n

Un mot de passe volé peut-il vous offrir les clés de tout un royaume ? En fait, il apparaît que 81 % des vols de données qui ont eu lieu en 2017 ont utilisé des mots de passe volés ou faibles pour accéder au réseau.

nnnn

Nous devons faire mieux que cela en 2018. Nous devons revoir les normes applicables à nos droits et mettre en œuvre un contrôle d’accès basé sur les rôles (RBAC) pour faire en sorte que les utilisateurs restent bien à la place qui leur a été attribuée sur le réseau.

nnnn

Contrôle d’accès basé sur les rôles (RBAC) : qu’est-ce-que c’est ?

nnnn

Le Contrôle d’accès basé sur les rôles (RBAC) est un concept de sécurité du réseau selon lequel le réseau accorde des droits aux utilisateurs en fonction de leur rôle dans l’entreprise. C’est simple comme bonjour : le service financier n’a pas le droit de mettre son nez dans les données du service des ressources humaines, et vice-versa.

nnnn

Chaque utilisateur du réseau a un rôle, et chaque rôle a un ensemble de droits d’accès aux ressources de l’organisation. Par exemple, les employés du service financier ont accès au système de CRM en fonction de l’utilisation qu’ils en ont, à la messagerie électronique et au partage réseau dédié au service financier. Cela pourrait s’arrêter là.

nnnn

Mis en œuvre correctement, un RBAC sera transparent pour les utilisateurs. L’affectation des rôles s’effectue en arrière-plan et chaque utilisateur a accès aux applications et données dont il a besoin pour travailler.

nnnn

Pourquoi mettre en place un RBAC ?

nnnn

La mise en œuvre d’un Contrôle d’accès basé sur les rôles optimise l’efficacité opérationnelle, protège les données des risques de fuite ou de vol, réduit le travail d’administration et d’assistance informatique, et aide à répondre aux besoins d’audit.

nnnn

Les utilisateurs doivent pouvoir accéder aux données dont ils ont besoin pour faire leur travail – leur accorder un accès à des données qui ne leur sont pas utiles nuit à la sécurité et augmente le risque de fuite, vol, altération ou piratage des données. Les hackers n’aiment rien autant qu’accéder à un seul compte et se déplacer latéralement sur le réseau pour rechercher des données qu’ils pourraient vendre. Si vous avez mis en place un RBAC efficace, les hackers se heurtent à un mur dès qu’ils tentent de sortir de la bulle du rôle de l’utilisateur qu’ils ont piraté.

nnnn

Bien évidemment, la situation est grave lorsqu’il s’avère qu’un compte a été piraté. Mais cela pourrait être tellement pire si cet utilisateur avait accès à toutes les données sensibles. Même si l’utilisateur concerné travaille aux ressources humaines et a accès à des informations personnellement identifiables (PII), le hacker n’aura pas la possibilité de se déplacer facilement pour accéder aux données des équipes financières et de direction.

nnnn

Le RBAC réduit également la charge de travail informatique et d’administration de l’organisation et améliore la productivité des utilisateurs. Même si cela semble peu logique au premier abord, cela tombe sous le sens si l’on prend la peine d’y réfléchir. L’informatique n’a pas à gérer des droits personnalisés pour chaque utilisateur, et les utilisateurs concernés accèdent plus facilement aux bonnes données.

nnnn

Gérer de nouveaux utilisateurs et des utilisateurs invités peut être difficile et prendre du temps, mais si un RBAC définit ces rôles avant qu’un utilisateur ne rejoigne le réseau, le problème est résolu d’emblée. Dès que des invités et nouveaux utilisateurs rejoignent le réseau, leur accès est prédéfini.

nnnn

Enfin, il est prouvé qu’un RBAC fait faire d’importantes économies à l’entreprise. En 2010, RTI a publié un rapport intitulé « The Economic Impact of Role-Based Access Control » qui explique qu’un RBAC génère un important retour sur investissements. Dans le cas d’une entreprise de services financiers imaginaire comprenant 10 000 employés, RTI estime que le RBAC permettra d’économiser pour 24 000 dollars de main d’œuvre informatique, et pour 300 000 dollars d’indisponibilité des employés, chaque année. 

nnnn

Après implémentation, votre réseau sera beaucoup plus sûr qu’avant et vos données seront bien mieux protégées contre le vol. Et, autre avantage, la productivité des utilisateurs et de l’équipe informatique sera renforcée.

nnnn

RBAC : une mise en œuvre en 3 étapes

nnnn

Quelle est la meilleure façon de mettre en œuvre des Contrôles basés sur les rôles ? Pour partir sur de bonnes bases, respectez les étapes suivantes :

nnnn
  1. Définissez les ressources et services que vous fournissez à vos utilisateurs (c’est-à-dire messagerie électronique, CRM, partages de fichiers, CMS, etc.)
  2. Créez une bibliothèque de rôles : faites correspondre les descriptions de postes aux ressources définies à l’étape 1 nécessaires à la réalisation de leur mission
  3. Affectez les utilisateurs aux rôles définis.
nnnn

Et, bien sûr, vous devez organiser une surveillance et un audit réguliers de l’ensemble de ces ressources critiques. Vous devez savoir si un utilisateur tente d’accéder à des données ne correspondant pas à son rôle, ou si un droit non conforme au rôle d’un utilisateur a été ajouté.

nnnn

Les personnes malintentionnées utiliseront plusieurs tactiques pour percer votre sécurité.

nnnn

Une plate-forme efficace de surveillance et d’analyse de la sécurité des données imposera les règles définies dans votre RBAC, enverra des alertes à votre équipe de sécurité et fournira des informations qui décourageront les tentatives de piratage tout en coupant court aux vols de données.

nnnn
nnnn

Source : extrait de https://blog.varonis.fr/rbac-kesako/

n

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *