Comment contrôler de manière exhaustive le contenu sensible dans Microsoft SharePoint?

Transcription

1 DOSSIER SOLUTIONS Information Lifecycle Control for Sharepoint Comment contrôler de manière exhaustive le contenu sensible dans Microsoft SharePoint? agility made possible

2 CA Information Lifecycle Control for SharePoint permet de détecter, de classifier et de contrôler les informations sensibles publiées, stockées et distribuées au sein des environnements SharePoint. Les processus critiques peuvent ainsi continuer à fonctionner, tandis que les ressources sensibles de l entreprise demeurent protégées. 2

3 Résumé Défi Microsoft SharePoint a connu une croissance importante ces dernières années grâce au succès de ses fonctionnalités de gestion de contenu, de collaboration et de réseau social. La facilité avec laquelle il est possible de déployer des instances SharePoint a permis aux groupes interfonctionnels de mettre en place des instances sur l ensemble de l organisation, rapidement et parfois hâtivement. L absence de gestion, de conception et de processus a non seulement entraîné un important volume d instances SharePoint déployées à l échelle des entreprises, mais a également généré massivement des ressources métier sensibles, exposées à de nombreux risques. CA DataMinder occupe une position stratégique au sein de SharePoint. Sa fonction : prolonger l efficacité des processus commerciaux, tout en facilitant le contrôle des informations sensibles. Solution Bien que les déploiements SharePoint et les données non structurées contenues dans des conteneurs puissent souvent se révéler difficiles à gérer et à sécuriser, il est encore possible pour une entreprise de tirer profit des usages prévus de SharePoint, tout en se protégeant de manière exhaustive des risques pesant sur les informations sensibles. CA DataMinder met en oeuvre une approche de la sécurité basée sur les risques, qui contrôle les informations tout au long du cycle de vie SharePoint. À mesure que les informations sont créées, stockées, révisées et distribuées dans SharePoint, CA DataMinder détecte, classifie et contrôle le contenu sensible, afin de réduire le risque de mise en danger et de non-conformité des informations, tout en évitant une interruption des processus commerciaux. Avantages CA Information Lifecycle Control for SharePoint offre aux entreprises les avantages suivants : Évaluation plus efficace des risques liés aux informations, grâce à une détection et à une classification automatiques Bon fonctionnement des processus métier, associé à un contrôle des informations sensibles, tout au long du cycle de vie SharePoint Réduction des risques de mise en danger des données et de non-conformité réglementaire 3

4 Section 1 : Défi Défis liés aux utilisations de SharePoint Les principaux défis auxquels doivent faire face les entreprises en matière de gestion de l information dans SharePoint résultent souvent de ses fonctionnalités centrales. Principales utilisations de SharePoint SharePoint a pour fonction essentielle de servir d emplacement de stockage centralisé des documents et images, pour permettre la collaboration et améliorer l efficacité métier. Tout en centralisant les informations et les applications pour un usage interne à l entreprise, le système sert également de forum pour les partenaires et les tiers, destiné à améliorer les processus métier et le partage des informations au-delà des frontières de l entreprise. Ce sont toutefois ces mêmes fonctions essentielles qui peuvent exposer et mettre en danger le contenu sensible (propriété intellectuelle, informations d identification personnelle, informations confidentielles ou informations médicales protégées). Les utilisateurs peuvent en effet publier manuellement du contenu sensible ou encore modifier et réviser du contenu existant, le rendant sensible à son tour. Cette utilisation courante des données peut mettre en danger les informations sensibles de l entreprise, en lui laissant peu de protection, voire aucune, face à cette menace. Publication d informations. Les utilisateurs se servent souvent de SharePoint comme référentiel pour le stockage de la documentation et du contenu sensibles. Toutefois, l absence fréquente de processus ou d architecture de données définis permet la publication de contenu sensible sur un conteneur ou un emplacement inapproprié. Ces informations sensibles sont donc stockées à des emplacements inadéquats, sans que cela soit connu par l organisation ou l administration. Imaginons, par exemple, que le service financier d une entreprise a déployé une instance SharePoint avec des sous-dossiers, pour stocker les documents financiers sensibles tels que les factures client et les informations financières de l entreprise. L intention de cette architecture de données était de créer des conteneurs séparés, en fonction de l objectif souhaité et de la structure de l organisation. Si des données incorrectes, telles que les bilans financiers de l entreprise, ont été chargées, publiées ou déplacées à un emplacement imprévu, par exemple celui de la facturation client, ces données financières sont mises en danger, avec un impact financier potentiel direct pour l entreprise. L absence ou l insuffisance de processus de gestion des données a pour conséquence le déplacement de contenu vers des conteneurs incorrects, à l insu du responsable informatique, du responsable de la sécurité et du propriétaire des informations, entraînant un risque important pour l entreprise. Collaboration de contenu. Si la collaboration au sein de SharePoint demeure l utilisation la plus répandue de cette solution, elle est aussi le principal facteur déclenchant du phénomène de «SharePoint Sprawl». Bien que l utilisation de SharePoint améliore la communication et l efficacité des processus métier, elle augmente également le risque d exposition des informations sensibles de l entreprise. Alors que la publication initiale d un contenu n a au départ aucun impact sur l activité, le processus évolutif de partage, de collaboration et d accès au contenu entraîne souvent la création ou l ajout d informations sensibles. Les règles de gestion d accès initialement destinées à permettre l accès à des données non sensibles deviennent souvent obsolètes et inefficaces, en raison des nouvelles formes adoptées par le contenu suite à son usage collaboratif. 4

