Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus
Blog Sécurité des données

La différence entre le provisionnement des utilisateurs dans l’IAM et la gestion de l’accès aux données

La capacité de provisionnement des utilisateurs de l’IAM (gestion des identités et des accès) et la fonction de gestion de l’accès aux données gèrent toutes deux l’accès. Toutefois, le provisionnement...
Michael Buckbee
3 minute de lecture
Dernière mise à jour 3 novembre 2021

Contenu

    La capacité de provisionnement des utilisateurs de l’IAM (gestion des identités et des accès) et la fonction de gestion de l’accès aux données gèrent toutes deux l’accès. Toutefois, le provisionnement ne se substitue pas à, et ne remplace pas, la gestion de l’accès aux données. Les nuances qui existent entre les deux suffisent à les placer dans deux catégories différentes. Toutes deux sont importantes et connaître leurs différences vous aidera à déterminer l’outil adapté à chaque tâche.

    Qu’est-ce que le provisionnement des utilisateurs ?

    Le provisionnement des utilisateurs est la création et la gestion de l’accès aux ressources de l’organisation. L’accès peut aller des comptes informatiques (CRM, Salesforce, messagerie, etc.) jusqu’aux équipements non informatiques et ressources telles que badge d’accès, téléphone, voiture, etc.

    Les administrateurs informatiques responsables de la fourniture des accès savent qu’un provisionnement manuel peut être fastidieux, complexe et propice aux erreurs, même armé d’une liste de contrôle.

    Bien entendu, il est toujours possible d’utiliser les services d’annuaire pour automatiser le workflow de provisionnement. Et la gestion de ces droits d’accès doit se poursuivre même lorsque les responsabilités de ces personnes évoluent et qu’elles quittent l’organisation.

    Les systèmes d’IAM automatisent ce processus. Pour rationaliser le provisionnement, les organisations créent des modèles, appelés « rôles » qui regroupent et affectent des valeurs spécifiques aux comptes. Par exemple, tout employé travaillant à temps complet dans le service financier recevra le même type d’accès : un compte de messagerie électronique, une autorisation de stationnement et l’accès aux systèmes de facturation et de paiement. Au cours de sa carrière, il pourra arriver que l’employé du service financier change de poste et rejoigne le service juridique. L’IAM facilitera le changement de rôle. L’utilisateur étant toujours un employé, il conservera son adresse e-mail et son accès au parking, mais le système révoquera ses droits d’accès aux systèmes de facturation et de paiement, et lui accordera un accès à l’outil eDiscovery et de gestion des dossiers.

    Jusque-là, rien ne donne à penser que vous ne pouvez pas fournir l’accès aux données de la même façon : autoriser l’accès aux utilisateurs qui en ont besoin et le gérer selon les besoins.

    Téléchargez un Livre-Blanc sur les 5 menaces pesant sur le télétravail, et comment s'en protéger

    "Face aux crises, le recours au télétravail connaît une croissance exponentielle, préparez-vous"

    Alors, où est le problème ?

    Les organisations qui utilisent des solutions d’IAM partent souvent du principe que les groupes de sécurité et les rôles en place correspondent aux structures de données sous-jacentes contenant les données de l’organisation. Malheureusement, même s’il arrive que les utilisateurs soient dans les bons groupes, ils finissent inévitablement par disposer d’un accès aux données bien plus large que nécessaire ou que leur poste ne l’exige.

    Bien sûr, les solutions d’IAM disposent de listes complètes des utilisateurs et groupes, issues des services d’annuaire. Toutefois, l’une des principales difficultés est de mapper ces utilisateurs et groupes sur les listes de contrôle d’accès (LCA) qui contrôlent l’accès aux données elles-mêmes.

    De plus, l’IAM n’a pas la capacité de déterminer quels utilisateurs accèdent à quels fichiers et, plus important encore, il n’identifie pas quels dossiers et fichiers contiennent des données sensibles.

    Comment l’accès aux données fonctionne réellement

    Les LCA contrôlent l’accès aux données.

