Auditer l'accès aux fichiers dans le cloud

Télécharger en PDF

L'adoption du stockage de fichiers dans le cloud

Nous aimerions penser que toutes nos données critiques n'existent que dans des applications de bases de données. Ce serait un monde beaucoup plus facile pour l'informatique. Dans un monde comme celui-là, aucune des données ne circulerait librement, ne pourrait être copiée et collée par les utilisateurs et se retrouver dans des emplacements sur votre réseau que vous n’aurait jamais soupçonné.

Mais ce n’est pas la réalité. Les données critiques (propriété intellectuelle, données financières, informations sur les patients, données personnelles, cartes de crédit, etc.) se retrouvent dans des fichiers. Les documents Word, les feuilles de calcul, les présentations, etc., sont tous utilisés dans l'ordre naturel des affaires et finissent par contenir une grande partie des données les plus précieuses de votre entreprise.

Traditionnellement stockées sur des serveurs de fichiers, les données ont toujours été «relativement» protégées contre une utilisation incorrecte. La sécurité native permettait uniquement aux utilisateurs de l'organisation un accès approuvé aux données de fichiers, sans possibilité de partager facilement les données avec des tiers.

Au fur et à mesure que les organisations ont subi la transformation numérique, déplaçant les applications et services critiques vers le cloud, l’hypothèse naturelle a été de tirer parti du cloud pour stocker ces mêmes fichiers critiques. Grâce à des améliorations de la productivité, telles que le partage facile de documents et l’intégration avec d’autres services de cloud tels que les emails, l’adoption de services de fichiers basés sur le cloud est devenue essentielle.

Cependant, le changement de lieu ne diminue pas le besoin de l'organisation de vérifier l'accès aux données et leur utilisation. Les audits de sécurité fréquents, les mandats de conformité et les réglementations gouvernementales requièrent tous une capacité à vérifier et à démontrer que les données critiques, sensibles et protégées sont correctement consultées et utilisées, quel que soit l’endroit où se trouvent les données.

Bienvenue dans l'audit des fichiers. Il existe depuis Windows NT au milieu des années 90. Microsoft a fourni les outils d’audit Windows de base nécessaires à l’audit fonctionnel de l’utilisation de ses systèmes de fichiers. De plus, lorsque les entreprises ont transféré des données de fichiers vers le cloud, ces mêmes fonctionnalités de base ont également été intégrées aux solutions de partage de cloud computing d'entreprise, afin de rassurer les clients souhaitant auditer leur utilisation.

Mais, que faut-il pour auditer véritablement l’accès aux fichiers et leur utilisation dans le cloud?

Dans ce livre blanc, nous examinerons :

• Certaines des raisons pour lesquelles vous devez auditer,
• Les fonctionnalités que vous devriez attendre de l'audit de fichier,
• L'influence sur l'audit lorsque vous déplacez des fichiers vers le cloud,
• À quoi doit ressembler votre stratégie d'audit complète pour rester résilient dans votre capacité à auditer les modifications apportées à vos environnements locaux et cloud

Pourquoi auditer l'accès aux fichiers?

Comme indiqué précédemment, il est nécessaire d'inclure tous les emplacements contenant des données sensibles, protégées ou précieuses susceptibles d'être impliquées dans des violations de données, le vol de données, l'espionnage, etc.

Il existe quatre cas d'utilisation principaux de l'audit qui incluent l'accès aux fichiers :

• Conformité – Que la protection des données soit la priorité (comme dans le cas de mandats tels que PCI ou HIPAA) ou qu’il faille prouver que les données ont été correctement traitées (par exemple RGPD), les mandats de conformité ne font généralement aucune distinction. Ils ne sont concernés que par la mise en place de contrôles - qui incluent généralement un certain degré d'audit - partout où les données en question peuvent exister.
• Audits de sécurité – Les organisations dotées d'une stratégie de sécurité avancée incluent des audits trimestriels, semestriels ou annuels de l'état de la sécurité, des modifications depuis le dernier audit et des actions spécifiques des individus. L'objectif de la plupart des audits est de comprendre ce qui a changé et si cela a eu un impact négatif sur la sécurité de l'entreprise.
• Détection des menaces – Les menaces sont de toutes formes et tailles. Les menaces internes et les menaces externes peuvent entraîner le vol, la manipulation ou la suppression de données. Les audits de fichiers peuvent être utilisés pour identifier les indicateurs précoces d'une action de menace – tels que les temps d'accès anormaux et les jours de la semaine, les transferts de données plus importants que la normale, les suppressions successives, etc.
• Preuves – Après l’identification d’une menace, l’enregistrement de chaque action permet de comprendre l’étendue de l’activité de la menace. Par exemple, si le service informatique détermine qu’une violation de données s’est produite avec un compte utilisateur spécifique, un audit de chaque fichier touché par le compte au cours d’une période donnée permettra de mettre en contexte les actions spécifiques entreprises.

