Protection de l’accès aux actifs critiques
Objectifs de formation
Une fois cette unité terminée, vous pourrez :
- Expliquer l’importance d’implémenter une gestion efficace des identités et des accès
- Décrire les principes de sécurité de base permettant de gérer l’accès des utilisateurs privilégiés
Implémentation d’une gestion efficace des identités et des accès
En tant que responsable, il est important que vous identifiez les actifs critiques de votre organisation, ainsi que les personnes qui y ont accès et les menaces qui peuvent y être associées. Une fois que vous avez pris en considération tous les utilisateurs internes et externes, vous devez vous assurer que vos systèmes informatiques protègent la manière dont ces utilisateurs accèdent aux actifs les plus critiques de l’organisation Tout comme les contrôles d’accès physiques gèrent qui entre dans votre organisation et limitent l’accès aux zones sensibles, des systèmes efficaces de gestion des identités et des accès contrôlent l’accès aux actifs technologiques les plus critiques de votre organisation.
Tous les accès utilisateur ne sont pas égaux. Il est judicieux d’avoir recours au principe du moindre privilège, ce qui signifie que les utilisateurs n’ont accès qu’aux ressources dont ils ont besoin pour effectuer leur travail. Par exemple, un ingénieur de projet n’a pas besoin d’accéder aux données financières d’une organisation. Pour élaborer un système efficace de gestion des identités et des accès au sein d’une organisation, il faut tout d’abord référencer de façon centralisée et fiable tous les utilisateurs et leurs rôles. Il est essentiel de mettre en place des processus et des systèmes automatisés pour faire en sorte que les utilisateurs disposent des droits d’accès adéquats, et que leurs accès leur soient retirés s’ils quittent l’organisation, ou lorsqu’un projet ou un engagement se termine.
Gestion des accès des utilisateurs privilégiés
Un compte privilégié permet à un utilisateur d’effectuer des opérations administratives qu’un utilisateur non privilégié n’aurait pas besoin d’effectuer, telles que modifier les configurations des périphériques réseau. Pour gérer efficacement les accès des utilisateurs privilégiés, il est nécessaire d’avoir recours à un mécanisme d’accès en couches pour leur octroyer l’accès aux systèmes d’importance critique. Chaque couche doit être renforcée par un mécanisme d’authentification multifacteur (MFA) différent en fonction du niveau de confidentialité des informations.
Par exemple, imaginons qu’une administratrice se connecte à une plate-forme logicielle distincte à l’aide d’un nom d’utilisateur, d’un mot de passe et d’un jeton d’authentification envoyé sur son téléphone mobile. Elle doit ensuite renseigner un mot de passe administratif pour employer une fonctionnalité telle que l’exportation de données à partir d’une base de données sensible. Cela offre un niveau de sécurité plus élevé que la simple saisie d’un nom d’utilisateur et d’un mot de passe. Gartner fournit des informations sur les différents outils disponibles pour gérer les comptes privilégiés.
Enfin, l’utilisation de mécanismes complets d’alerte et d’audit devrait s’avérer obligatoire au sein de tout système de gestion des identités et des accès. De plus, le fait d’examiner les privilèges à intervalles réguliers garantit que les utilisateurs n’ont pas accès aux ressources dont ils n’ont plus besoin pour faire leur travail, parce qu’un projet est terminé ou parce qu’ils ont changé de rôle, voire quitté l’entreprise. Ces étapes sont tout aussi importantes que l’octroi des accès, et sont souvent négligées.
Conclusion
L’établissement de pratiques efficaces de gestion des identités et des accès est crucial pour protéger les actifs essentiels à l’activité de votre organisation. Dans cette unité, vous avez appris comment identifier les personnes qui ont accès à votre réseau et aux ressources de données associées, à appliquer le principe du moindre privilège et à gérer les utilisateurs privilégiés. Vous avez également découvert l’importance d’implémenter des technologies d’authentification forte. Intéressons-nous maintenant à la manière dont nous pouvons nous prémunir contre l’une des menaces les plus courantes auxquelles les utilisateurs sont confrontés quotidiennement : l’hameçonnage.