5 Imaginons, par exemple, une société qui externalise ses fonctions métier clés auprès d une société de conseil. Ces deux sociétés collaborent via un déploiement SharePoint intégré. Au départ, aucune information sensible n est partagée entre les parties, comme prévu. Mais au cours du processus normal de partage d informations, un employé ajoute du contenu soumis à la propriété intellectuelle à un document, par une méthode non conforme à la règle définie par l entreprise. Bien que les processus définis aient été suivis lors du partage d informations, dans un environnement SharePoint correctement conçu, le travail collaboratif a pour conséquence inattendue d exposer la société à certains risques. Distribution de contenu. Une fois le travail collaboratif sur les documents terminé, la version finale est souvent prête à être distribuée par divers modes de communication. Le contenu sensible est alors généralement copié sur des périphériques de stockage, envoyé par courriel, chargé sur des sites de réseaux sociaux, transporté sur des périphériques mobiles ou même migré vers le Cloud. Cette réplication du contenu accroît sensiblement le niveau d exposition de l entreprise. Toute distribution de contenu accidentelle, d origine malveillante ou due à une négligence, doit être évitée afin de réduire son impact sur l activité. Prenons l exemple d une responsable de secteur d activité qui finalise avec ses assistants un document présentant la stratégie de l entreprise pour les trois années à venir. La responsable de secteur d activité télécharge le document en local sur son ordinateur portable pour l envoyer par courriel à son directeur général. Au moment d envoyer le document, elle saisit par erreur l adresse électronique d une autre personne. Le document est envoyé à un individu extérieur à l entreprise, qui se trouve être un partenaire commercial travaillant avec plusieurs concurrents. Cette erreur coûteuse est plus fréquente qu on ne le croit. Des contrôles doivent par conséquent être mis en place pour éviter l envoi d informations sensibles à des destinataires imprévus, suite à une erreur humaine. Sécurisation de SharePoint : défis Le stockage et le partage d informations sensibles, ainsi que leur exposition dans SharePoint, impliquent de nombreux défis à gérer si l on souhaite réduire les risques pour l entreprise. Incapacité à localiser les informations. La même absence ou insuffisance de conception et de processus qui entraîne une exposition des informations sensibles dans SharePoint contribue également à réduire la visibilité et la notification administrative. Les informations qui ne suivent pas les stratégies de segmentation et les conceptions architecturales prédéfinies finiront toujours par se retrouver à des emplacements imprévus, distribuées sur l ensemble des instances SharePoint, ainsi qu à l intérieur et à l extérieur de l organisation, sans que ni les administrateurs ni les propriétaires des données n en aient connaissance. Face à une visibilité réduite et à une méconnaissance de l origine des informations, de leur emplacement et de leur destination, les risques pour la sécurité et la conformité peuvent s accroître de manière significative, à l insu des responsables de l organisation. Pendant des années, les entreprises ont tenté de comprendre l impact des informations sensibles, par le biais d évaluations manuelles des risques réalisées individuellement pour chaque système. Ces évaluations ont bien entendu vite perdu de leur pertinence au vu de la nature dynamique des données, qui en rend les résultats obsolètes et quasi inutilisables. 5

