Au 20e siècle, les cyberattaques étaient plus difficiles à exécuter car la plupart des ordinateurs n’étaient pas en réseau, l’internet était encore inconnu, seuls quelques groupes de personnes avaient accès aux ordinateurs et, plus encore, il n’y avait pas de motivation majeure.
La situation est tout à fait différente aujourd’hui. À cette époque où la collecte de données est médiocre et où les pratiques en matière de protection de la vie privée sont peu développées,le vol de données et les interruptions de service peuvent rapporter beaucoup d’argent. En fait, un rapport de l’université du Maryland indique qu’en moyenne, une nouvelle cyberattaque se produit toutes les 39 secondes dans le monde. La plupart des organisations se contentent de rattraper les cybercriminels en colmatant les brèches au fur et à mesure, alors qu’elles devraient plutôt trouver de meilleurs moyens de protéger leurs systèmes. La première étape de cette tentative devrait être une bonne politique de contrôle d’accès.
Qu’est-ce que le contrôle d’accès ?
Le contrôle d’accès détermine qui est autorisé à pénétrer dans le réseau de l’organisation et qui peut accéder à quelles données une fois qu’il y est entré. Il établit une hiérarchie de niveaux d’accès et de permissions ou de restrictions pour les individus, de sorte que seules les personnes autorisées puissent accéder aux informations sensibles.
Pour illustrer la situation, imaginons que votre entreprise soit une boîte de nuit ; le contrôle d’accès en serait le videur. Il vérifie les pièces d’identité à l’entrée, s’assure qu’elles ne sont pas fausses, puis laisse entrer les gens. Une fois qu’ils sont à l’intérieur, il définit des autorisations supplémentaires au sein du club. Par exemple, il faudra probablement établir une sous-liste spécifique pour la section VIP ; le personnel en cuisine devra peut-être avoir accès à la porte secondaire ; la caisse ne pourra être confiée qu’à un petit nombre d’employés de haut niveau ; et ainsi de suite. Les complexités deviennent exponentielles en fonction de l’ampleur de ce que vous devez protéger. La création et la gestion de telles exigences d’accès étendues est la mission d’une stratégie de contrôle d’accès.
Pourquoi le contrôle d’accès est-il vital pour votre organisation ?
En mettant en œuvre des mesures de contrôle d’accès, les organisations peuvent protéger les données sensibles ou confidentielles contre tout accès, modification ou divulgation non autorisés, se conformer aux exigences légales et réglementaires et atténuer le risque de menaces internes. Les mesures de contrôle d’accès peuvent également renforcer la responsabilité et les enquêtes en surveillant et en enregistrant les tentatives d’accès et les actions.
Types de contrôles d’accès
Avant de mettre en œuvre une politique de contrôle d’accès efficace dans votre organisation, vous devez connaître les différents types de modèles disponibles. Chacun des modèles suivants répond à un besoin spécifique.
-
Contrôle d’accès obligatoire (MAC) : L’accès est accordé lorsque les labels de sécurité des données correspondent à celles de l’utilisateur. Si un utilisateur a une étiquette de sécurité “top secret”, il peut accéder à des informations “top secret”. Cette méthode fonctionne le mieux dans des environnements très restreints tels que les agences militaires et de renseignement.
-
Contrôle d’accès basé sur les rôles (RBAC) : Ce modèle est basé sur le principe du moindre privilège, ce qui signifie que les utilisateurs n’ont accès qu’aux données nécessaires à leur fonction. Ce modèle est particulièrement adapté aux grandes organisations où l’attribution d’un accès individuel peut s’avérer difficile. Chaque employé ayant le même rôle peut se voir accorder ou refuser l’accès en une seule fois.
-
Le contrôle d’accès discrétionnaire (DAC) : Les propriétaires de données peuvent définir des politiques d’accès et accorder ou restreindre l’accès selon leur propre appréciation. Ce type de contrôle fonctionne mieux dans les petites organisations où la confiance entre les utilisateurs est plus grande.
-
Contrôle d’accès basé sur les attributs (ABAC) : L’accès aux données est basé sur un ensemble d’attributs donnés à un utilisateur, tels que le rôle, la fonction, l’heure de la journée ou l’emplacement. Ce type de contrôle fonctionne mieux dans des secteurs tels que les soins de santé ou la finance, où il est nécessaire de mettre en place des politiques de contrôle d’accès plus granulaires et plus souples.
Comment mettre en œuvre une politique de contrôle d’accès qui vous convienne le mieux ?
Quel que soit le modèle choisi, sa mise en œuvre et son application impliquent les étapes suivantes :
-
Définir le champ d’application et identifier le modèle : Découvrez quelles sont les données sensibles pour votre organisation et qui doivent être protégées contre tout accès, modification ou divulgation non autorisés. Choisissez l’un des modèles susmentionnés sur la base duquel vous élaborerez votre politique de contrôle d’accès.
-
Élaborer une politique de contrôle d’accès : Élaborer des règles et des procédures qui régiront la manière dont l’accès est accordé, modifié et révoqué. Cela peut inclure l’authentification, l’autorisation et l’audit. Incluez des politiques individuelles qui couvrent tous vos besoins en matière de sécurité, tels que les mots de passe, l’accès physique, l’accès à distance et les politiques d’audit.
-
Mettre en œuvre les mesures de contrôle d’accès : Mettez en œuvre votre politique de contrôle d’accès en configurant les comptes d’utilisateurs, en définissant les autorisations et en activant l’audit. Assurez-vous que tous les utilisateurs et administrateurs concernés par la politique sont formés à leur rôle et à leurs responsabilités en matière de respect et d’application de la politique.
-
Contrôler et évaluer la politique : Il est toujours utile de disposer d’une boucle de rétroaction pour déterminer l’efficacité de la politique. Examinez les journaux d’accès, procédez à des évaluations de la sécurité et identifiez les domaines dans lesquels la politique doit être mise à jour ou révisée.
L’art de rationaliser la gestion du contrôle d’accès
Qu’il s’agisse d’un modèle DAC simple, d’un modèle RBAC plus complexe ou d’un modèle ABAC plus fin, la création et la gestion d’une politique d’accès n’est pas chose aisée. Un peu d’aide ne fait pas de mal. C’est là que ManageEngine DataSecurity Plus entre en jeu. Grâce à lui, vous pouvez facilement localiser les incohérences au niveau des autorisations, identifier les fichiers surexposés, vérifier si le principe du moindre privilège est respecté, et bien plus encore. Pour en savoir plus sur ses capacités d’analyse des autorisations, cliquez ici. Commencez dès aujourd’hui à utiliser DataSecurity Plus grâce à une version d’essai gratuite de 30 jours.
Source : Access granted: Mastering the art of permissions by Hari Kumar