Le contrôle des accès est une pratique fondamentale de la cybersécurité qui permet aux organisations d'équilibrer deux besoins concurrents : protéger les ressources vitales de l'entreprise et accorder l'accès nécessaire aux employés pour qu'ils puissent accomplir leur travail.
Elle implique la vérification des identifiants, la gestion des privilèges d'accès et la surveillance régulière de votre système.
Pourquoi un contrôle des accès robuste est-il essentiel ?
Atténue le « minage d'accès » : les hackers développent des outils sophistiqués pour prendre le contrôle d'ordinateurs et les utiliser afin de rechercher des données précieuses. Un contrôle des accès rigoureux est la première défense contre ce « minage d'accès », qui peut être dévastateur pour une entreprise de n'importe quelle taille.
Garantit la conformité : Dans de nombreux secteurs réglementés, le contrôle des accès est nécessaire pour se conformer aux lois nationales, locales et fédérales (par exemple, HIPAA, PCI DSS).
Instaurer la confiance : En respectant les lignes directrices et en évitant les brèches de données, vous prouvez à vos clients que vous êtes digne de confiance et fiable.
Comment fonctionne le contrôle des accès ?
Les grandes entreprises peuvent faire face à un nombre stupéfiant de tentatives de piratage chaque jour. Les systèmes informatiques de l’État de l’Utah, par exemple, subissent jusqu’à 300 millions de tentatives de piratage chaque jour. Gérer chaque problème sans aide est impossible. Un système robuste pourrait aider.
Votre système de contrôle des accès est composé d'un logiciel, de personnes qui le gèrent et de règles qui dictent son utilisation. Les étapes courantes du système sont les suivantes :
Authentification. Un utilisateur souhaite accéder à votre système. Cette personne est-elle légitime ou avez-vous affaire à un imposteur ? Les noms d'utilisateur, les mots de passe, les données biométriques et les codes de vérification à usage unique peuvent tous vous aider à confirmer les identités.
Autorisation. Que devrait être autorisée à faire cette personne ? L’autorisation concerne les règles que vous définissez en matière d’accès.
Accès. Une fois les identités vérifiées et les règles définies, une personne peut consulter, modifier, enregistrer, partager ou interagir avec un actif. Inversement, si la personne ne passe pas vos vérifications d’authentification ou d’autorisation, le système refuse l’entrée.
Gestion. Les équipes doivent surveiller leurs règles et l'utilisation des données par l'entreprise. L'arrivée de nouveaux employés, le départ de collègues ou les restructurations organisationnelles peuvent mettre la sécurité en péril.
audit. Même si vous essayez de contrôler étroitement l'accès, certains détails peuvent échapper à votre attention. Des audits réguliers vous permettent de savoir ce qui se passe et de réagir en conséquence.
À quoi ressemble l’expérience utilisateur ?
Connexion : L’utilisateur saisit un mot de passe, suivi d’une autre méthode d’authentification.
Accès : L'utilisateur peut voir certains serveurs et fichiers. D'autres peuvent rester cachés.
Travail : L'utilisateur peut tenter une action non autorisée par les règles d'autorisation, comme écrire dans un fichier protégé. Le système empêche cette action.
Si vous avez travaillé dans un bureau au cours des dix dernières années, toutes ces étapes vous semblent familières. D'innombrables employés ont suivi ces mêmes étapes tous les jours dans le cadre de leur travail.
Types d’autorisation courants
Les politiques de contrôle d'accès appropriées commencent par des règles d'autorisation strictes. On parle parfois de « types de contrôle des accès ». Mais n'allez pas croire que le chiffrement Il s'agit de règles qui définissent ce que les utilisateurs peuvent ou ne peuvent pas faire dans un serveur. Il s'agit avant tout d'autorisations.
Vous pourriez choisir d'autoriser l'accès en fonction de :
Modèle d’autorisation | Qu'est-ce qui dicte l'accès ? | Exemple |
Attributs | L'heure de la journée, l'emplacement d'un terminal ou la localisation géographique d'une personne peuvent tous vous aider à comprendre si le système doit autoriser l'entrée d'une personne ou l'en empêcher. | Si vous gérez une entreprise à Boise qui ferme à 17 h, mais que vous recevez une tentative de connexion depuis l’Inde à 23 h, vous pouvez configurer le système pour refuser l’accès à cet utilisateur. |
Discrétion | La personne qui possède les données décide de la manière dont elles peuvent être vues, utilisées et manipulées. | Un membre de votre équipe de vente doit envoyer un argumentaire à un prospect, et les chefs de projet doivent vérifier les détails pour s'assurer qu'il n'y ait pas d'erreurs, de sorte que le responsable de comptes accorderait l'accès au chef de projet. Si un employé de la comptabilité souhaite consulter l'argumentaire, le propriétaire des données refuserait l'accès. |
Obligatoire | Un ensemble de règles strictes, généralement basées sur les niveaux d'autorisation des informations, dicte l'accès. Il s'agit d'une approche courante dans les milieux très hiérarchisés, y compris dans l'armée. | Les documents sont réservés aux colonels, car ils contiennent des données très sensibles sur une initiative à venir. Un soldat tente d'accéder aux fichiers, mais le système le lui refuse.
