Sergey Nivens - Fotolia
L’IAM pour traiter les risques concernant les données non structurées
La quantité de données d’entreprise non structurées progresse chaque année. L’expert Sean Martin explique pour la gestion des identités et des accès s’avère être un composant important de leur protection.
La gestion des identités et des accès (Identity and Access Management, IAM) peut être un domaine difficile à maîtriser, du fait de la complexité des technologies et des standards, mais également des nombreux acronymes liés au sujet. Mais le principal défi consiste à trouver comment gérer les contenus non structurés de l’entreprise, dans le cadre d’une stratégie d’IAM.
Dépasser le défi des acronymes et comprendre les capacités fournies par les différents produits est important du fait de la prolifération des emplacements où résident les données, et de la myriade de façons dont elles se déplacent. Actuellement, de nombreux prestataires proposent des services pour aider à dépasser ce défi. Et le marché s’étend rapidement.
En l’absence de terminologie claire et cohérente pour désigner ce que recouvre l’IAM appliquée aux données non structurées, les entreprises doivent examiner soigneusement les éditeurs envisagés pour s’assurer que les contenus non structurés sont bien adressés. Ajoutons à cela la couche de complexité ajoutée par les changements organisationnels et les RSSI se retrouvent confrontés à une cible en mouvement rapide : incertitude quant à la localisation des données, à leur valeur et à leur sensibilité, et besoin de contrôle sur les accès et les partages. Les données applicatives sont généralement bien documentées, de même que les protections à leur appliquer. Mais le contenu non structuré est largement non documenté et non contrôlé.
Par nature, les données non structurées se cachent et se répandent. Cela les rend particulièrement vulnérables aux menaces puisqu’elles échappent à la classification et à l’administration, sans pouvoir être référencées comme sensibles par les solutions de sécurité historiques. De nombreuses études montrent pourtant que près de 80 % des données d’entreprise sont aujourd’hui non structurées et intégrées aux processus les plus critiques.
A l’occasion de l’édition 2016 de RSA Conference, Ken Allan, directeur monde de l’activité sécurité de l’information de Ernst & Young estimait ainsi que « toutes les données surveillées vont probablement contenir une identité. Même les données les plus dangereuses comme les malwares contiennent une forme de signature qui permet de les lier à leurs créateurs ».
Les attaquants utilisent de plus en plus souvent des identifiants compromis afin d’accéder aux données d’entreprise. La plupart des logiciels malveillants s’exécutent avec le même niveau de privilèges que leurs victimes. Des droits d’administration ouvrent grand la voie aux vols de données.
Retour aux bases
Savoir où se trouvent les données de l’entreprises et en contrôler les accès par le biais de rapports concis et d’analyses va aider à limiter la portée d’une attaque, et accélérer le processus d’investigation en cas d’incident. Cela aide également à assurer la conformité réglementaire. De fait, de multiples réglementations forcent désormais les entreprises à savoir où résident leurs données. Elles doivent également définir ce que sont leurs données sensibles. Et cela commence par trouver et catégoriser ces données au milieu du contenu non structuré. Mais alors que l’on couvre plus d’applications, de serveurs, et de terminaux, le risque que surviennent des problèmes progresse de manière exponentielle.
Les entreprises ne peuvent pas simplement se lancer dans l’implémentation de contrôles sans savoir où sont leurs données, ni ce qu’elles doivent classifier, et pour quelles données elles doivent fournir un niveau de sécurité raisonnable. Les organisations ont également besoin de trouver ces données, de déterminer qui les manipule, et de découvrir comment elles se déplacent. Cela nécessite d’utiliser un cadre de définition du risque et des outils automatisés.
C’est là qu’il convient de revenir aux bases de l’administration des données non structurées avec l’inventaire. Les entreprises devraient où résident leurs données sensibles, quels systèmes et terminaux s’y connectent, quels contrôles de protection sont déjà en place.