    Ainsi, si la LCA d’un objet de fichier contient (Allen: lecture, écriture ; Jared: lecture), Allen a alors un droit en lecture et en écriture sur les données du fichier tandis que Jared pourra uniquement lire les données.

    La meilleure pratique de gestion des accès passe par les groupes. Une LCA type est constituée de groupes disposant de droits divers – par exemple, la LCA possèdera un groupe doté de droits en lecture et un autre groupe possédant des droits en lecture et écriture. Ensuite, pour accorder l’accès, il suffit d’ajouter des utilisateurs aux groupes correspondant aux accès souhaités.

    En théorie, il semble qu’il soit assez facile de contrôler et gérer les accès aux données en veillant à ce que les bons utilisateurs soient dans les bons groupes et les groupes adéquats dans les LCA.

    Voilà ce qui se produit en réalité : avec le temps, les liens entre les utilisateurs, les groupes et les données se brisent. Souvent, des utilisateurs sont ajoutés aux groupes et n’en sont jamais retirés. Les LCA sont modifiées pour inclure des groupes qui ne sont pas liés aux données que la LCA était chargée de protéger initialement – ou même pire, des groupes sont ajoutés à d’autres groupes, ce qui complique encore la situation et entraîne un effet ricochet encore plus large.

    Pour gérer correctement l’accès aux données, il est essentiel de veiller à ce que les groupes de sécurité accordent véritablement l’accès aux bons ensembles de données. Ce lien est essentiel pour éviter toute conséquence imprévue comme l’ajout d’un utilisateur à un groupe en apparence inoffensif mais permettant, via un phénomène d’imbrication de groupe, d’accéder à des données professionnelles critiques ou sensibles.

    Tout est dans les détails

    Pour résumer, nous avons expliqué la complexité des détails pratiques de la gestion de l’accès aux données. Oui, le provisionnement des accès des utilisateurs aux ressources informatiques est une forme de gestion des accès et donc très important pour la sécurité, mais il ne constitue pas une forme adaptée d’accès aux données ni de sécurité des données.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Michael Buckbee
    Michael Buckbee

    Michael a travaillé en tant qu'administrateur système et développeur de logiciels pour des start-ups de la Silicon Valley, la marine américaine, et tout ce qui se trouve entre les deux.

    Testez Varonis gratuitement.
    Un résumé détaillé des risques liés à la sécurité de vos données.
    Stratégie claire vers une remédiation automatisée.
    Déploiement rapide.
    Commencez votre évaluation gratuite Afficher un exemple
    Keep reading
    guide-de-l’acheteur-de-dspm
    Guide de l’acheteur de DSPM
    guide-de-l’acheteur-de-dspm
    Rob Sobers
    13 mars 2024
    Comprenez les différents types de solutions DSPM, évitez les pièges les plus courants et posez les bonnes questions pour vous assurer que vous achetez une solution de sécurité des données qui répond à vos besoins spécifiques.
    derrière-la-refonte-de-la-marque-varonis
    Derrière la refonte de la marque Varonis
    derrière-la-refonte-de-la-marque-varonis
    Courtney Bernard
    20 février 2024
    Découvrez la stratégie derrière la refonte de Varonis qui impliquait une transition complète vers un archétype de héros et l'introduction de Protector 22814.
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Tendances en matière de cybersécurité pour 2024 : ce que vous devez savoir
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Lexi Croisdale
    25 janvier 2024
    Apprenez-en davantage sur la gestion de la posture en matière de sécurité des données, les risques liés à la sécurité de l’IA, les changements en termes de conformité et bien plus encore pour préparer votre stratégie en matière de cybersécurité pour 2024.
    trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
    Trois façons dont Varonis vous aide à lutter contre les menaces internes
    trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
    Shane Walsh
    14 novembre 2023
    Les entreprises ont du mal à lutter contre les menaces internes. Pour lutter contre elles, Varonis s’appuie sur la « triade de la sécurité des données » (sensibilité, accès et activité).