Audit : des contrôles d'accès dans tous les environnements

Un accès peut être accordé aux utilisateurs qui ont changé d'équipe ou à des systèmes de Shadow IT dont les accès ne sont pas vérifiés. En fait, nombreux sont les exemples qui illustrent la complexité des processus, les silos et le manque d'efficacité susceptibles d'augmenter les risques auxquels votre entreprise est exposée. Si vous pensez qu'il est facile d'identifier les personnes bénéficiant d'autorisations d'accès en demandant à l'administrateur système d'exécuter un rapport, souvent ce n'est pas aussi simple. Alors, comment pouvez-vous accéder à ces informations vitales ?

Identification de la source

Pour commencer, essayez d'identifier les personnes ayant accès au système d'origine des données. Par exemple, en utilisant une application de gestion financière, vous pouvez générer une liste des utilisateurs ayant accès aux données financières. Elle doit inclure ceux qui sont autorisés à créer et afficher des transactions financières et ceux qui créent et affichent des rapports.

Même si cette liste est très utile pour commencer, elle ne résout pas tous vos problèmes et vous devrez poser davantage de questions. Ainsi, si votre entreprise utilise une application de gestion financière, vérifiez les points suivants :

• Qui a accès à la base de données de l'application ?
• Qui a accès aux sauvegardes de la base de données ?
• Qui a accès à la/aux machine(s) qui héberge(nt) l'application et la base de données ?
• Est-ce que le système peut exporter automatiquement des rapports ? Si c'est le cas, quelle est la destination des rapports exportés ?
• Qui a accès aux systèmes de fichiers sur les machines où sont stockés les fichiers d'application et de bases de données ?

Par exemple, les rapports exportés peuvent être stockés sur un partage de fichiers et l'accès est accordé via des groupes Active Directory. Vous devez identifier les groupes qui ont accès, puis déterminer l'appartenance au groupe, qui peut comprendre des groupes Active Directory (AD) imbriqués et des utilisateurs individuels.

Vous devez vérifier régulièrement les appartenances aux groupes pour vous assurer que les utilisateurs sont supprimés de la liste lorsqu'ils changent de poste ou d'équipe. En procédant ainsi, votre liste d'utilisateurs inclura les utilisateurs des applications, les administrateurs de bases de données, les administrateurs de systèmes et toutes les personnes ayant accès aux rapports sur le partage de fichiers, etc. Contactez les administrateurs de ces applications pour savoir quels types d'accès sont disponibles et identifier ainsi le type d'informations que vous recherchez. Par exemple, dans Microsoft SQL, le rôle dbowner accorde un accès intégral à la base de données, même si l'utilisateur qui le détient n'est pas un administrateur de bases de données. Lorsque vous savez ce que vous recherchez, vous comprenez mieux les nuances de ces configurations.

Accès aux bases de données

Les données financières sont précieuses pour de nombreux membres d'une entreprise, qu'il s'agisse de chefs de projet ou de service, de groupes d'opérations, etc. Ainsi, ces données sensibles ne seront sans doute pas limitées à l'application de gestion financière, car votre entreprise fait probablement appel à un entrepôt de données.

Ensuite, vous devez vous procurer la liste des utilisateurs qui ont accès aux bases de données de l'entreprise, y compris les administrateurs de bases de données et de systèmes. En outre, vous avez besoin de la liste des utilisateurs qui ont accès aux sauvegardes des bases de données provenant de l'entrepôt de données.

Mais ce n'est pas tout. Votre entreprise utilise peut-être un système distinct de planification financière qui implique un processus d'importation de données à partir du système financier vers le système de planification. Lorsque le système financier est associé à des utilisateurs d'AD, le système de planification ne s'intègre pas à AD. Qu'est-ce que cela signifie ? Vous devez maintenant lier les utilisateurs de l'application de planification aux personnes réelles qui utilisent ces informations d'identification.

Outre un entrepôt de données, votre entreprise utilise peut-être plusieurs outils de génération de rapports et les utilisateurs se connectent à l'entrepôt via leurs informations d'identification AD alors qu'ils génèrent des rapports. Toutefois, un compte de service permet d'exécuter des requêtes lors de l'actualisation des jeux de données ou de l'exécution des rapports par des applications de génération de rapports. Cela signifie donc que vous devez accéder à chaque application de génération de rapports pour obtenir des informations sur les utilisateurs qui ont accès aux rapports contenant ces informations.

Et cela se complique encore. Vu le nombre infini d'autres scénarios possibles, votre liste des utilisateurs ayant accès à des informations sensibles est confuse. Alors, comment pouvez-vous obtenir des informations exactes ?

Gestion du contrôle d'accès

Vous devez adopter une approche proactive pour assurer la gestion du contrôle d'accès afin d'éviter d'avoir à élucider tous ces mystères. La gestion du contrôle d'accès ne se limite pas à l'implémentation d'une technologie, car elle fait appel à des personnes et des processus. Toutefois, les technologies qui facilitent la gestion du contrôle d'accès sur tous les silos de systèmes individuels peuvent être essentielles pour clarifier une vue des informations qui avait tendance à être floue.

En quoi consiste une approche proactive ? Pour assurer la conformité aux réglementations et la sécurité dans l'entreprise, vous devez tout d'abord procéder à des audits réguliers des accès. N'oubliez pas que si vous n'appliquez aucune stratégie de contrôle d'accès qui détermine également la manière dont il s'intègre à la gestion des identités et à chaque application utilisée dans votre entreprise, cette dernière est exposée à des risques de sécurité susceptibles d'entraîner des dommages. Puisque ces données contribuent à l'efficacité de votre activité, elles doivent être accessibles, mais tous les membres de l'entreprise doivent s'assurer qu'elles sont manipulées à bon escient.

Pour terminer, les professionnels de l'informatique doivent impérativement adopter une approche globale de la gestion du contrôle d'accès pour gérer les données qui circulent dans une entreprise. Grâce à un outil de gestion du contrôle d'accès, et si vous l'utilisez correctement, vous pouvez rapidement déterminer qui a accès à quoi, améliorer la conformité en détectant les changements et comprendre les accès en intervenant lorsqu'ils présentent des risques, car toutes ces opérations sont essentielles pour garantir l'intégrité de votre entreprise.