le syndrome des projets trop ambitieux à trop court-terme. L’outil n’en sera pas moins utile immédiatement, pour mettre en évidence d’éventuelles failles, ainsi que le niveau de risques généré par le périmètre concerné. Le périmètre pourra ensuite être élargi selon les besoins. Le processus peut nécessiter de définir au préalable les risques à analyser. Des collaborateurs expérimentés doivent être disponibles pour soutenir chaque étape du projet, apporter des recommandations pour cadrer le projet et le piloter en associant les différentes parties concernées de l’organisation.
3) Obtenir rapidement une première évaluation des risques potentiels
Grâce à une présentation graphique des informations adaptée à chaque département de l’entreprise, les informations de sécurité sont compréhensibles aussi bien par les administrateurs informatiques que par les responsables opérationnels. En particulier, la gestion des risques basée sur l’Access Intelligence vise quatre principaux groupes de personnes dans l’entreprise. Chaque groupe y trouvera son propre intérêt.
En premier lieu, les responsables sécurité informatique visualisent les niveaux de risques, hiérarchisent l’information et accèdent aux données de sécurité dans n’importe quel format. Le système leur permet d’évaluer le risque d’accès associé à l’habilitation qu’ils sont sur le point d’accorder.
Les responsables métiers utilisent régulièrement les outils d’analyse pour mesurer et quantifier les risques d’accès, et fournir à leurs équipes les informations nécessaires pour adapter leurs processus et protéger leurs ressources informatiques.
La direction accède à des tableaux de bords et des rapports personnalisés contenant les indicateurs de risques pondérés. Ainsi, les décideurs déterminent rapidement et efficacement les actions correctives à mener pour réduire le risque.
Enfin, les auditeurs minimisent le temps passé à la réalisation de leurs audits de conformité, notamment grâce à une manipulation aisée des données qui leur permet d’obtenir rapidement les réponses à leurs questions.
4) Diffuser une évaluation qualitative des risques
Lorsqu’une entreprise déploie une solution d’analyse des risques d’accès, elle doit s’assurer que les destinataires (service informatique, responsables opérationnels, direction, auditeurs) reçoivent uniquement les informations adaptées à leurs attentes, plutôt qu’une vision des risques brute, standard et non qualifiée. Le facteur clé est ici la qualité de l’information, et non la quantité. Les rapports qualitatifs sont constitués d’indicateurs de risque pondérés et hiérarchisés, calculés sur la base d’une grande quantité de données. Cela permet aux utilisateurs de ces rapports de mettre immédiatement le doigt sur l’information la plus importante et de focaliser sur les zones à hauts risques.
5) Identifier les utilisateurs à hauts risques
Plus que toute autre, les autorisations jugées à hauts risques doivent être identifiées et traitées avec une attention particulière. Ainsi, l’entreprise devrait régulièrement évaluer ces droits spécifiques pour déterminer à qui l’habilitation a été attribuée, quel groupe ou quel rôle l’utilise, et quelles activités effectuent les utilisateurs qui en bénéficient. Identifier les utilisateurs qui ont des droits d’accès spécifiques aide les entreprises à se concentrer sur la surveillance de ces groupes, et à adopter les actions correctives nécessaires pour garantir le respect des directives de conformité informatique de l’entreprise.
Ces cinq points permettent de cartographier aisément les risques d’accès et de mettre en œuvre un dispositif de contrôle de conformité efficace et performant.
Bastien Meaux, Responsable Marketing et Partenaires de Beta Systems France