Rawpixel - Fotolia

La conformité commence par la connexion

François Amigorena, fondateur et PDG de la société, IS Decisions revient sur le rôle primordial que jouent les connexions dans la mise en place de politiques de conformité et de leur contrôle.

Autrefois, les mandats de conformité représentaient une gêne pour les services informatiques. Ces ensembles de règles établies par une bande de bureaucrates incultes en matière d’informatique n’étaient pas une priorité première pour les services informatiques, à moins que la direction n’en ait donné l’ordre. Aujourd’hui cependant, l’informatique reconnait l’importance de la sécurité des données (un élément clé de la plupart des mandats de conformité), ainsi que le fait que les normes de conformité fournissent un cadre permettant d'établir une sécurité adéquate.

Ce que font la plupart des organisations informatiques, c’est qu’ils concentrent leurs efforts sur l’établissement et le maintien des niveaux de sécurité (une étape nécessaire, bien sûr). Mais il faut pouvoir garantir de manière permanente qu’un environnement demeure conforme. Pour cela, il faut savoir comment l’environnement est utilisé, et déterminer si cette utilisation tombe en dehors des normes acceptables ou pas.

La question devient donc de savoir quelle est la limite acceptable en matière d’utilisation avant de déterminer si vous êtes conforme. Il ne faut évidemment pas attendre une violation pour savoir si vous êtes conforme ou pas.  Il vous faut un moyen de tester la conformité bien plus tôt dans le processus d’utilisation.

Heureusement, un tel test de conformité existe : la connexion.

Les connexions ne représentent pas seulement un protocole de sécurité dont l’objectif est d’éloigner les regards curieux importuns ; elles représentent un point charnière du moment auquel un utilisateur spécifique s’identifie. Et il ne s’agit pas uniquement du nom d’utilisateur et du mot de passe -  en creusant un peu plus, il existe bien plus de détails fournis au moment de la connexion. D’autres détails, tels que la date et l’heure de la connexion, l’adresse IP et le poste de travail depuis lequel la connexion est faite, ainsi que la fréquence de la connexion jouent un rôle en ce qui concerne l’identification d’un environnement susceptible de ne pas être conforme.

Prenons l’exemple suivant :

Un utilisateur ayant accès à des données soumises à un mandat de conformité se connecte en dehors des heures d’ouverture plusieurs fois de suite depuis un ordinateur distant.

Il existe ici trois signaux d’alerte :

  • l’heure
  • le nombre de connections
  • la localisation depuis laquelle la connexion s’est produite

Le problème est que la connexion ne vous apprend pas directement que vous êtes en violation des règles de conformité. En effet, elle vous fournit des indicateurs majeurs qu’un problème potentiel existe bien avant que tout accès (violation des règles de conformité) ne se produise.

Une majorité des normes sont tout à fait conscientes de l’importance de la connexion et des actions successives. Prenez par exemple l’une des normes les plus détaillées aujourd'hui – PCI DSS – afin d’observer le rôle de la connexion en ce qui concerne la conformité.

L’objectif de la norme de sécurité des données PCI DSS est de protéger les données des titulaires de carte de paiement contre les accès non autorisés. Prenons les mesures de précaution suivantes présentes dans la norme PCI actuelle :

  • Condition 7: Restreindre l’accès aux données du titulaire aux seuls individus qui doivent les connaître
  • Condition 9: Retreindre l’accès physique aux données du titulaire de carte
  • Condition 10: Suivre et surveiller tous les accès aux ressources réseau et aux données du titulaire

Pour garantir que les données du titulaire de carte sont en sécurité, chacune de ces conditions est nécessaire. Elles dépendent cependant toutes d’un mot clé retrouvé dans chacune d’entre elle : accès.

Ce mot unique représente le processus d’utilisation d’un compte pour se connecter activement à un système et ouvrir / lire / copier / télécharger les données du titulaire de carte – une action qui commence au moment de la connexion.

Même les auteurs de PCI le comprennent : l’exigence 8 (identifier et authentifier l'accès aux composants du système) existe en vue d’établir un accès et une utilisation de l’environnement de manière individuelle. Cette exigence existe pour garantir une façon (dans l’exigence 10) d’auditer chaque interaction de l’utilisateur avec le réseau et, du coup, avec les données du titulaire de carte.

Commencer la conformité grâce à la connexion

Tandis qu’établir des contrôles de conformité nécessite des efforts sur de nombreux fronts (selon chaque mandat), la vraie surveillance garantissant qu’une organisation demeure conforme porte réellement sur l’accès inapproprié à des données sensibles. Et, parce que l'organisation ne peut pas se permettre d'attendre que cet accès inapproprié se produise, il devient nécessaire (et tout simplement intelligent) de tirer parti de tous les indicateurs majeurs.

La connexion est le point le plus convaincant pour surveiller la conformité, ainsi que (si vous disposez de la solution de sécurité appropriée) pour empêcher tout accès potentiellement inapproprié (violation de conformité). En exploitant cette étape nécessaire du processus d'accès, vous simplifiez ainsi le processus de contrôle informatique visant à assurer le maintien de la conformité.

François Amigorena est le fondateur et PDG de IS Decisions, et un commentateur expert sur les questions de cybersécurité

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)

Close