Dans tous ces cas, des données de valeur existent dans les fichiers. Cela rend l'audit des fichiers indispensable à toutes les initiatives répertoriées ci-dessus, qu'il s'agisse de fichiers sur site ou dans le cloud.

Alors, quelles fonctionnalités devriez-vous rechercher pour tirer parti de l'audit de fichiers?

Audit de fichier: les bases

Que vous utilisiez les outils natifs de vos systèmes d'exploitation de choix ou que vous utilisiez une solution tierce pour automatiser et simplifier le travail d'audit, chaque professionnel de l'informatique attend des fonctionnalités communes dans l'audit des fichiers.

• Suivi – L'audit des fichiers doit pouvoir contrôler l'accès aux fichiers et leur utilisation sur tous les fichiers d'hébergement de systèmes et de plates-formes.
• Audit – Une capacité à collecter et à présenter intelligemment l'activité du fichier est nécessaire pour que le service informatique puisse prendre des décisions clés. Les actions auditées doivent inclure les tentatives de lecture / écriture / suppression tentées et réussies, ainsi que les modifications apportées à la propriété, aux autorisations et aux attributs. Et, dans le cas du cloud, toutes les activités liées au partage, y compris l'utilisation de liens de partage par des parties externes.
• Rapport – les rapports planifiés et les rapports d'exécution sont utiles aux équipes informatiques cherchant à comprendre l'état actuel de l'accès aux données critiques. Les points de données importants incluent (le cas échéant) le serveur, le nom de fichier, le type d'action, le succès ou l'échec, la date, l'heure, l'utilisateur exécutant l'action, le nom de l'ordinateur et l'adresse IP.
• Alerte – Les équipes informatiques et de sécurité ont besoin de notifications en temps réel concernant l'accès suspect et inapproprié aux fichiers contenant des données critiques. Les alertes doivent être personnalisables afin que les organisations puissent adapter la surveillance à des ensembles de données, à des utilisateurs, à des actions, à des délais, etc. spécifiques.
• Réaction – Parfois, lorsqu'une alerte est déclenchée, nous ne pouvons pas attendre que le service informatique intervienne. Une organisation a besoin d'une solution pour agir automatiquement avant que le dommage ne soit causé.
• Délégation – En outre, la délégation à des utilisateurs fiables proches de l’utilisation réelle des données peut apporter des avantages supplémentaires à l’organisation sensible à la sécurité. Les utilisateurs délégués peuvent plus facilement détecter les activités inappropriées, informant le service informatique du résultat.

Dans certains cas, le faire soi-même peut impliquer des scripts personnalisés ou une utilisation créative de plusieurs outils natifs, mais ils se trouvent généralement dans les solutions même les moins coûteuses. Que vous utilisiez une solution préconfigurée ou que vous créiez la vôtre, toute ces fonctionnalités aident le service informatique à accélérer considérablement le processus de recherche, d'analyse et de création de rapports sur les données d'audit de fichiers collectées.

Alors, qu’est-ce-qui change lorsque vous déplacez le stockage de fichiers vers le cloud?