6 Cette absence de visibilité en temps réel lorsque les données sont au repos, en cours d utilisation et en transit empêche souvent l entreprise de bien mesurer la sensibilité des données organisationnelles. En résultent des décisions peu pertinentes en matière de sécurité et de systèmes d information, ainsi que des risques accrus. Méconnaissance de la classification des données. Ne pas savoir où se trouvent les informations sensibles ou à qui elles sont communiquées a un impact direct sur la capacité à évaluer les risques pour l organisation. La plupart des entreprises doivent ainsi souvent faire des suppositions quant au caractère sensible du contenu, en fonction de l emplacement de stockage estimé des données, obtenant ainsi une image peu réaliste du système. Il est important de pouvoir classifier de manière active les informations dynamiques, conformément aux règles de l entreprise et aux exigences réglementaires, afin de mesurer avec précision les risques associés au système SharePoint et de donner la priorité aux contrôles de sécurité efficaces. Dans le cas où cela lui serait impossible, l entreprise se retrouverait exposée, parfois sans le savoir, à des risques financiers et juridiques. Contrôles inefficaces des informations. La nature dynamique des données dans SharePoint a un impact direct sur la capacité d une organisation à comprendre où résident les données, à mesurer leur niveau de sensibilité ainsi qu à appliquer des règles et des contrôles. Les lignes qui suivent décrivent les différentes manières dont l information circule à travers l environnement SharePoint, souvent sans surveillance ni contrôle. Publication. Les informations ont souvent un caractère sensible dès leur création. Du fait du manque de contrôle de la manière dont les informations sont diffusées dans SharePoint, les informations sensibles peuvent facilement être chargées en vue d un accès futur. Stockage. L architecture de données SharePoint consiste à stocker les informations dans des conteneurs spécifiques, pour s assurer que seuls des rôles et groupes définis peuvent y accéder. Or, du fait de l absence de processus de gestion des droits ou de gestion des données, le contenu sensible est fréquemment stocké dans des conteneurs inappropriés. En réalité, même avec une architecture parfaitement conçue et une gestion des droits efficace, il existe des informations sensibles qui ne devraient jamais être stockées dans SharePoint. Ces données doivent être tout simplement supprimées ou éliminées. Accès. Même avec la meilleure architecture et d excellents processus de gestion des données, la nature collaborative de SharePoint rend possible la création de contenu sensible dans des conteneurs inappropriés, ce qui permet à des utilisateurs non autorisés d avoir accès à du contenu sensible. Distribution. Une fois que le contenu sensible ne fait plus l objet d un travail collaboratif et se trouve à l état final, SharePoint détient peu de contrôle sur ce contenu dès lors que l utilisateur a téléchargé le fichier pour le distribuer. Conséquence : des informations sensibles sont exposées à des risques de divulgation par divers modes de communication en cas d erreur, de négligence ou de malveillance. 6

