Risques d accès non autorisés : les atouts d une solution IAM

Transcription

1 Risques d accès non autorisés : les atouts d une solution IAM Comment l'entreprise peut-elle réduire ses risques informatiques liés aux droits d accès des utilisateurs Livre Blanc

2 Introduction Tous les jours, les médias font état d'incidents de sécurité informatique, tels que l'accès non-autorisé aux données de l'entreprise ou la violation de droits d'accès. Dans ce contexte, les principaux analystes (Gartner, KuppingerCole ) sont de plus en plus insistants sur la nécessité de déployer un système de gestion des identités et des accès. Les projets IAM (Identity and Access Management) sont désormais une véritable priorité pour les entreprises de toutes tailles. Comment l'entreprise peut-elle réduire son niveau de risque lié aux droits d accès des utilisateurs? A travers ce livre blanc présentant 6 bénéfices clés d une solution IAM, vous comprendrez pourquoi il est nécessaire de s'appuyer sur un système IAM qui privilégie l approche par les risques. 1. La visibilité est renforcée Il est vital que l'entreprise sache à tout instant quel compte utilisateur appartient à quel employé. L'entreprise doit pouvoir accéder en temps réel aux informations de droits d'accès de systèmes tels qu Active Directory, Lotus ou SAP. Les fonctionnalités d Access Intelligence, intégrée aux systèmes IAM les plus sophistiqués, lui permettent de s assurer que toutes les informations liées aux accès (utilisateurs, rôles, autorisations ) sont capturées et documentées. Ces fonctions de monitoring peuvent, pour les cas les plus extrêmes, nécessiter une historisation continue, de sorte que toute modification effectuée, dans le passé ou en temps réel, soit identifiée, tracée et consultable en toute simplicité. Ainsi l entreprise peut à tout instant répondre à la question «Qui a donné accès à quelle ressource et quand?». C est pourquoi les meilleures solutions du marché incluent un moteur de workflow pour automatiser et tracer les demandes d'accès, et faciliter les audits. Par ailleurs, les droits d'accès devraient être régulièrement recertifiés pour s'assurer que les employés ont les droits nécessaires et suffisants pour leurs responsabilités, et que les personnes ayant quitté l'entreprise n accèdent plus à ses différents systèmes et applications. Pour cela, une interface graphique conviviale facilitera les tâches de recertification qui incombent aux responsables d équipes. 2. Les directions métiers sont impliquées Les solutions IAM d'aujourd'hui permettent aux équipes informatiques, aux responsables sécurité (RSSI) et aux directions métiers de partager la gestion des habilitations pour gagner en efficacité. Les systèmes les plus avancés réunissent les utilisateurs métiers et les responsables informatiques, dans la mesure où ils sont faciles à utiliser, alignés avec les besoins métiers, et intégrés aux organisations les plus complexes. Ce partage des tâches simplifie l'administration des droits et réduit donc les risques potentiels. 3. La règle de séparation des tâches est appliquée Pour éviter qu un utilisateur enfreigne les directives internes, l entreprise devrait s'assurer qu aucun n employé ne cumule de droits d accès allant au-delà du périmètre nécessaire à l exécution de leur fonction. Chaque employé ne devrait disposer que des droits d'accès correspondants à ses responsabilités. Les solutions avancées d'iam incluent cette stricte séparation des tâches (SOD - Segregation of Duties). Et pour renforcer la sécurité, les rôles et droits d accès sont automatiquement contrôlés par des vérifications croisées.

3 4. Les droits d accès sont définis en fonction des rôles Créer des autorisations d'accès basées sur les rôles (RBAC - Role-Based Access Control) réduit le risque d'erreur inhérent aux autorisations manuelles. Chaque décision d'accès est basée sur le rôle auquel l'utilisateur est attaché. Les utilisateurs exerçant des fonctions similaires peuvent être regroupés sous le même rôle. Cette démarche peut d ailleurs inciter l entreprise à définir plus largement l ensemble des rôles nécessaires pour ses activités. Les solutions IAM d'aujourd'hui incluent des autorisations basées sur les rôles qui permettent de relier les informations utilisateurs d ordre techniques et organisationnelles. Elles donnent à l entreprise la flexibilité nécessaire pour créer à la fois des rôles statiques et dynamiques. 5. La conformité informatique est assurée Assurer la conformité de ses systèmes informatiques pour répondre aux obligations légales est une démarche complexe mais nécessaire. Pour mener à bien cet objectif, l entreprise privilégiera un outil de gestion des accès conçu en parfaite adéquation avec ces normes et référentiels dans le but de faciliter les audits tout en assurant un niveau de sécurité maximal. En particulier, pour se conformer avec plus de facilité à la norme ISO 2700X, l entreprise s appuiera sur une solution qui intègre des tests de sécurité et des procédures d'audit dynamique en ligne avec les exigences de la norme. Des procédures de contrôle personnalisées pourront également être définies pour faire appliquer la règlementation interne de l entreprise. 6. Les processus de gouvernance sont confortés Afin de mettre en œuvre une gouvernance informatique efficace, l entreprise cherche à connaître les risques potentiels liés aux accès des utilisateurs. A l aide de rapports dynamiques et d une interface graphique optimisée pour manipuler les données, l analyse intelligente des accès associés aux utilisateurs permet d identifier d éventuelles failles et le niveau de risque généré. Un grand nombre de rapports standards doivent être inclus. Ces tableaux de bords pourront également être personnalisés afin d offrir le niveau de détail nécessaire en fonction de l utilisation qui en est faite par les auditeurs internes ou externes, les responsables sécurité informatique, ou la Direction. D ailleurs, l entreprise aura d autant plus de facilité à contrôler la conformité des accès si la solution permet de décentraliser l exécution des audits au profit d utilisateurs non-informaticiens comme les auditeurs ou les responsables métiers. Ces outils d analyse favorisent ainsi la correction rapide d'erreur d'autorisation, pour une gouvernance améliorée et un niveau de risque réduit. S'appuyer sur une solution IAM basée sur les risques aide l entreprise à analyser puis résoudre les problèmes potentiels avec plus de rapidité. Les outils d'iam sophistiqués comme SAM Enterprise Identity Manager et Garancy Access Intelligence Manager de Beta Systems permettent aux directeurs métiers, aux responsables informatiques et aux auditeurs de contribuer à minimiser les risques à l'échelle de l'entreprise.

4 Beta Systems accompagne plus de clients dans le monde pour assurer la sécurité de leurs processus informatiques et ainsi répondre aux exigences de gouvernance, gestion des risques et conformité (GRC). Fort d une expérience de 20 ans dans le domaine IAM, Beta Systems propose une suite logicielle complète de gestion de l accès aux ressources informatiques basée sur l identité et les rôles des utilisateurs. Garancy Access Intelligence Manager est un outil de business intelligence dédié à l analyse et l aide à l audit permettant de visualiser la conformité des droits donnés aux utilisateurs et d évaluer les risques d accès grâce à des rapports standards et personnalisables. SAM Business Process Workflow facilite la gestion des workflows en automatisant la certification et la recertification des utilisateurs et de leurs droits. La solution permet ainsi de faire appliquer les règles de gouvernance informatique. SAM Enterprise Identity Manager est un puissant outil de provisioning disposant de connexions à plus de 50 systèmes cibles et permettant de gérer les identités et accès aux ressources de toutes les plateformes et applications. Beta 88 Access Management offre des fonctionnalités d administration, d audit et de contrôle de conformité via une interface Windows ou Web, et de surveillance en temps réel des événements RACF grâce à l enregistrement et l analyse des données SMF. Beta 96 Compliance Auditor permet un audit dynamique et multiplateforme des systèmes informatiques afin de détecter et analyser les événements critiques et assurer un contrôle de la sécurité informatique. La solution intègre des tests de sécurité et des procédures d'audit conformes à la norme ISO 2700X.

5 A propos de Beta Systems Beta Systems est un éditeur européen de solutions logicielles pour les entreprises. Nous développons des outils de sécurisation des traitements de grands centres informatiques, et des solutions de gestion des identités et de gouvernance des accès (IAM/IAG). L offre de Beta Systems en matière de gestion des datacenters et de cybersécurité des entreprises, permet à plus de 1300 clients dans le monde d assurer la sécurité de leurs processus IT et répondre aux exigences de gouvernance, gestion des risques et conformité. Nos clients sont de grandes entreprises leaders sur des secteurs tels que Banque & Assurance, Finance, Industrie, Transport, Santé. La société est basée à Berlin et commercialise ses produits dans le monde à travers ses 14 filiales et son réseau de partenaires. Beta Systems France est la filiale française depuis plus de 25 ans, en charge de l Europe de l Ouest (France, Espagne, Portugal et Benelux). Pour en savoir plus, visitez Retrouvez toute l actualité Beta Systems sur Linked In et Twitter. Nous contacter marketing-f@betasystems.com Livre Blanc Janvier 2015 Bastien MEAUX Responsable Marketing Beta Systems Software

6