Oktane fut un vrai succès ! Oktane fut un vrai succès ! Visionner nos sessions à la demande. →
+33 1 85 64 08 80 Recherche

Qu’est-ce que le contrôle des accès et pourquoi est-il indispensable à la cybersécurité ?

Mis à jour: 26 août 2024 Temps de lecture: ~

Sujette

Active Directory, Access Control, IAM

Sommaire

 

Cet article a été traduit automatiquement.

 

Les professionnels de la sécurité numérique sont confrontés chaque jour à des choix difficiles. D'une part, vous devez protéger les ressources vitales de votre entreprise. D'autre part, vous devez donner aux gens l'accès aux outils dont ils ont besoin pour faire leur travail. 

Un contrôle fort de l'accès politique vous permet de faire les deux. 

Le contrôle des accès implique la vérification des identifiants, la gestion des accès et la surveillance régulière de votre système. Dans de nombreux secteurs, vous devez gérer le contrôle des accès pour vous conformer aux lois nationales, locales et fédérales. 

Mais même si vous n'êtes pas sur un marché très réglementé, il est judicieux de se préoccuper du contrôle des accès. Selon les journalistes, certains pirates informatiques ont mis au point des outils sophistiqués pour prendre le contrôle d'ordinateurs et encourager ces zombies à rechercher des données précieuses.

Un tel accès minier peut être dévastateur pour une entreprise, quelle que soit sa taille. contrôle des accès pourrait arrêter l'informatique. 

Fonctionnement du contrôle des accès 

Les grandes entreprises peuvent être confrontées chaque jour à un nombre impressionnant de tentatives de piratage. Les systèmes informatiques de l'État de l'Utah, par exemple, subissent jusqu'à 300 millions de piratages chaque jour. Il est impossible de gérer chaque problème sans aide. Un système robuste pourrait y contribuer. 

Votre système de contrôle des accès est composé de logiciels, de personnes qui gèrent l'informatique et de règles qui dictent l'utilisation de l'informatique. Les étapes courantes du système sont les suivantes :

  • Authentification. Un utilisateur souhaite accéder à votre système. Cette personne est-elle légitime ou avez-vous affaire à un imposteur ? les noms des utilisateurs, les données biométriques et les codes de vérification à usage unique peuvent vous aider à confirmer votre identité.
     
  • Autorisation. Qu'est-ce que cette personne doit être autorisée à faire ? L'autorisation concerne les règles que vous définissez en matière d'accès.
     
  • Accès. Une fois l'identité vérifiée et les règles établies, une personne peut voir, écrire, enregistrer, partager ou travailler avec un bien. Inversement, si la personne ne passe pas vos contrôles d'authentification ou d'autorisation, le système lui refuse l'entrée.
     
  • Gestion. Les équipes doivent surveiller leurs règles et l'utilisation des données par l'entreprise. L'arrivée de nouveaux employés, le départ de coéquipiers ou la restructuration d'une organisation sont autant de facteurs qui peuvent mettre la sécurité en péril.
     
  • l'audit. Même si vous essayez de contrôler étroitement l'accès, certains détails peuvent échapper à votre attention. Des audits réguliers vous permettent de toujours savoir ce qui se passe et de réagir en conséquence. 

Pour quelqu'un qui tente d'accéder à une ressource, le contrôle des accès peut ressembler à ceci :

  1. se connecter : L'utilisateur donne un mot de passe, suivi d'une autre méthode d'authentification.
     
  2. Accès : L'utilisateur peut voir certains serveurs et fichiers. D'autres peuvent rester cachés.
     
  3. Travail : L'utilisateur peut tenter une action non autorisée par les règles d'autorisation, comme écrire dans un fichier protégé. Le système empêche cette action. 

Si vous avez travaillé dans un bureau au cours des dix dernières années, toutes ces étapes vous semblent familières. D'innombrables employés ont suivi ces mêmes étapes tous les jours dans le cadre de leur travail.

