Aller au contenu
La gouvernance des identités et des accès est parfois présentée comme « la cerise sur le gâteau », comme une question de confort, mais n’est pas perçue de
prime-abord comme une réelle opportunité de réduire le risque encouru par votre entreprise.
Pourtant, à quoi servirait de renforcer les murs de votre coffre-fort si vous ignorez comment et à qui sont données les clés ?
Pour une bonne défense de vos ressources critiques, il paraît évident que ces deux questions vont de pair, et que des « Quick-Win » sont possibles lorsque l’on s’intéresse à l’amélioration de votre gouvernance des accès.
L’exemple du Ransomware, décrit ci-dessous, montre comment l’IAG réduit le risque ou atténue les impacts liés aux actes malveillants
Bien évidemment, une bonne gestion des accès n’est pas d’emblée un rempart contre les ransomwares. Le patch management, la formation/sensibilisation de vos utilisateurs et l’équipement en anti-virus sont les premières pratiques à entreprendre pour tenter de prévenir l’attaque.
Ceci étant, même bien outillé, il est particulièrement difficile de garantir qu’il n’y ait pas une brèche par laquelle le malware entrerait. Et dans ce cas, quels en seraient les impacts ? Les dégâts seront proportionnels aux droits de l’utilisateur qui subira l’attaque.
La restauration de vos fichiers endommagés peut vous faire perdre le travail de la journée (ou plus ?), entraînant des coûts se chiffrant en milliers voire millions d’euros.
Dans de nombreux cas qui ont été relatés encore dernièrement, il s’avère que les droits d’accès des utilisateurs concernés étaient à 50% voire à 75% non légitimes, et nombreux sont les fichiers qui n’auraient pas été détruits si ces droits n’avaient pas été attribués.
Sans empêcher l’attaque elle-même, un bon contrôle de vos accès, et une revue de vos droits sérieuse et outillée vous permettra une réduction de la surface d’exposition au risque, et limitera les dommages causés par de telles attaques.
La gouvernance des identités et des accès réduit de nombreux autres risques
Aujourd’hui plus qu’hier, le nombre important d’utilisateurs et leur mobilité, ainsi que le nombre croissant d’applications ont rendu la gestion de vos accès très complexe.
Le besoin de travailler dans l’urgence fait que certaines personnes ont acquis des droits d’accès à certaines données qu’elles ne sont pas ou ne sont plus en droit d’avoir.
Dans de nombreuses organisations, il y a des droits accordés qui n’ont pas ou n’ont plus lieu d’être.
Dans quelles proportions ? Répondre à cette question peut prendre des mois si on se limite à prendre une équipe de consultants pour réaliser un audit (qui sera déjà obsolète à sa fin) sans outil.
Pourtant ce contrôle est devenu indispensable, voire obligatoire à la vue de vos normes et réglementations de plus en plus fortes et relayées par votre contrôle interne et/ou vos commissaires aux comptes.
Aujourd’hui, pour une parfaite maîtrise des risques au niveau des accès, les entreprises doivent se doter d’une solution leur permettant de voir et d’intervenir sur les droits logiques de toute personne ayant accès au Système d’Information.