Blog Sécurité des données

La différence entre le provisionnement des utilisateurs dans l’IAM et la gestion de l’accès aux données

La capacité de provisionnement des utilisateurs de l’IAM (gestion des identités et des accès) et la fonction de gestion de l’accès aux données gèrent toutes deux l’accès. Toutefois, le provisionnement...
Michael Buckbee
3 minute de lecture
Dernière mise à jour 3 novembre 2021

Contents

    La capacité de provisionnement des utilisateurs de l’IAM (gestion des identités et des accès) et la fonction de gestion de l’accès aux données gèrent toutes deux l’accès. Toutefois, le provisionnement ne se substitue pas à, et ne remplace pas, la gestion de l’accès aux données. Les nuances qui existent entre les deux suffisent à les placer dans deux catégories différentes. Toutes deux sont importantes et connaître leurs différences vous aidera à déterminer l’outil adapté à chaque tâche.

    Qu’est-ce que le provisionnement des utilisateurs ?

    Le provisionnement des utilisateurs est la création et la gestion de l’accès aux ressources de l’organisation. L’accès peut aller des comptes informatiques (CRM, Salesforce, messagerie, etc.) jusqu’aux équipements non informatiques et ressources telles que badge d’accès, téléphone, voiture, etc.

    Les administrateurs informatiques responsables de la fourniture des accès savent qu’un provisionnement manuel peut être fastidieux, complexe et propice aux erreurs, même armé d’une liste de contrôle.

    Bien entendu, il est toujours possible d’utiliser les services d’annuaire pour automatiser le workflow de provisionnement. Et la gestion de ces droits d’accès doit se poursuivre même lorsque les responsabilités de ces personnes évoluent et qu’elles quittent l’organisation.

    Les systèmes d’IAM automatisent ce processus. Pour rationaliser le provisionnement, les organisations créent des modèles, appelés « rôles » qui regroupent et affectent des valeurs spécifiques aux comptes. Par exemple, tout employé travaillant à temps complet dans le service financier recevra le même type d’accès : un compte de messagerie électronique, une autorisation de stationnement et l’accès aux systèmes de facturation et de paiement. Au cours de sa carrière, il pourra arriver que l’employé du service financier change de poste et rejoigne le service juridique. L’IAM facilitera le changement de rôle. L’utilisateur étant toujours un employé, il conservera son adresse e-mail et son accès au parking, mais le système révoquera ses droits d’accès aux systèmes de facturation et de paiement, et lui accordera un accès à l’outil eDiscovery et de gestion des dossiers.

    Jusque-là, rien ne donne à penser que vous ne pouvez pas fournir l’accès aux données de la même façon : autoriser l’accès aux utilisateurs qui en ont besoin et le gérer selon les besoins.

    Téléchargez un Livre-Blanc sur les 5 menaces pesant sur le télétravail, et comment s'en protéger

    "Face aux crises, le recours au télétravail connaît une croissance exponentielle, préparez-vous"

    Alors, où est le problème ?

    Les organisations qui utilisent des solutions d’IAM partent souvent du principe que les groupes de sécurité et les rôles en place correspondent aux structures de données sous-jacentes contenant les données de l’organisation. Malheureusement, même s’il arrive que les utilisateurs soient dans les bons groupes, ils finissent inévitablement par disposer d’un accès aux données bien plus large que nécessaire ou que leur poste ne l’exige.

    Bien sûr, les solutions d’IAM disposent de listes complètes des utilisateurs et groupes, issues des services d’annuaire. Toutefois, l’une des principales difficultés est de mapper ces utilisateurs et groupes sur les listes de contrôle d’accès (LCA) qui contrôlent l’accès aux données elles-mêmes.

    De plus, l’IAM n’a pas la capacité de déterminer quels utilisateurs accèdent à quels fichiers et, plus important encore, il n’identifie pas quels dossiers et fichiers contiennent des données sensibles.

    Comment l’accès aux données fonctionne réellement

    Les LCA contrôlent l’accès aux données.

    Ainsi, si la LCA d’un objet de fichier contient (Allen: lecture, écriture ; Jared: lecture), Allen a alors un droit en lecture et en écriture sur les données du fichier tandis que Jared pourra uniquement lire les données.

    La meilleure pratique de gestion des accès passe par les groupes. Une LCA type est constituée de groupes disposant de droits divers – par exemple, la LCA possèdera un groupe doté de droits en lecture et un autre groupe possédant des droits en lecture et écriture. Ensuite, pour accorder l’accès, il suffit d’ajouter des utilisateurs aux groupes correspondant aux accès souhaités.