Types d'autorisation courants

Un bon contrôle des accès politiques commence par des règles d'autorisation strictes. On parle parfois de "contrôle des accès types." Mais n'allez pas croire que le chiffrement Il s'agit de règles qui dictent ce que les gens peuvent ou ne peuvent pas faire dans un serveur. Il s'agit avant tout d'autorisations. 

Vous pouvez choisir d'autoriser l'accès en fonction des critères suivants

  • Attributs. L'heure de la journée, l'emplacement d'un terminal ou la situation géographique d'une personne peuvent tous vous aider à comprendre si le système doit autoriser une personne à entrer ou l'empêcher d'entrer.

    Par exemple, si vous gérez une entreprise à Boise qui n'est ouverte que jusqu'à 17 heures, mais que vous avez une tentative de connexion depuis l'Inde à 23 heures, vous pouvez configurer le système pour refuser cet utilisateur.
     

  • Discrétion. La personne qui possède les données décide du nombre de personnes qui peuvent les voir, les utiliser et travailler avec les technologies de l'information.

    Par exemple, un membre de votre équipe de vente a un argumentaire à envoyer à prospect, et le chef de projet doit vérifier les détails pour s'assurer qu'il n'y a pas d'erreurs, de sorte que le responsable de comptes accorde l'accès au chef de projet. Si un employé de la comptabilité souhaite consulter l'argumentaire, le propriétaire des données lui en refusera l'accès.
     

  • Obligatoire. Un ensemble de règles strictes, généralement basées sur les niveaux d'autorisation des informations, dicte l'accès. Il s'agit d'une approche courante dans les milieux très hiérarchisés, y compris dans l'armée.

    Par exemple, les documents sont réservés aux colonels, car ils contiennent des données très sensibles sur une initiative à venir. Un particulier tente d'accéder aux fichiers et le système le lui refuse.
     

  • Rôles. Les personnes ne peuvent voir et travailler qu'avec les fichiers dont les personnes occupant leur poste ont généralement besoin.

    Par exemple, comptables de votre entreprise peuvent voir un serveur appelé "Comptabilité". Les ingénieurs de votre entreprise ne savent pas que le serveur de comptabilité existe.
     

  • Règles. Un administrateur donne et annule l'accès sur la base d'informations qui peuvent être propres à chaque personne.

    Par exemple, une réceptionniste de votre entreprise travaille également dans l'équipe marketing. Cette personne peut voir le serveur de marketing, alors que les autres réceptionnistes ne le peuvent pas. 

Vous pouvez choisir une seule méthode et l'appliquer de manière cohérente à l'ensemble de votre entreprise. Vous pouvez également créer un mélange hybride de plusieurs approches afin d'envelopper vos actifs dans des couches de sécurité.

contrôle des accès politique & Règlements

Dans certains environnements réglementaires, vous devez prouver que vous conservez les données en toute sécurité. Strong contrôle des accès politique peut vous aider à atteindre cet objectif. 

Vous pouvez être amené à renforcer votre politique de sécurité pour les raisons suivantes :

  • PCI DSS. La norme de sécurité des données PCI s'applique à toute personne qui accepte ou stocke des paiements par carte de crédit ou de débit. Vous devez protéger ces données, et le site standard vous demande de prouver l'efficacité des technologies de l'information.
     
  • HIPAA. La loi sur la portabilité et la responsabilité en matière d'assurance maladie (Health Insurance Portability and Accountability Act) comprend plusieurs dispositions relatives à la sécurité des données. En substance, vous devez prouver que vous protégez tout ce qui peut être considéré comme des informations personnelles et privées sur les patients.
     
  • SOC2. Les organismes de services doivent prouver qu'ils traitent et protègent correctement les données.
     
  • ISO 27001. Toutes les organisations, y compris celles qui traitent des données financières, de la propriété intellectuelle ou des données relatives aux employés, pourraient être tenues de respecter ces règles de protection des données. 