Le défi de l'audit des fichiers dans le cloud

Comme avec n'importe quel service, lorsque vous déplacez des services de fichiers locaux vers le cloud, vous devez faire face à trois défis:

1. Manque de visibilité – Étant donné que les services de fichiers sont gérés par un tiers, le service informatique est peu en mesure de voir comment le service est utilisé et s’il est approprié et conforme aux exigences de l’organisation et aux mandats externes.
2. Manque de contrôle – Ceux qui créent le service de fichiers en ligne fournissent généralement des contrôles informatiques de base, mais ne fournissent pas nécessairement aux équipes informatiques les outils techniques dont ils ont besoin. Rappelez-vous que les fournisseurs de services cloud ont pour tâche de fournir le service, pas nécessairement de rendre la vie facile au service informatique.
3. Absence de prise en compte de la gestion sur site – Même si les services de partage de fichiers disposent d'une certaine capacité d'audit, il n’y a que peu voire pas du tout d’intégration (de la part du fournisseur cloud) avec les fonctionnalités d'audit sur site.

Il est impératif que l'audit des fichiers réponde à chacun des défis ci-dessus. Avec le partage de fichiers basé sur le cloud, la possibilité de vol de données et de partage de données par erreur augmente considérablement, en particulier compte tenu de la quantité de contrôle confiée aux utilisateurs.

Un certain nombre de solutions de partage cloud axées sur les entreprises sont disponibles aujourd’hui. Les services de partage de fichiers destinés aux consommateurs, tels que Box et Dropbox – ont développé des versions d'entreprise de leurs services, qui incluent différents degrés de fonctionnalité d'audit.

Leur problème est le manque de capacité à associer des actions sur site et dans le cloud. Prenez l'exemple de violation de données suivant. Un utilisateur souhaite voler des fichiers CSV exportés contenant les listes de clients de l'entreprise. Ils copient les fichiers d'exportation d'un serveur de fichiers sur site vers un dossier local qui se synchronise avec votre service de fichiers cloud. Ils le partagent ensuite avec un tiers, qui se connecte rapidement au service cloud et les récupère. C'est tout – ce qu'il fallait pour voler les données de votre organisation. Les organisations ont besoin d'une image complète des actions en cours - à la fois sur site et dans le cloud.

Alors, comment devriez-vous procéder à l'audit de fichiers avec des services basés sur le cloud dans le mélange?

Quel que soit votre choix en matière d'audit, vous devez rechercher les éléments suivants:

1. Visibilité complète – que vous utilisiez une solution SIEM pour consolider les données sur site ou dans le cloud ou que vous utilisiez une solution d’audit de fichiers qui traite déjà les deux environnements simultanément, vous avez besoin de quelque chose en place qui vous donne une visibilité sur l'ensemble de votre environnement de fichiers.
2. Intégration de chaque service Cloud – l'entreprise moyenne utilise une multitude de services cloud. Cela signifie qu'il est tout à fait possible d'avoir une partie de l'organisation utilisant, par exemple, Dropbox, et une autre utilisant OneDrive. Assurez-vous que chaque service de partage de cloud peut vous fournir les données d'audit dont vous avez besoin ou utiliser une solution prenant en charge tous les services en place.
3. Une vue intelligente – vous ne pouvez pas vous attendre à ce que les services cloud donnent un sens aux actions auditées pour vous. Vous constaterez peut-être qu’auditer des données dans le cloud peut être autant « une aiguille dans une botte de foin » que les données natives d'audit de fichiers Windows deux décennies plus tard. Assurez-vous d'avoir une solution ou un moyen interne de normaliser et de présenter intelligemment les données d'audit de manière à ce que les équipes informatiques et de sécurité puissent prendre des décisions avisées.

Faire de l'audit de fichiers dans le cloud une réalité

Si vos fichiers ne sont pas déjà dans le cloud, ils le seront bientôt. Les exigences en matière de conformité, de sécurité et de réponse aux incidents rendent nécessaire un audit des fichiers, que ce soit dans le cloud ou sur site. Les organisations doivent atteindre les mêmes niveaux de visibilité et de contrôle sur l'accès aux données de fichiers et leur utilisation dans le cloud que depuis des années sur site.

En mettant en place une stratégie garantissant une vue unique et consolidée de toutes les activités des fichiers, dans le cloud et sur site, vous réduisez les risques associés à l’autorisation des utilisateurs d’accéder à tout moment, en tout lieu et de n’importe quel appareil aux fichiers du cloud. Découvrez comment FileAudit peut désormais étendre l'audit des fichiers aux données stockées sur les principales plates-formes cloud. Obtenez rapidement des informations clés sur l'accès et l'utilisation des données stockées dans l'environnement cloud et sur site.