Authentification et enregistrement sont essentiels au partage de fichiers en mode Cloud

De nombreux services de stockage grand public font leur entrée dans l’entreprise, mais l’IT n’a pas forcément besoin de les adopter. Il est possible de développer son propre service de partage de fichiers en mode cloud compatible avec les besoins de l’entreprise et tenant compte de ses impératifs de sécurité.

Pour mettre en place correctement un système de partage de fichiers, les entreprises ont besoin de trois choses : établir des contrôles d’authentification et d’autorisation, enregistrer les terminaux, et définir les procédures d’audit et de suivi des activités.

Etablir les contrôles d’authentification et d’autorisation

Les contrôles d’authentification et d’autorisation sont la fondation d’une sécurité orientée utilisateur dans un service de partage de fichiers en mode Cloud d’entreprise. Ce processus recouvre l’intégration des services d’annuaire, la configuration de contrôles de sécurité orientés utilisateur, et l’examen des permissions et des restrictions par défaut.
La gestion des contrôles d’accès devrait se faire par l'intégration avec un annuaire Active Directory ou LDAP. Ces annuaires contiennent les informations relatives aux utilisateurs, aux groupes d’utilisateurs et à leurs privilèges. Un examen approfondi des attributs existants s’avère nécessaire pour s’assurer qu’ils sont adaptés à l’administration de services de partage de fichiers.

Se pose en particulier la question de la capacité de l’IT à administrer de manière appropriée de nouveaux privilèges tels que l’accès à des documents et des dossiers partagés, la délégation de certaines responsabilités administratives, ou encore le partage de liens vers des documents à des utilisateurs externes à l'entreprise.

Un système de partage de fichiers en mode Cloud d’entreprise doit disposer de mécanismes permettant l’intégration à des annuaires. Mais il convient de vérifier que l’annuaire lui-même peut supporter les informations nécessaires à l’application des règles de sécurité voulues pour les utilisateurs et leurs terminaux.

En outre, si l’entreprise utilise un service d’ouverture de session unifiée (SSO) tel que OneLogin, Symplified ou encore Ping Identity, il convient de tester s’il fonctionne comme attendu avec le système de partage de fichiers.

Cela fait, des règles de sécurité doivent spécifier les impératifs liés aux mots de passe, à commencer par une longueur minimale, une durée de vie et des restrictions de réutilisation. Il est également nécessaire de configurer des règles de verrouillage des comptes, dont le nombre de tentatives d’authentification infructueuses. Le déverrouillage devrait survenir automatiquement après un certain laps de temps, ou, dans les cas les plus sensibles, sur intervention d’un administrateur.

Les règles de sécurité devraient également indiquer comment répondre à un nombre excessif de tentatives d’authentification à partir d’un terminal mobile. Le verrouillage d’un compte peut en effet s’avérer suffisant pour des tentatives d’authentification infructueuses à partir d’un poste de travail sur site, mais des tentatives excessives depuis un terminal mobile peuvent signaler sa perte ou son vol. Et si le système de partage de fichiers le permet, il est préférable de configurer des alertes pour notifier les administrateurs de telles situations. Trop d’échecs d’authentification à partir d’un terminal mobile pourraient même déclencher son effacement à distance.

Enfin, les administrateurs devraient examiner et réviser leurs réglages de sécurité par défaut. Le but est ici double : réduire le risque de fuites de données liées à une incohérence entre les réglages de l’annuaire et ceux du service; et homogénéiser l’expérience utilisateur en rapport avec les contrôles de sécurité.

Enregistrer les terminaux

L’enregistrement des terminaux est le processus consistant à collecter des métadonnées et à établir un contrôle centralisé sur l’accès au service de partage de fichiers sur ces terminaux. Les administrateurs devraient collecter des informations relatives aux terminaux des utilisateurs, qu’il s’agisse d’ordinateur portable, de smartphone, ou de tablette, qu’ils soient leur propriété ou celle de l’entreprise.

Comme pour les contrôles de sécurité orientés utilisateurs, la gestion des terminaux doit assurer l’application de règles d’entreprise s’appliquant notamment au chiffrement des données en local, à leur effacement à distance, à leur rétention, au verrouillage du terminal par mot de passe, ou encore à d’espace de stockage maximale utilisable sur le terminal.

L’application mobile utilisée par le service de partage de fichiers devrait être rendue disponible aux utilisateurs dès l’enregistrement du terminal, afin qu’ils puissent profiter tout de suite du service.

L’une des étapes clés de la mise en place d’un système de partage de fichiers est la configuration des fichiers et des dossiers à partager. Un ensemble de base devrait être identifié durant la phase de préparation du projet, mais l’ajout et la suppression de partages sera probablement un processus continu.

Durant cette étape, il convient de tenir compte des options d’intégration de services SaaS avec le système de partage de fichiers. Par exemple, certains utilisateurs peuvent avoir besoin d’accéder à des documents au sein des Google Apps ou de Salesforce.com. Des services tels que la signature électronique de documents ou de télécopie peuvent nécessiter l’intégration au service de partage de fichiers.

Définir les procédures d’audit

La dernière étape commune aux services de partage de fichiers, en Cloud mais aussi en local et hybrides, est la définition de procédures d’audit et de suivi des activités. 

Les processus d’audit peuvent proposer des alertes pour notifier les administrateurs d’événements significatifs, tels que le verrouillage d’un terminal après plusieurs tentatives d’authentification infructueuses. Les procédures peuvent également intégrer la génération de rapport tels que pour le suivi des authentifications, des modes d’accès, et des opérations à caractère administratif.

Adapté de l’anglais par la rédaction.