Quels outils mettre en œuvre pour garantir une sécurité informatique maximale et conforme aux exigences réglementaires ?
En France, 44% des décideurs informatiques estiment que des utilisateurs non-autorisés peuvent accéder à leurs systèmes d’information (Data Security Confidence Index – 2014). De toute évidence, les nouvelles technologies bouleversent la vision classique du système d’information de l’entreprise. Les menaces de sécurité qui pèsent sur l’informatique de l’entreprise n’ont jamais été aussi nombreuses et ses défenseurs ont rarement dû se sentir aussi démunis.
Parallèlement, le nombre croissant de réglementations et d’obligations légales (Bâle 3, Sarbanes-Oxley…) nécessite que l’entreprise mette en œuvre une gestion rigoureuse de sa sécurité informatique et contrôle en permanence la conformité de ses systèmes à ces exigences règlementaires. Elle doit également pouvoir rendre compte de ces contrôles via des audits informatiques.
Ces règlementations se déclinent à travers des normes et standards internationaux de type ISO (27001), et à travers des normes et directives sectorielles répondant à des besoins de sécurité spécifiques. C’est le cas de la norme PCI-DSS dédiée à l’industrie des cartes de paiement qui assure la sécurité des données de transaction bancaire. L’agence fédérale allemande BSI ou l’agence nationale ANSSI en France sont également à l’origine de directives et de procédures de contrôle très strictes visant à sécuriser les systèmes d’informations.
Enfin, l’entreprise peut s’appuyer sur des guides de bonnes pratiques tels que les méthodologies ITIL 2011 et Cobit 5. Ces modèles de référence aident l’entreprise à mettre en œuvre sa gouvernance informatique, c’est-à-dire à aligner ses mécanismes organisationnels avec son système informatique pour fournir des services IT efficaces, sécurisés et conformes aux obligations légales en vigueur.
Réorganiser son environnement
Ces évolutions doivent permettre la surveillance dynamique et en temps réel de ses systèmes tout en s’assurant qu’ils répondent à des procédures régulières de contrôle et d’audit. Ces fonctions de monitoring, qui peuvent nécessiter des traitements en temps réel, voire une historisation continue pour les cas les plus extrêmes, devront venir compléter un nécessaire contrôle des accès aux ressources informatique et des identités des utilisateurs.
Pour une couverture à 360°, il est essentiel que les données de l’ensemble des systèmes et applications, aussi bien z/OS que distribués, soient en permanence collectées et archivées en un point unique. Dès lors, les informations sont analysées et compilées en rapports transmis automatiquement aux responsables.
Pour se conformer avec plus de facilité à la norme ISO 2700X, l’entreprise s’appuiera sur une solution qui intègre des tests de sécurité et des procédures d’audit dynamique en ligne avec les exigences de la norme. Des procédures de contrôle personnalisées pourront également être définies pour faire appliquer la règlementation interne de l’entreprise.
Visualiser les risques d’accès
L’entreprise cherchera à protéger au mieux ses données et ressources informatiques contre des interventions non autorisées et potentiellement dangereuses. Les solutions d’Access Intelligence lui permettent de s’assurer que toutes les informations liées aux accès (utilisateurs, rôles, autorisations…) sont capturées et documentées.
A l’aide de rapports dynamiques et d’une interface graphique optimisée pour manipuler les données, l’analyse intelligente des accès associés aux utilisateurs permet d’identifier d’éventuelles failles et le niveau de risque généré. Un grand nombre de rapports standards doivent être inclus. Ces tableaux de bords pourront également être personnalisés afin d’offrir le niveau de détail nécessaire en fonction de l’utilisation qui en est faite.
Les auditeurs internes ou externes et les responsables sécurité informatique souhaitent des rapports détaillés, avec un maximum d’information. La Direction Générale quant à elle, exige des tableaux de bord concis qui présentent une synthèse des risques à l’aide d’indicateurs visuels, pour une prise rapide de décision. Ainsi, un outil de visualisation des risques d’accès doit réunir les directions métiers (direction générale, responsables d’équipe…) à la recherche de tableaux de bord synthétiques, et les directions informatiques, habituées à utiliser des outils techniques, et désireuses d’obtenir des rapports détaillés. En réunissant l’IT et les métiers, l’entreprise renforce ses mécanismes de gouvernance pour une meilleure gestion des risques et une sécurité renforcée.
Enfin, il est important que la solution offre des fonctionnalités d’historisation dynamique de sorte que toute modification effectuée, dans le passé ou en temps réel, soit identifiée, tracée et consultable en toute simplicité. Ainsi, l’outil permettra de répondre aux questions telles que « qui a donné accès à qui et quand ? » et « quel niveau de risque génère cet utilisateur ? ».
Opter pour une surveillance dynamique
Des procédures de contrôle intégrées à l’outil de gestion des accès faciliteront la génération des rapports d’audits. Ici aussi, l’entreprise aura d’autant plus de facilité à assurer la conformité des accès si la solution permet de décentraliser l’exécution des audits au profit des auditeurs non-informaticiens. Ces outils d’aide à l’audit sont appréciés des entreprises qui doivent rendre compte de contrôles effectués à fréquence régulière.
Mais les normes en vigueur, en l’occurrence ISO 2700X, requièrent également que l’entreprise mette en place des outils de monitoring dynamique de la sécurité informatique. Ainsi, la direction informatique doit pouvoir surveiller en temps réel la configuration et les événements de sécurité, grâce à l’enregistrement et l’analyse des données SMF. En cas de violation, des alertes de sécurité sont alors automatiquement envoyées aux destinataires déclarés.
Conclusion
Assurer la conformité de ses systèmes informatiques pour répondre aux obligations légales est une démarche complexe mais nécessaire. Pour mener à bien cet objectif, l’entreprise privilégiera un outil de gestion des accès conçu en parfaite adéquation avec ces normes et référentiels dans le but de faciliter les audits tout en assurant un niveau de sécurité maximal.
__________
Bastien Meaux est Responsable Marketing & partenaires chez Beta Systems France