La liste que nous vous proposons n'est pas exhaustive. Il se peut que vous ayez beaucoup plus de règles qui régissent la manière dont vous collectez, sauvegardez et partagez les informations que vous recueillez dans le cadre de votre activité. 

Un contrôle rigoureux des accès politiques, y compris l'utilisation d'audits fréquents, peut vous aider à soumettre les documents appropriés pour prouver que vous êtes en conformité. 

Éviter les amendes n'est qu'une des raisons de respecter les règles. N'oubliez pas que vos clients vous observent et qu'ils comptent sur vous pour assurer la sécurité de leurs informations. Si vous suivez les lignes directrices et évitez la brèche, ils sauront que vous êtes digne de confiance. Et inversement, si vous êtes piraté, il vous sera extrêmement difficile de regagner la confiance de vos clients.

Contrôle commun des accès demande d'authentification 

Il est clair que la plupart des entreprises doivent garder le contrôle des informations sensibles et que le contrôle des accès politiques peut les y aider. Mais il y a des inconvénients. 

Par exemple, de nombreuses entreprises utilisent des services en nuage, et les experts estiment que cette tendance va se poursuivre. Il n'est pas facile de créer des règles qui fonctionnent à la fois sur votre site physique et dans le nuage. Par exemple, si vous utilisez des règles géographiques pour autoriser ou refuser l'accès, et que votre nuage autorise l'accès dans le monde entier, il n'est pas facile de repérer les divergences. 

De même, le citoyen moyen dispose de plusieurs terminaux pour accéder à vos ressources. En fait, les chercheurs affirment qu'un tiers des ménages américains possèdent trois smartphones ou plus. Les règles que vous définissez doivent se plier et s'adapter à chaque terminal, ce qui n'est pas facile. 

Les administrateurs de première ligne peuvent également être confrontés à des personnes mécontentes lorsque les règles sont nouvelles. Quelqu'un qui a toujours tout vu (et qui aime bien fouiner) pourrait être contrarié de voir cette liberté lui être retirée. Le personnel doit être fort face à la pression et s'en tenir aux règles. Dans le cas contraire, les protections vitales sont diluées et perdent de leur efficacité.

contrôle des accès Software & solutions 

Toute personne détenant des données précieuses a besoin d'un solide contrôle des accès politiques. Vous avez également besoin d'un logiciel pour vous aider dans votre travail.

Le logiciel de contrôle des accès est conçu pour fonctionner avec plusieurs environnements et terminaux, et l'informatique peut s'adapter pour permettre un plus grand nombre d'utilisateurs si nécessaire. Un tel produit réduit les besoins en personnel et en maintenance, et l'automatisation rend le piratage beaucoup plus difficile.

Si vous êtes à la recherche d'une solution de contrôle des accès, nous serions ravis d'en discuter avec vous. Chez Okta, nous développons des produits solides et faciles à utiliser. Contactez-nous pour en savoir plus. 

Références

Smominru détourne un demi-million de PC pour extraire des crypto-monnaies et vole des données d'accès pour les vendre sur le Dark Web. (Août 2019). ZD Net. 

Le centre de données de la NSA subit 300 millions de tentatives de piratage par jour. Le Conseil des agents et courtiers d'assurance. 

Marchands. Conseil des normes de sécurité PCI. 

Résumé de la règle de sécurité HIPAA. (juillet 2013). Département américain de la santé et des services sociaux. 

SOC2. Conseil des normes d'audit de l'American Institute of Certified Public Accountants. 

ISO/IEC 27001. Organisations internationales de normalisation. 

Gartner prévoit que les dépenses finales des utilisateurs de cloud public dans le monde augmenteront de 18 % en 2021. (Novembre 2020). Gartner.

Un tiers des Américains vivent dans un foyer disposant de trois smartphones ou plus. (Mai 2017). Pew Research Center. 

Continuez votre parcours dans l‘univers de l’identité

Essayez Okta gratuitement, ou contactez notre équipe pour discuter de vos besoins spécifiques.

Découvrir
Nous contacter