La différence entre le provisionnement des utilisateurs dans l’IAM et la gestion de l’accès aux données

La capacité de provisionnement des utilisateurs de l’IAM (gestion des identités et des accès) et la fonction de gestion de l’accès aux données gèrent toutes deux l’accès. Toutefois, le provisionnement...
Michael Buckbee
3 minute de lecture
Dernière mise à jour 3 novembre 2021

La capacité de provisionnement des utilisateurs de l’IAM (gestion des identités et des accès) et la fonction de gestion de l’accès aux données gèrent toutes deux l’accès. Toutefois, le provisionnement ne se substitue pas à, et ne remplace pas, la gestion de l’accès aux données. Les nuances qui existent entre les deux suffisent à les placer dans deux catégories différentes. Toutes deux sont importantes et connaître leurs différences vous aidera à déterminer l’outil adapté à chaque tâche.

Qu’est-ce que le provisionnement des utilisateurs ?

Le provisionnement des utilisateurs est la création et la gestion de l’accès aux ressources de l’organisation. L’accès peut aller des comptes informatiques (CRM, Salesforce, messagerie, etc.) jusqu’aux équipements non informatiques et ressources telles que badge d’accès, téléphone, voiture, etc.

Les administrateurs informatiques responsables de la fourniture des accès savent qu’un provisionnement manuel peut être fastidieux, complexe et propice aux erreurs, même armé d’une liste de contrôle.

Bien entendu, il est toujours possible d’utiliser les services d’annuaire pour automatiser le workflow de provisionnement. Et la gestion de ces droits d’accès doit se poursuivre même lorsque les responsabilités de ces personnes évoluent et qu’elles quittent l’organisation.

Les systèmes d’IAM automatisent ce processus. Pour rationaliser le provisionnement, les organisations créent des modèles, appelés « rôles » qui regroupent et affectent des valeurs spécifiques aux comptes. Par exemple, tout employé travaillant à temps complet dans le service financier recevra le même type d’accès : un compte de messagerie électronique, une autorisation de stationnement et l’accès aux systèmes de facturation et de paiement. Au cours de sa carrière, il pourra arriver que l’employé du service financier change de poste et rejoigne le service juridique. L’IAM facilitera le changement de rôle. L’utilisateur étant toujours un employé, il conservera son adresse e-mail et son accès au parking, mais le système révoquera ses droits d’accès aux systèmes de facturation et de paiement, et lui accordera un accès à l’outil eDiscovery et de gestion des dossiers.

Jusque-là, rien ne donne à penser que vous ne pouvez pas fournir l’accès aux données de la même façon : autoriser l’accès aux utilisateurs qui en ont besoin et le gérer selon les besoins.

Téléchargez un Livre-Blanc sur les 5 menaces pesant sur le télétravail, et comment s'en protéger

"Face aux crises, le recours au télétravail connaît une croissance exponentielle, préparez-vous"

Alors, où est le problème ?

Les organisations qui utilisent des solutions d’IAM partent souvent du principe que les groupes de sécurité et les rôles en place correspondent aux structures de données sous-jacentes contenant les données de l’organisation. Malheureusement, même s’il arrive que les utilisateurs soient dans les bons groupes, ils finissent inévitablement par disposer d’un accès aux données bien plus large que nécessaire ou que leur poste ne l’exige.

Bien sûr, les solutions d’IAM disposent de listes complètes des utilisateurs et groupes, issues des services d’annuaire. Toutefois, l’une des principales difficultés est de mapper ces utilisateurs et groupes sur les listes de contrôle d’accès (LCA) qui contrôlent l’accès aux données elles-mêmes.

De plus, l’IAM n’a pas la capacité de déterminer quels utilisateurs accèdent à quels fichiers et, plus important encore, il n’identifie pas quels dossiers et fichiers contiennent des données sensibles.

Comment l’accès aux données fonctionne réellement

Les LCA contrôlent l’accès aux données.

Ainsi, si la LCA d’un objet de fichier contient (Allen: lecture, écriture ; Jared: lecture), Allen a alors un droit en lecture et en écriture sur les données du fichier tandis que Jared pourra uniquement lire les données.

La meilleure pratique de gestion des accès passe par les groupes. Une LCA type est constituée de groupes disposant de droits divers – par exemple, la LCA possèdera un groupe doté de droits en lecture et un autre groupe possédant des droits en lecture et écriture. Ensuite, pour accorder l’accès, il suffit d’ajouter des utilisateurs aux groupes correspondant aux accès souhaités.

En théorie, il semble qu’il soit assez facile de contrôler et gérer les accès aux données en veillant à ce que les bons utilisateurs soient dans les bons groupes et les groupes adéquats dans les LCA.

Voilà ce qui se produit en réalité : avec le temps, les liens entre les utilisateurs, les groupes et les données se brisent. Souvent, des utilisateurs sont ajoutés aux groupes et n’en sont jamais retirés. Les LCA sont modifiées pour inclure des groupes qui ne sont pas liés aux données que la LCA était chargée de protéger initialement – ou même pire, des groupes sont ajoutés à d’autres groupes, ce qui complique encore la situation et entraîne un effet ricochet encore plus large.

Pour gérer correctement l’accès aux données, il est essentiel de veiller à ce que les groupes de sécurité accordent véritablement l’accès aux bons ensembles de données. Ce lien est essentiel pour éviter toute conséquence imprévue comme l’ajout d’un utilisateur à un groupe en apparence inoffensif mais permettant, via un phénomène d’imbrication de groupe, d’accéder à des données professionnelles critiques ou sensibles.

Tout est dans les détails

Pour résumer, nous avons expliqué la complexité des détails pratiques de la gestion de l’accès aux données. Oui, le provisionnement des accès des utilisateurs aux ressources informatiques est une forme de gestion des accès et donc très important pour la sécurité, mais il ne constitue pas une forme adaptée d’accès aux données ni de sécurité des données.

Que dois-je faire maintenant ?

Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

1

Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

2

Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

3

Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

Essayez Varonis gratuitement.

Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
Se déploie en quelques minutes.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

les-5-choses-que-les-départements-informatiques-devraient-faire,-et-qu’ils-ne-font-pas
Les 5 choses que les départements informatiques devraient faire, et qu’ils ne font pas
  Un chemin direct vers une gouvernance des données efficaces. 1. Auditer l’accès aux données La gestion efficace d’un ensemble de données est impossible si l’on ne dispose pas d’un enregistrement...
conseils-de-pros-:-meilleures-pratiques-de-gestion-des-grandes-quantites-de-donnees-partagees
CONSEILS DE PROS : MEILLEURES PRATIQUES DE GESTION DES GRANDES QUANTITES DE DONNEES PARTAGEES
Dans notre série « Conseils de pros », nous présenterons des entretiens menés avec des professionnels de l’informatique. Ce sont des administrateurs et des gestionnaires responsables de la sécurité, de l’accès et...
qu’est-ce-que-la-gestion-des-accès-à-privilèges-(pam)-?
Qu’est-ce que la gestion des accès à privilèges (PAM) ?
Qu’est-ce que la gestion des accès à privilèges (PAM) et en quoi est-elle importante pour votre organisation ? Découvrez pourquoi la gestion des accès à privilèges est un élément indispensable de votre stratégie de cybersécurité et protège vos actifs.
krack-attack :-ce-que-vous-devez-savoir
Krack Attack : ce que vous devez savoir
Depuis dix ans, les philosophes s’accordent à dire que la hiérarchie des besoins de Maslow compte un autre niveau plus profond : l’accès Wi-Fi. Nous en sommes arrivés au point où...