OPTRIUM
  français anglais

antoine Berthier

Antoine BERTHIER
Président

LA GOUVERNANCE EN QUESTION

Le sujet n’est pas nouveau et toutes les entreprises s’y penchent avec plus ou moins d’attention. Le récent décret européen sur la sécurité des données personnelles (GDPR) secoue les volontés et oblige tous les détenteurs de SI à s’interroger sur leurs données, leurs contenus, leurs accès, leurs sensibilités…

Les acteurs du marché positionnés sur le sujet continuent à progresser avec leurs solutions clefs en main, permettant à chaque entreprise de justifier l’acquisition d’une solution allant dans le sens du décret.

Trois solutions s’offrent à vous :

  • L’acquisition (CAPEX) , pour un usage continu impliquant des ressources qualifiées et disponibles
  • La souscription annuelle (OPEX) , avec les mêmes besoins
  • L’audit ponctuel (OPEX), mais régulier effectué par une sous-traitance qualifiée, utilisant les mêmes outils, fournissant des états permettant des actions correctives et analytiques.

Cette troisième option, à faible budget, permet également d'utiliser ces outils sans investissement financier, et d’obtenir suffisamment d’information pour traiter les dysfonctionnements sécuritaires découverts lors des scans. Quitte à s’équiper par la suite...

La Gouvernance des systèmes d’information peut ainsi se décomposer en trois niveaux :

  • Systèmes : par l’analyse des failles de sécurité des OS, applis et web service
  • Données : par la classification des informations selon leurs contenus, leurs usages, leurs types
  • Utilisateurs : par la détection des comportements standards ou anormaux quant aux accès aux données.

Nous vous proposons de découvrir ci-dessous l’audit de gouvernance qui reste une réponse simple et efficace pour qui veut s’assurer de la bonne configuration des accès au sein de son SI, élément primordial à la sécurité mais pas toujours aussi bien défini qu’on le pense.


vinoth-siva

Vinoth SIVA
Consultant Produits Gouvernance

AUDIT DE GOUVERNANCE

Besoins et actions

Les données non structurées (fichiers, mails) ou structurées (Bases de données) des entreprises sont en pleine explosion et hors de contrôle. Les utilisateurs accumulent de plus en plus d’autorisations avec le temps et les entreprises sont dans l’incapacité d’identifier et de gérer qui peut avoir accès aux données, les permissions excessives, les permissions spéciales, etc...

L’audit de gouvernance apporte une réponse rapide, simple et efficace à cette problématique. Nous avons interrogé Vinoth Siva, Consultant Produits Gouvernance chez Optrium, qui nous en explique le fonctionnement. Interview.

Dans quel contexte les entreprises ont-elles besoin d’audit de Gouvernance ?

Plusieurs situations conduisent les entreprises à nous demander un audit.

  • Pour toutes les structures qui n’ont pas de solution de gouvernance de données et au sein desquelles les ressources sont accumulées sur le SI.
  • Lorsqu’une entreprise envisage de compléter ses licence et qu’elle a, par exemple, besoin d’un audit des ressources utilisées au sein du SI.
  • Lors de fusion ou d’acquisition ; ou encore dans le cas où l’entreprise revisite ses règles de conformité.

Toutes les sociétés sont concernées dès lors qu’elles brassent une certaine volumétrie de données, ou à partir de 100 personnes environ.

La majeure partie des ressources utiles du SI sont auditables :  AD, SharePoint, messagerie, serveur de fichier, baies de fichiers, …

Quelle est la nature de la prestation proposée par Optrium en matière d’audit de gouvernance ?

Il s’agit d’une prestation d’audit de sécurité qui est réalisée à l’aide d’un module dédié qui se compose d’une solution portable et ponctuelle d’analyse des permissions. Cette approche est moins impactante pour l’entreprise que l’achat d’une solution, notamment en termes de budget comme de ressources.

La prestation commence par l’installation d’une machine virtuelle ou l’utilisation d’un portable préconfiguré avec ce module, permettant d’effectuer un scan complet des permissions (partages de fichiers, messagerie, SharePoint…).

Son usage est ponctuel par environnement choisi, l’audit montrant alors une cartographie de l’état des droits sur la partie du SI concerné.

Quel est l’intérêt d’un tel audit ?

Au fil du temps, les Systèmes d’Informations bougent et le DSI/RSSI manque souvent de visibilité sur l’ensemble du SI.

L’objectif de l’audit est de fournir les cartographies nécessaires pour permettre une remédiation aux risques de sécurité détectés. On dispose ainsi d’une visibilité claire et d’un état complet des permissions en cours et de recommandations au travers du pointage des autorisations excessives ou inadaptées…

Cette opération, à faible coût par rapport à l’acquisition d’une solution complète in situ, fournit une vision instantanée de la situation.

 


Si on prend le cas du système de messagerie, le rapport peut montrer, par exemple, que tout le monde a accès à la boite d’un dirigeant alors qu’il pensait ne l’avoir ouverte qu’à son assistante.

Une fois la restitution faite, les contrôles d’accès, les dossiers en consultation, les défaillances de l’organisation de l’active directory peuvent être remédiées… Un utilisateur changeant de service ou un employé sortant peuvent également voir leurs droits vérifiés par ce biais. Cela peut également révéler que des données sensibles peuvent être consultées par un nombre important de personnes…

Une fois la restitution faite, on dispose d’une visibilité sur les ressources auditées, contrôles d’accès, dossiers en consultation, défaillances de l’organisation de l’active directory…

Cela est aussi pertinent au niveau du capacity planning afin de connaître le nombre de licences utilisées ou encore pour gérer l’espace de stockage sur un serveur de fichiers. En effet, l’audit peut sortir un pourcentage de dossiers modifiés durant les 6 derniers mois et identifier ceux qui n’ont pas bougé de façon à permettre aux administrateurs de stocker ailleurs ou d’archiver les dossiers obsolètes.

Comment la prestation se déroule-t-elle ?

Une fois l’installation faite, toutes les ressources sont scannées et collectées. Optrium rédige ensuite un rapport orienté selon les besoins du client qui servira à remanier la configuration du SI ou à remédier à des défaillances mises en lumière. Cela permet une vision instantanée de toutes les défaillances et des solutions de remédiation. Il faut compter environ 1 semaine comprenant l’installation et le traitement des métadonnées (rapport).

Quels sont les retours de vos clients sur cette prestation ?

Ils apprécient généralement que la prestation ne nécessite pas d’investissement (budget de fonctionnement seul). Certains ont fait réaliser un audit par leurs équipes internes mais ils en sont revenus car cela reste très chronophage lorsque l’on ne dispose pas de l’outil adéquat permettant une vision globale.

Nos équipes restent à l’écoute des clients et peuvent se rendre disponibles rapidement de façon unitaire voire récurrente.

© 2016 - Optrium 171 avenue George Clémenceau - 92000 Nanterre (France)

www.optrium.fr - Tél. : 01 55 17 35 00 - Mail : info@optrium.fr