L’IAM pour traiter les risques concernant les données non structurées

Retour aux bases

Savoir où se trouvent les données de l’entreprises et en contrôler les accès par le biais de rapports concis et d’analyses va aider à limiter la portée d’une attaque, et accélérer le processus d’investigation en cas d’incident. Cela aide également à assurer la conformité réglementaire. De fait, de multiples réglementations forcent désormais les entreprises à savoir où résident leurs données. Elles doivent également définir ce que sont leurs données sensibles. Et cela commence par trouver et catégoriser ces données au milieu du contenu non structuré. Mais alors que l’on couvre plus d’applications, de serveurs, et de terminaux, le risque que surviennent des problèmes progresse de manière exponentielle.

Les entreprises ne peuvent pas simplement se lancer dans l’implémentation de contrôles sans savoir où sont leurs données, ni ce qu’elles doivent classifier, et pour quelles données elles doivent fournir un niveau de sécurité raisonnable. Les organisations ont également besoin de trouver ces données, de déterminer qui les manipule, et de découvrir comment elles se déplacent. Cela nécessite d’utiliser un cadre de définition du risque et des outils automatisés.

C’est là qu’il convient de revenir aux bases de l’administration des données non structurées avec l’inventaire. Les entreprises devraient où résident leurs données sensibles, quels systèmes et terminaux s’y connectent, quels contrôles de protection sont déjà en place.

Mettre à profit l’IAM

Avec l’ajout de services Cloud, et d’employés utilisant leurs appareils personnels ou accédant à distance aux données de l’entreprise, les simples noms d’utilisateurs et mots de passe ne sont plus suffisant ni sûrs. Sans compter le risque de déploiement IAM incohérent. Souvent des systèmes périphériques contiennent les données les plus critiques de l’entreprise, mais sont protégés avec des contrôles significativement allégés.

N’oublions pas que nombre d’incidents de sécurité ne font l’objet d’aucune divulgation. Certains passent tout simplement inaperçus. L’IAM n’en est que plus importante, adossée à une solide stratégie de gestion des contenus non structurés.

La plupart des processus métiers critiques s’appuient sur des contenus non structurés qui contiennent généralement des données sensibles, comme de la propriété intellectuelle, des données financières, et autres données qui devraient être protégées contre le vol et les accès inappropriés.

« De nombreuses grandes entreprises, dans le secteur des services financiers, ont formalisé l’identité en tant que rôle en désignant un responsable interne chargé de définir les règles, les processus et de superviser identités et responsabilités pour maintenir le lien entre identité et données », expliquait Allan. Pour lui, « il est important de se souvenir que l’identité peut être liée à beaucoup de choses – par exemple, des voitures autonomes peuvent générer des informations et s’établir elles-mêmes en tant qu’identités ».

Approches de gestion des données non structurées

Les dirigeants d’entreprises commencent à prendre conscience de la nature exposée et hors de contrôle des contenus non structurés. Les organisations sont alors confrontées à de multiples défis : cartographier les entrepôts existants de données non structurées ; trouver les propriétaires de données et cartographier les groupes d’utilisateurs clés ; classer les données sensibles ; et définir et appliquer les règles d’autorisation sur les entrepôts de données.

Il est alors recommandé d’engager immédiatement les actions suivantes : audit les accès aux données ; cartographier les propriétaires de données, les groupes d’utilisateurs et les habitudes d’utilisation ; analyser les droits des utilisateurs et des groupes sur les données ; formuler les recommandations nécessaires en réponse aux politiques métiers et réglementaires ; accompagner la revue des droits des utilisateurs et les processus d’autorisation.

Verrouiller accès et privilèges

Une fois que les entreprises ont identifié, cartographié et classé les contenus non structurés, elles doivent revoir leurs systèmes et politiques d’IAM. La dernière étape consiste à verrouiller les privilèges des utilisateurs, au minimum nécessaire pour l’exécution de leurs tâches, et cela afin de protéger les données contre les logiciels malveillants et autres menaces.

Dans un entretien réalisé lors de l’édition 2016 de RSA Conference, Adam Laub, vice-président sénior de Stealthbits Technologies en charge du marketing produit, a souligné le risque qu’il y a à laisser aux utilisateurs des privilèges élevés : « si j’ai des droits d’administration sur le domaine et que j’utilise l’identifiant correspondant pour ouvrir une session sur un système accessible au public, un attaquant peut, via une attaque par hameçonnage réussie, obtenir cet identifiant et l’utiliser pour prendre la main sur le contrôleur de domaine. Cela peut compromettre l’ensemble du domaine de manière presque immédiate ».

Les entreprises doivent également observer les comportements et la manière dont les autorisations sont distribuées : « à mesure qu’un pirate obtient de plus en plus d’identifiants, on commence à observer des mouvements latéraux. Si vous êtes capables de collecter les informations d’authentification, vous pouvez observer des comportements et des anomalies permettant d’identifier ce type d’activité plus vite ».

Bien sûr, pour améliorer sa posture de sécurité et de gestion du risque, il y a beaucoup d’information à digérer. Mais les entreprises n’en devraient pas moins commencer à travailler au développement d’une image claire de leurs contenus non structurés, et à la manière dont des contrôles de gestion des identités et des accès appropriés peuvent protéger ces contenus.

Adapté de l’anglais.