• Accueil
  • BYOD
  • Cloud
  • Data
  • Mobilité
  • Sécurité
  • DSI 2.0
  • show/hide menu
  • Accueil
  • BYOD
  • Cloud
  • Data
  • Mobilité
  • Sécurité
  • DSI 2.0
  • Data Sécurité

    Profils d’utilisateurs et droits d’accès, 1re étape de la sécurité des données

    0

    Contrôler qui pénètre sur le système d’information de l’entreprise demande en amont de mettre en œuvre une politique de sécurité, accompagnée des outils adéquats. Quelques conseils sur ce point.

    MSB10_ServIT_005

    Dans un premier temps, un travail sur les différents profils d’utilisateurs (visiteur, employé avec divers droits, administrateur, etc.) doit permettre de garantir à chacun des droits d’accès aux informations qui le concernent, ni plus, ni moins, au regard de ses attributions dans l’entreprise. Cette étape assure ensuite la gestion sécurisée de la multiplication et de la multiplicité des utilisateurs.

    Alors, comment « critériser » les profils utilisateurs ?

    Trois critères de sélection

    Dans un premier temps, une typologie des différents utilisateurs du système d’information de l’entreprise sera créée. Collaborateurs, employés, clients, prestataires, administrateurs, tous les profils qui pour des raisons différentes seront amenés à se connecter au système d’information de l’entreprise doit être recensée. À noter qu’aujourd’hui, il est possible via Windows Server 2012 de donner accès à des groupes d’utilisateurs directement en fonction de la nature de la données des fichiers.

    Ensuite, la DSI va définir le périmètre matériel et logiciel du système d’information de l’entreprise. Car au delà de la fonction de chaque utilisateur, créer un corpus de tout ce qui entre dans le périmètre de la DSI assure une connaissance complète du matériel à protéger.

    Ordinateurs fixes, laptops, tablettes et smartphones pour les périphériques ; serveurs d’application et de stockage sur site ou sur site distant ; une liste complète des instances reliées directement ou indirectement au système d’information de l’entreprise doit être réalisée. Cela permet de s’assurer des critères physiques de sécurité de chaque matériel. Puis un listage des applications et des données du SI permet de déterminer la criticité de chaque brique.

    Enfin, une liste des lieux potentiels de connexion au réseau devra également être établie selon le critère de la sécurisation de la connexion. Réseau Wi-Fi public (dans un aéroport par exemple), VPN, réseau interne de l’entreprise, etc. En fonction du lieu et donc du protocole de connexion utilisé, les droits d’accès ne pourront être les mêmes.

    Croisement des critères

    Une matrice, réalisée à partir de ces trois listes, permet ensuite de répondre à la question : qui a le droit d’accéder à quel matériel et à quel logiciel, et donc aux différents types de données de l’entreprise ? Et ce en fonction de son profil, du type d’appareil qu’il utilise, et du protocole de connexion qu’il utilise. Concrètement, un administrateur pourra accéder à l’ensemble du matériel, des données, et des outils de configuration du SI, si toutefois sa connexion est sécurisée.

    À l’inverse, un visiteur présent dans les locaux de l’entreprise pourra accéder à l’Internet via le réseau de l’entreprise. Mais en aucun cas aux données financières contenues dans vos serveurs.

    Garantir confidentialité, disponibilité et intégrité

    La définition des profils d’utilisateurs et de droit d’accès garantit la sécurité du système d’information, en s’assurant de :

    • La confidentialité des transferts de données : « la confidentialité est la propriété qu’une information n’est ni disponible ni divulguée aux personnes, composantes ou processus non autorisés » selon la norme ISO 7498-2 (ISO90).
    • La disponibilité des données : propriété d’accessibilité au moment voulu des données et des fonctions par les utilisateurs autorisés.
    • L’intégrité des données : « l’intégrité est la prévention d’une modification non autorisée de l’information » selon la norme ISO 7498-2 (ISO90).

    La brique Active Directory de Microsoft, intégrée à Windows Server 2012, permet de fédérer les identités (c’est à dire les profils utilisateurs), et ce en mode local ou dans le cloud via Windows Azure Active Directory et Access Control. À titre d’exemple, la gestion des identités des utilisateurs d’Office 365 utilise ce système, basé sur un contrôle de haut niveau des annuaires.

    articles liés

    4 priorités pour un datacenter moderne

    4 priorités pour un datacenter moderne

    Du cloud privé au cloud hybride

    Du cloud privé au cloud hybride

    Quatre tendances IT à suivre dès à présent

    Quatre tendances IT à suivre dès à présent