    En théorie, il semble qu’il soit assez facile de contrôler et gérer les accès aux données en veillant à ce que les bons utilisateurs soient dans les bons groupes et les groupes adéquats dans les LCA.

    Voilà ce qui se produit en réalité : avec le temps, les liens entre les utilisateurs, les groupes et les données se brisent. Souvent, des utilisateurs sont ajoutés aux groupes et n’en sont jamais retirés. Les LCA sont modifiées pour inclure des groupes qui ne sont pas liés aux données que la LCA était chargée de protéger initialement – ou même pire, des groupes sont ajoutés à d’autres groupes, ce qui complique encore la situation et entraîne un effet ricochet encore plus large.

    Pour gérer correctement l’accès aux données, il est essentiel de veiller à ce que les groupes de sécurité accordent véritablement l’accès aux bons ensembles de données. Ce lien est essentiel pour éviter toute conséquence imprévue comme l’ajout d’un utilisateur à un groupe en apparence inoffensif mais permettant, via un phénomène d’imbrication de groupe, d’accéder à des données professionnelles critiques ou sensibles.

    Tout est dans les détails

    Pour résumer, nous avons expliqué la complexité des détails pratiques de la gestion de l’accès aux données. Oui, le provisionnement des accès des utilisateurs aux ressources informatiques est une forme de gestion des accès et donc très important pour la sécurité, mais il ne constitue pas une forme adaptée d’accès aux données ni de sécurité des données.

    Que dois-je faire maintenant ?

    Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

    1

    Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

    2

    Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

    3

    Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

    Michael Buckbee
    Michael Buckbee Michael a travaillé en tant qu'administrateur système et développeur de logiciels pour des start-ups de la Silicon Valley, la marine américaine, et tout ce qui se trouve entre les deux.

    Essayez Varonis gratuitement.

    Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
    Se déploie en quelques minutes.
    Commencer Voir un échantillon

    Keep reading

    Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

    les-5-choses-que-les-départements-informatiques-devraient-faire,-et-qu’ils-ne-font-pas
    Les 5 choses que les départements informatiques devraient faire, et qu’ils ne font pas
    les-5-choses-que-les-départements-informatiques-devraient-faire,-et-qu’ils-ne-font-pas
    David Gibson
    31 décembre 2012
      Un chemin direct vers une gouvernance des données efficaces. 1. Auditer l’accès aux données La gestion efficace d’un ensemble de données est impossible si l’on ne dispose pas d’un enregistrement...
    conseils-de-pros-:-meilleures-pratiques-de-gestion-des-grandes-quantites-de-donnees-partagees
    CONSEILS DE PROS : MEILLEURES PRATIQUES DE GESTION DES GRANDES QUANTITES DE DONNEES PARTAGEES
    conseils-de-pros-:-meilleures-pratiques-de-gestion-des-grandes-quantites-de-donnees-partagees
    David Gibson
    4 janvier 2014
    Dans notre série « Conseils de pros », nous présenterons des entretiens menés avec des professionnels de l’informatique. Ce sont des administrateurs et des gestionnaires responsables de la sécurité, de l’accès et...
    explication-détaillée-de-la-dspm :-démystifier-cinq-fausses-idées-sur-la-sécurité-des-données
    Explication détaillée de la DSPM : démystifier cinq fausses idées sur la sécurité des données
    explication-détaillée-de-la-dspm :-démystifier-cinq-fausses-idées-sur-la-sécurité-des-données
    Kilian Englert
    27 septembre 2023
    Le sigle du moment est DSPM dans le domaine de la cybersécurité. Toutefois, sa récente popularité s’accompagne d’une certaine confusion à propos de ce que recouvre la gestion de la posture en matière de sécurité des données. Il est temps de le démystifier.
    l’essentiel-de-la-sécurité-dans-le-cloud :-arguments-en-faveur-d’une-dspm
    L’essentiel de la sécurité dans le cloud : arguments en faveur d’une DSPM
    l’essentiel-de-la-sécurité-dans-le-cloud :-arguments-en-faveur-d’une-dspm
    Nolan Necoechea
    12 juillet 2024
    La gestion de la posture de sécurité des données (DSPM) s’est imposée comme une norme en matière de sécurisation des données sensibles dans le cloud et dans d’autres environnements. Toutefois, elle ne peut pas fonctionner sans un processus automatisé. En effet, il s’agit d’un enjeu clé pour surmonter les défis de la sécurisation des données dans le cloud.