7 Section 2 : Solution CA Information Lifecycle Control for Sharepoint CA Technologies propose la solution SharePoint Information Lifecycle Control pour éliminer les risques associés à l utilisation de SharePoint, tels qu expliqués précédemment. Grâce à une découverte, une classification et un contrôle automatiques du contenu, les organisations minimisent les risques d exposition des informations, tout comme les risques financiers et réglementaires qui en découlent. Fonctionnement de CA Information Lifecycle Control for SharePoint CA Technologies est en mesure de contrôler les informations sensibles tout au long du cycle de vie SharePoint. Les données sont ainsi stockées à l emplacement adéquat, tandis que l accès, la révision et la distribution sont limités aux personnes autorisées. Les lignes qui suivent décrivent la manière dont CA DataMinder contrôle le contenu sensible tout au long du cycle de vie des informations SharePoint : 1. Créer : contrôlez-vous les informations chargées dans SharePoint? CA DataMinder Endpoint contrôle les informations chargées dans SharePoint selon leur sensibilité et l identité de l utilisateur. Une solution qui évite aux informations extrêmement sensibles d être stockées et partagées dans SharePoint, tout en limitant les risques d accès par des utilisateurs non autorisés et donc de mise en danger. 2. Stocker : transférez-vous ou chiffrez-vous les informations en fonction de leur emplacement et de leur sensibilité? CA DataMinder Stored Data contrôle les informations une fois stockées dans SharePoint. Si des informations sensibles se trouvent dans un dossier inapproprié, CA DataMinder peut les déplacer. Si des informations sensibles sont stockées en clair et nécessitent une protection par chiffrement, CA DataMinder peut les chiffrer. 3. Utiliser : contrôlez-vous l accès aux informations sensibles? CA DataMinder est également capable de fournir des technologies tierces, telles que des produits de gestion d accès Web comme CA SiteMinder Classification, pour permettre la prise de décisions parfaitement informées en matière d accès. Les utilisateurs tentant d accéder à des informations dans SharePoint, alors que leur rôle ne les y autorise pas, peuvent voir leur accès refusé. 4. Distribuer : contrôlez-vous la liste des destinataires du document final? CA DataMinder Endpoint ou CA DataMinder peut contrôler la distribution d informations via un large choix de modes de communication tels que les courriels, la messagerie Web, les réseaux sociaux, les supports amovibles et l impression. Ces solutions contrôlent la distribution d informations par le biais d avertissements, de chiffrements, de mises en quarantaines et de blocages. 5. Éliminer : mettez-vous en quarantaine ou supprimez-vous les informations sensibles? CA DataMinder Stored Data ne se contente pas de déplacer ou de chiffrer les données au repos, il peut également supprimer les informations sensibles qui ne devraient pas être stockées dans SharePoint. 7

8 Illustration A. CA Information Lifecycle Control for Sharepoint Section 3 : Cas d utilisation Cas d utilisation de CA DataMinder SharePoint L exemple suivant décrit la manière dont CA DataMinder contrôle les tentatives de diffusion de contenu sensible : 1. Un contrôleur de gestion crée en local, sur son poste de travail, une feuille de calcul contenant des informations prévisionnelles sur l entreprise. 2. Les informations sensibles englobent toutes sortes de données : salaires, numéros de sécurité sociale, dossiers médicaux, propriété intellectuelle ou informations confidentielles. Dans ce scénario, elles sont d ordre strictement financier. 3. Ces informations sont étroitement contrôlées et doivent être uniquement conservées dans certains conteneurs SharePoint pour protéger l entreprise de toute fuite d informations avant leur publication officielle. 4. Le contrôleur tente de charger les informations dans un conteneur SharePoint au mépris des règles. 5. Prenant en compte l emplacement, le rôle et le contenu, CA DataMinder Endpoint détermine que cette diffusion ne respecte pas les règles établies et qu elle doit donc être bloquée pour limiter les risques pour l entreprise. 8

9 Illustration B. Cas d utilisation 1 (créer) : CA DataMinder alerte l utilisateur d une publication bloquée. L exemple suivant décrit la manière dont CA DataMinder déplace les informations sensibles vers un emplacement approprié : 1. Un utilisateur enregistre des données de vente et de facturation sensibles dans un dossier destiné aux rapports financiers. 2. CA DataMinder Stored Data identifie le contenu en tant qu informations de facturation client. 3. En se basant sur les règles prédéfinies, CA DataMinder Stored Data détermine que le fichier doit être stocké dans le dossier Facturation client. 4. CA DataMinder déplace le fichier vers le dossier Facturation client, laissant une «souche» qui avertit les utilisateurs que le fichier a été déplacé. Illustration C. Cas d utilisation 2 (stocker) : CA DataMinder déplace les fichiers sensibles. 9