|
Rôles | Les personnes ne peuvent voir et travailler qu'avec les fichiers dont les personnes occupant leur poste ont habituellement besoin. | Les comptables de votre entreprise peuvent voir un serveur appelé « Comptabilité ». Les ingénieurs de votre entreprise ne savent pas que le serveur de comptabilité existe. |
RÈGLES | Un administrateur donne et annule l'accès sur la base d'informations qui peuvent être propres à chaque personne. | Une réceptionniste de votre entreprise travaille également au sein de l'équipe marketing. Cette personne peut voir le serveur de marketing, alors que les autres réceptionnistes ne le peuvent pas. |
Vous pouvez choisir une seule méthode et l’appliquer de manière cohérente à l’ensemble de votre entreprise. Vous pouvez également créer un mélange hybride de plusieurs approches afin d’envelopper vos actifs dans des couches de sécurité.
Politiques et réglementations en matière de contrôle des accès
Dans certains environnements réglementaires, vous devez prouver que vous conservez les données en toute sécurité. De solides politiques de contrôle d'accès peuvent vous aider à atteindre cet objectif.
Vous pourriez être amené à renforcer vos politiques de sécurité en raison des éléments suivants :
PCI DSS. Le standard de sécurité des données PCI s'applique à toute personne qui accepte ou stocke des paiements par carte de crédit ou de débit. Vous devez protéger ces données et le standard vous oblige à le prouver.
HIPAA. La loi sur la portabilité et la responsabilité en matière d'assurance maladie (Health Insurance Portability and Accountability Act) comprend plusieurs dispositions relatives à la sécurité des données. En substance, vous devez prouver que vous protégez tout ce qui peut être considéré comme des informations personnelles et privées sur les patients. SOC2. Les organismes de services doivent prouver qu'ils traitent et protègent correctement les données.
ISO 27001. Toute organisation, y compris celles qui traitent des données financières, de la propriété intellectuelle ou des données relatives aux employés, pourrait être tenue de respecter ces règles de protection des données.
La liste que nous vous proposons n'est pas exhaustive. Il se peut que vous ayez beaucoup plus de règles qui régissent la manière dont vous collectez, sauvegardez et partagez les informations que vous recueillez dans votre entreprise.
Une politique de contrôle des accès solide, comprenant des audits fréquents, peut vous aider à soumettre les documents nécessaires pour prouver que vous êtes en conformité.
Éviter les amendes n’est qu’une raison de respecter les règles. N’oubliez pas que vos clients vous surveillent et comptent sur vous pour protéger leurs informations. Si vous respectez les consignes et évitez toute brèche, ils sauront que vous êtes digne de confiance. Et inversement, si vous êtes piraté, il vous sera extrêmement difficile de regagner la confiance des clients.
Défis courants en matière de contrôle des accès
Il est clair que la plupart des entreprises doivent garder le contrôle des informations sensibles et que les politiques de contrôle des accès peuvent les aider. Mais il y a des inconvénients.
Complexité de l'informatique en nuage : il est difficile d'appliquer de manière cohérente des règles d'accès géographiques locales lorsque les services cloud permettent un accès mondial, ce qui crée des divergences.
Terminaux multiples : les règles doivent être suffisamment souples pour sécuriser l’accès aux nombreux terminaux (téléphones, tablettes, etc.) utilisés par une même personne.
Friction des employés : les administrateurs doivent être prêts à s'opposer aux utilisateurs mécontents lorsque de nouvelles règles plus strictes suppriment des autorisations d'accès antérieures trop larges.
Logiciels de contrôle des accès & solutions
Toute personne détenant des données précieuses a besoin de politiques de contrôle d'accès robustes. Vous avez aussi besoin d’un logiciel pour vous aider à faire le travail.
Les logiciels de contrôle des accès sont conçus pour gérer efficacement ces défis.
Ces solutions :
Travaillez avec plusieurs environnements et terminaux.
Évoluez pour accueillir facilement plus d'utilisateurs.
Réduisez les besoins en personnel et en entretien.
Automatisez les processus, ce qui rend le piratage beaucoup plus difficile.
Si vous êtes à la recherche d'une solution de contrôle des accès, nous serions ravis de discuter avec vous. Chez Okta, nous développons des produits solides et faciles à utiliser. Contactez-nous pour en savoir plus.
Références
Smominru détourne un demi-million de PC pour miner des crypto-monnaies et vole des données d'accès pour les vendre sur le Dark Web. (Août 2019). ZD Net.
Le data center de la NSA subit 300 millions de tentatives de piratage par jour. Le Conseil des agents et des courtiers d’assurance.
Marchands. Conseil des normes de sécurité PCI.
Résumé de la règle de sécurité HIPAA. (juillet 2013). Département américain de la santé et des services sociaux.
SOC2. Le Conseil des normes d'audit de l'Institut américain des experts-comptables.
ISO/IEC 27001. Organisation internationale de normalisation.
Gartner prévoit que les dépenses mondiales des utilisateurs finaux en matière d'informatique dématérialisée augmenteront de 18 % en 2021. (Novembre 2020). Gartner.
Un tiers des Américains vivent dans un foyer disposant de trois smartphones ou plus. (Mai 2017). Pew Research Center.