Mettre à profit l’IAM
Avec l’ajout de services Cloud, et d’employés utilisant leurs appareils personnels ou accédant à distance aux données de l’entreprise, les simples noms d’utilisateurs et mots de passe ne sont plus suffisant ni sûrs. Sans compter le risque de déploiement IAM incohérent. Souvent des systèmes périphériques contiennent les données les plus critiques de l’entreprise, mais sont protégés avec des contrôles significativement allégés.
N’oublions pas que nombre d’incidents de sécurité ne font l’objet d’aucune divulgation. Certains passent tout simplement inaperçus. L’IAM n’en est que plus importante, adossée à une solide stratégie de gestion des contenus non structurés.
La plupart des processus métiers critiques s’appuient sur des contenus non structurés qui contiennent généralement des données sensibles, comme de la propriété intellectuelle, des données financières, et autres données qui devraient être protégées contre le vol et les accès inappropriés.
« De nombreuses grandes entreprises, dans le secteur des services financiers, ont formalisé l’identité en tant que rôle en désignant un responsable interne chargé de définir les règles, les processus et de superviser identités et responsabilités pour maintenir le lien entre identité et données », expliquait Allan. Pour lui, « il est important de se souvenir que l’identité peut être liée à beaucoup de choses – par exemple, des voitures autonomes peuvent générer des informations et s’établir elles-mêmes en tant qu’identités ».
Approches de gestion des données non structurées
Les dirigeants d’entreprises commencent à prendre conscience de la nature exposée et hors de contrôle des contenus non structurés. Les organisations sont alors confrontées à de multiples défis : cartographier les entrepôts existants de données non structurées ; trouver les propriétaires de données et cartographier les groupes d’utilisateurs clés ; classer les données sensibles ; et définir et appliquer les règles d’autorisation sur les entrepôts de données.
Il est alors recommandé d’engager immédiatement les actions suivantes : audit les accès aux données ; cartographier les propriétaires de données, les groupes d’utilisateurs et les habitudes d’utilisation ; analyser les droits des utilisateurs et des groupes sur les données ; formuler les recommandations nécessaires en réponse aux politiques métiers et réglementaires ; accompagner la revue des droits des utilisateurs et les processus d’autorisation.
Verrouiller accès et privilèges
Une fois que les entreprises ont identifié, cartographié et classé les contenus non structurés, elles doivent revoir leurs systèmes et politiques d’IAM. La dernière étape consiste à verrouiller les privilèges des utilisateurs, au minimum nécessaire pour l’exécution de leurs tâches, et cela afin de protéger les données contre les logiciels malveillants et autres menaces.
Dans un entretien réalisé lors de l’édition 2016 de RSA Conference, Adam Laub, vice-président sénior de Stealthbits Technologies en charge du marketing produit, a souligné le risque qu’il y a à laisser aux utilisateurs des privilèges élevés : « si j’ai des droits d’administration sur le domaine et que j’utilise l’identifiant correspondant pour ouvrir une session sur un système accessible au public, un attaquant peut, via une attaque par hameçonnage réussie, obtenir cet identifiant et l’utiliser pour prendre la main sur le contrôleur de domaine. Cela peut compromettre l’ensemble du domaine de manière presque immédiate ».
Les entreprises doivent également observer les comportements et la manière dont les autorisations sont distribuées : « à mesure qu’un pirate obtient de plus en plus d’identifiants, on commence à observer des mouvements latéraux. Si vous êtes capables de collecter les informations d’authentification, vous pouvez observer des comportements et des anomalies permettant d’identifier ce type d’activité plus vite ».
Bien sûr, pour améliorer sa posture de sécurité et de gestion du risque, il y a beaucoup d’information à digérer. Mais les entreprises n’en devraient pas moins commencer à travailler au développement d’une image claire de leurs contenus non structurés, et à la manière dont des contrôles de gestion des identités et des accès appropriés peuvent protéger ces contenus.
Adapté de l’anglais.
Pour approfondir sur Backup
-
IAM : les entreprises ont un long et difficile chemin à parcourir pour s’améliorer
-
CyberArk rachète Venafi à Thoma Bravo pour 1,5 milliard de dollars
-
OVHcloud veut unifier sa gestion des accès, des identités et des clés
-
Michelin refond sa gestion des identités et des accès avec ForgeRock et SailPoint