10 L exemple suivant décrit la manière dont CA SiteMinder et CA DataMinder Classification bloquent l accès au contenu : 1. Un utilisateur chargé des créances tente d accéder à des prévisions financières sur l entreprise, données sensibles stockées à tort dans un conteneur SharePoint destiné aux facturations client. 2. CA SiteMinder s associe à CA DataMinder Classification pour permettre une visibilité en temps réel du niveau de sensibilité du fichier de prévisions financières auquel l utilisateur tente d accéder. 3. Étant donné que les règles en place n autorisent pas le rôle de l utilisateur à accéder à ce type de contenu, CA SiteMinder bloque l accès au fichier. Illustration D. Cas d utilisation 3 (utiliser) : CA SiteMinder bloque l accès au contenu sensible. L exemple suivant décrit la manière dont CA DataMinder bloque l envoi d informations sensibles par courriel : 1. Une fois le travail collaboratif terminé et le document finalisé, ce dernier est considéré prêt à être distribué. 2. Étant donné que le document contient des données sensibles, il est cependant primordial que seuls les destinataires appropriés le reçoivent. 3. CA DataMinder peut contrôler la distribution de ce document via divers modes de communication, y compris le charger sur un site de réseau social, l enregistrer sur un support amovible, l imprimer ou l envoyer par courriel après avoir vérifié l identité de l utilisateur et le contenu. 4. CA DataMinder détermine que le contenu et le mode de communication ne sont pas conformes aux règles en place et bloque l envoi par courriel. 10

11 Illustration E. Cas d utilisation 4 (distribuer) : CA DataMinder contrôle la communication de contenu. L exemple suivant décrit la manière dont CA DataMinder supprime ou efface du contenu dans SharePoint : 1. Certains niveaux de sensibilité du contenu ne sont pas destinés à un stockage dans SharePoint. 2. CA DataMinder Stored Data est en mesure de détecter et de classifier le contenu, en appliquant les règles qui n autorisent pas certains niveaux de sensibilité de contenu à être stockés dans un site SharePoint. 3. CA DataMinder Stored Data peut remplacer les fichiers ne remplissant pas les critères de ces emplacements par des fichiers indiquant les raisons du remplacement, ainsi que la personne à contacter en cas de questions. 4. En outre, les fichiers d origine peuvent être mis en quarantaine ou déplacés vers un emplacement sécurisé. Illustration F. Cas d utilisation 5 (éliminer) : CA DataMinder supprime le contenu de Sharepoint. 11

12 Section 4 : Avantages Avantages de CA Information Lifecycle Control for SharePoint Alors que les informations sensibles prolifèrent à l intérieur comme à l extérieur des sites SharePoint, les organisations s exposent à des risques financiers considérables. Pour protéger leurs actifs les plus précieux, elles doivent adopter une approche multicouche de réduction du niveau de risque global. CA DataMinder permet d atteindre ce résultat par un contrôle des informations sensibles, tout au long du cycle de vie des informations SharePoint. Cette approche complète du contrôle d informations s accompagne des avantages suivants. Évaluation du risque par détection et classification des informations Du fait d un manque de visibilité dans SharePoint et de la nature dynamique des données d entreprise, les organisations font face à un véritable défi pour comprendre l impact de l emplacement et de la sensibilité de ces informations sur leur activité. CA DataMinder apporte une solution à ce problème par sa capacité à détecter et à classifier automatiquement le contenu sensible alors qu il est diffusé, stocké et distribué au sein et en dehors de SharePoint. Ce qui demandait autrefois énormément de temps et de ressources, tout en générant des informations imparfaites, est désormais un processus rationalisé et cohérent, qui permet à l entreprise de comprendre activement les risques critiques qu elle encourt. Des processus métier fluides tout en protégeant le contenu sensible Un des objectifs majeurs de l informatique et de la sécurité est de garantir un juste équilibre entre fonctionnement de l activité et protection du contenu. Les capacités de diffusion, partage, collaboration et stockage d informations de SharePoint améliorent l efficacité métier, mais exposent également les organisations à des risques accrus. Les organisations doivent adopter une approche multicouche mais précise de la sécurisation des informations dans SharePoint, pour faire prospérer leur activité tout en limitant l impact de ces menaces. CA DataMinder aide les organisations à atteindre ces objectifs en intégrant des facteurs tels qu identité et nature du contenu dans le contrôle des données sensibles, tout au long du cycle de vie des informations SharePoint. Cette approche précise à couches multiples protège les organisations au fur et à mesure qu elles créent, stockent, utilisent, distribuent et éliminent des informations dans des environnements SharePoint. Les entreprises peuvent désormais octroyer à chaque utilisateur des droits d accès appropriés, en fonction du contenu. Réduction des risques de mise en danger des données et de non-conformité réglementaire Le caractère sensible des informations stockées dans SharePoint peut grandement varier en fonction du secteur d activité, de l entreprise et du groupe fonctionnel. Les règles d entreprise et les directives réglementaires en matière de données sont conçues pour protéger l organisation et ses clients concernant les informations traitées. Les données financières, le comportement des employés, le traitement des clients, la propriété intellectuelle et les informations d identification personnelle sont autant de types de données qui doivent être classifiés et contrôlés de manière efficace, pour réduire les risques de mise en danger des informations et de non-conformité réglementaire. CA DataMinder permet de découvrir, de classifier et de protéger les informations sensibles en se fondant sur des règles métier prédéfinies, pour protéger la marque et réduire les risques indiqués ci-dessus. 12

