Avec des entreprises qui créent et utilisent des volumes de données croissants et des protocoles de plus en plus complexes, les questions de sécurité et de gestion des droits des utilisateurs sont au cœur des décisions. La prévention des risques au niveau des serveurs est devenue essentielle, ce qui a fait naître de nombreuses règlementations.
Les règlementations en matière de sécurité informatique varient d’un pays à l’autre, voire même d’une industrie à l’autre. Par contre, la problématique en amont est la même : comment assurer l’intégrité d’un volume de données toujours plus grand et permettre aux entreprises de mener leurs activités tout en étant conformes aux exigences de différents organismes.
C’est dans ce contexte que les auditeurs avisent les entreprises des risques potentiels qu’elles courent et recommandent des ajustements afin d’éviter les désagréments. Les utilisateurs puissants des serveurs, c’est-à-dire ceux qui possèdent des privilèges et des droits d’accès cruciaux aux systèmes informatiques, ont un rôle essentiel pour permettre la continuité des affaires. Cependant, ce rôle comporte aussi des risques que les entreprises cherchent à canaliser.
Les pirates informatiques captivent le public et la presse en général. Or, ce genre d’infraction à la Anonymous reste très rare dans le milieu des affaires. Le véritable cheval de bataille des entreprises provient plutôt des fraudes et des erreurs commises à l’interne par les utilisateurs qui possèdent des droits d’accès à des données ou fonctions sensibles. Quelques exemples ont fait les manchettes ces derniers mois comme Ashley Madison ou la Multi-State Lottery Association.
L’étude PWC 2014 Information Security Breaches Survey montre que 58% des grandes entreprises ont subi des failles de sécurité causées par leur personnel. Cette étude révèle également que 31% des plus importantes failles de sécurité ont été causées par des erreurs humaines commises par inadvertance et 20% par une mauvaise utilisation délibérée des systèmes.
Que cela soit une fraude commise par un utilisateur puissant ou, plus fréquemment, une erreur humaine, les conséquences d’un sabotage, d’une désynchronisation ou d’une panne dans les bases de données peuvent être catastrophiques. D’importantes pertes financières sont probables et, plus important encore, l’image et la crédibilité de l’entreprise peuvent souffrir longtemps d’une perte de confiance de sa clientèle. Ces problématiques dictent de plus en plus les recommandations des audits.
Si identifier et comprendre la source du risque est plutôt simple, déterminer et gérer les limites de pouvoir d’un utilisateur sans nuire à sa productivité peut s’avérer difficile. Aujourd’hui, ceci est simplifié par le processus d’élévation temporaire des droits géré par une application telle qu’EAM de Cilasoft.
D’une part, le processus d’élévation temporaire permet d’établir les droits essentiels de l’utilisateur sur les serveurs IBM i, c'est-à-dire les droits et privilèges dont il a besoin pour effectuer la vaste majorité de ses tâches, afin que son rendement ne soit pas affecté par la nouvelle procédure.
D’autre part, la technologie permet d’attribuer ponctuellement un niveau de privilège supérieur en fonction de la situation ou du problème, et ce à toute heure du jour. En automatisant le processus de permission exceptionnelle grâce à un protocole d’urgence, l’utilisateur peut avoir recours, en tout temps, à des droits additionnels temporaires.
Ce protocole informatique et polyvalent ne nuit donc ni à la productivité des utilisateurs ni à la confiance placée en leurs compétences. En fait, il permet de protéger les utilisateurs (et les données) en limitant les possibilités de faire de fausses manipulations sur des données critiques. D’autre part, le système enregistre un log de toutes les actions prises. Cette solution permet de documenter l’ensemble du processus d’élévation pour une meilleure transparence des opérations.
Le rapport des enregistrements est ensuite retransmis aux responsables, la plupart du temps l’audit interne, ce qui facilite l’examen des règlementations et des processus de sécurité de l’entreprise.
Dans le passé, les questions de sécurité informatique ont été souvent négligées par les hautes sphères de la direction. L’insistance des audits à l’égard des utilisateurs puissants renverse maintenant cette tendance et apporte un nouvel équilibre.
Aujourd’hui, les responsables de la sécurité côtoient de plus en plus le conseil de direction des entreprises. Cette nouvelle réalité se traduit par un processus de décision plus collégial en matière de gestion du risque. Les compagnies sont donc plus susceptibles de mettre en place des procédures de contrôle des droits comme celles que propose Cilasoft.
Crédit photo : © piyaphat - Fotolia.com