> Tech > Gouvernance des données : première étape vers le contrôle total des audits

Gouvernance des données : première étape vers le contrôle total des audits

Tech - Par Sébastien De La Tullaye - Publié le 22 septembre 2014
email

On dit souvent que la valeur d’une organisation se mesure aux personnes qui la composent, mais elle se mesure aussi à leurs données.

Gouvernance des données : première étape vers le contrôle total des audits

Ces données que les personnes créent, partagent, détiennent, conservent et consultent font la force d’une entreprise. La révolution informatique à l’origine de l’économie moderne a créé un contexte éclaté, qui fait que l’on accède aux données via toutes sortes de plates-formes : serveurs de fichiers Microsoft Windows, périphériques NAS ou encore sites SharePoint.

Gouvernance des données

À mesure que nous évoluons vers toujours plus de technologies et services Cloud, dans un contexte professionnel où le BYOD devient la norme, nous pouvons nous attendre à une fragmentation croissante de l’environnement IT. Parvenir à contrôler l’accès aux données et les droits des personnes qui autorisent les accès devient de plus en plus complexe et laborieux.

L’entreprise moderne fait face à la difficulté de se conformer aux réglementations et doit aussi pouvoir identifier rapidement les menaces pour sa sécurité, les éviter et réagir en conséquence. Lorsque l’entreprise atteint une certaine taille, plusieurs dizaines d’employés, et non pas nécessairement plusieurs centaines ou milliers, il lui faut centraliser et automatiser autant que possible son système de gestion de la sécurité.

Première étape vers le contrôle total des audits

Le contrôle de l’accès aux données est un élément essentiel de la sécurité, pour éviter les pertes accidentelles autant que les intrusions malveillantes délibérées, pour gagner en efficacité et réduire les temps d’arrêt ; dans certains cas, le contrôle des données et de leur accès est même une obligation légale, qu’il faut impérativement respecter.

Le maintien à jour des procédures de contrôle des accès et de la gestion est souvent fastidieux, chronophage et sujet à erreurs, puisque manuel. Bien souvent, les administrateurs système consacrent leur temps de travail à résoudre des problèmes informatiques pour garder les employés connectés. Leur rôle est devenu essentiellement réactif : ils s’évertuent à tenir le rythme des changements de groupe dans Active Directory, à repérer les pertes de données sur les serveurs de fichiers et systèmes de stockage NAS, et surveiller l’activité SharePoint. Au final, cette approche traite les symptômes, mais elle ne résout pas les problèmes à la racine.

Les règles et pratiques informatiques doivent sembler excessivement draconiennes aux yeux de certains employés. Ils voient les services IT comme un frein, plus qu’une aide. Mais qui peut se plaindre des pratiques ultra-sécuritaires des services IT et leur jeter la pierre, quand la seule alternative semble être l’anarchie ? Si l’on fait la comparaison avec les différents types de gouvernement, l’histoire nous montre combien les avis diffèrent quant à la meilleure manière de gouverner. Certains gestionnaires IT semblent pencher pour un système totalitaire de contrôle absolu, mais tout comme une telle approche tend à handicaper l’économie d’un pays et à en isoler la population, elle freine inévitablement le développement d’une entreprise.
Si l’accès, le contrôle et la gestion sont absolument essentiels, il en va de même de la transparence et de la flexibilité. Plutôt que d’élaborer un paysage IT sur le modèle d’un état policier nord-coréen, privilégions les principes démocratiques occidentaux, avec des règles et une gouvernance clairement définies.

Les entreprises sont libres de croître et de conclure de nouveaux contrats, partout, à tout moment. De nouvelles données sont créées, partagées et sauvegardées sur diverses plates-formes, des serveurs de fichiers Windows aux périphériques NAS. Depuis peu, les employés se servent également de leurs propres appareils mobiles en plus de ceux fournis par l’entreprise, smartphones et tablettes notamment, pour consulter, créer et modifier leurs données.

Les départements IT doivent faire face à une myriade de menaces à l’encontre des données de l’entreprise, et composer avec toutes sortes d’obligations de conformité et de règlements internes. En faisant les bons choix technologiques, il est possible d’instaurer une gouvernance automatisée et multi plate-forme de l’accès aux données.

Imaginez les gains d’efficacité, de productivité et de flexibilité d’une organisation dont les tâches de contrôle, de gestion et de gouvernance dépendraient d’une seule et même plate-forme technologique, selon un ensemble unifié d’identités, de rôles, de règles et de procédures. Imaginez qu’une seule action de provisioning déclenchée pour un nouvel administrateur, dès le jour de son arrivée, suffise à lui accorder précisément tous les accès dont il a besoin – administratifs et non-administratifs – à l’échelle de toute l’entreprise, dans la transparence la plus complète et sous le contrôle de l’entreprise.

Imaginez si les activités d’attestation faisaient l’objet d’une procédure rationalisée selon laquelle le personnel spécialisé pourrait interroger un tableau de bord complet des droits des employés (privilégiés ou non) dans un langage compréhensible. Pensez combien cela faciliterait l’audit ! Et imaginez les bienfaits d’un système intégré de contrôle de la séparation des tâches, qui permettrait d’avertir toutes les parties dont les droits (y compris les droits d’administrateur) font l’objet d’une alerte rouge de conformité ou de sécurité.

Enfin, imaginez les avantages d’un système d’entreprise garant d’une gouvernance unifiée, complète et efficace, à tous les niveaux, de l’accès des utilisateurs aux applications, des accès aux données, et de l’accès des administrateurs aux comptes privilégiés. N’aimeriez-vous pas avoir enfin le contrôle total de vos audits ?

Téléchargez cette ressource

Comment lutter contre le Phishing ?

Comment lutter contre le Phishing ?

Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.

Tech - Par Sébastien De La Tullaye - Publié le 22 septembre 2014