13 Section 5 : Avantages de CA Technologies CA Content-Aware IAM vous permet non seulement de contrôler les identités et les accès des utilisateurs, mais aussi l utilisation des informations. Un contrôle et une protection efficaces des données sont impératifs pour satisfaire aux exigences de conformité de l entreprise et aux règles de sécurité, sans mettre un frein aux processus métier critiques. CA Technologies est l un des chefs de file de la gestion des systèmes d information depuis maintenant plus de trente ans, avec plus de clients dans ce domaine auprès de qui elle s est engagée à fournir des fonctionnalités de sécurité innovantes. Elle dispose d une importante équipe d experts dédiés à la sécurité, qui savent comment mener à bien le déploiement de solutions de sécurité et permettre aux clients d obtenir rapidement un retour sur investissement. CA Technologies est un éditeur de solutions de gestion des systèmes d information dont l expertise couvre tous les environnements IT : du mainframe au Cloud et des systèmes distribués aux infrastructures virtuelles. CA Technologies gère et sécurise les environnements informatiques et permet à ses clients de fournir des services informatiques plus flexibles. Grâce aux produits et aux services innovants de CA Technologies, les organisations IT disposent de la connaissance et du contrôle nécessaires pour renforcer leur agilité métier. La majorité des sociétés du classement «Fortune 500» s appuient sur CA Technologies pour gérer leurs écosystèmes IT en constante évolution. Pour plus d informations, visitez le site CA Technologies à l adresse ca.com. Copyright 2012 CA. Tous droits réservés. Microsoft SharePoint est une marque commerciale ou une marque déposée de Microsoft Corporation, aux États-Unis et/ou dans d autres pays. Tous les noms et marques déposées, dénominations commerciales, ainsi que tous les logos référencés dans le présent document demeurent la propriété de leurs détenteurs respectifs. Ce document est uniquement fourni à titre d information. CA décline toute responsabilité quant à l exactitude ou l exhaustivité des informations qu il contient. Dans les limites permises par la loi applicable, CA fournit le présent document «tel quel», sans garantie d aucune sorte, expresse ou tacite, notamment concernant la qualité marchande, l adéquation à un besoin particulier ou l absence de contrefaçon. En aucun cas, CA ne pourra être tenu pour responsable en cas de perte ou de dommage, direct ou indirect, résultant de l utilisation de ce document, notamment la perte de profits, l interruption de l activité professionnelle, la perte de clientèle ou la perte de données, et ce même dans l hypothèse où CA aurait été expressément informé de la survenance possible de tels dommages. CA ne fournit pas d assistance juridique. Aucun produit logiciel mentionné dans les présentes ne saurait vous exempter du respect des lois (notamment des textes légaux, codes, réglementations en vigueur, directives, normes, conditions applicables, ordres administratifs, décrets - appelés collectivement «Lois») citées dans le présent document ou de toute obligation contractuelle avec des tiers. Consultez un conseiller juridique compétent pour toute information concernant lesdites Lois ou obligations contractuelles. CS2120_0212