Les mandats de conformité étaient autrefois une gêne pour les services informatiques. Leur préoccupation principale n’était pas de suivre des ensembles de règles établies par une bande de bureaucrates, sauf si la direction en donnait l’ordre. Aujourd’hui cependant, l’informatique reconnait l’importance de la sécurité des données (un élément clé de la plupart des mandats de conformité), ainsi que le fait que les normes de conformité fournissent un cadre permettant d'établir une sécurité adéquate.
La plupart des organisations informatiques concentrent leurs efforts sur l’établissement et le maintien des niveaux de sécurité : une étape nécessaire, bien sûr. Mais lorsqu’il s’agit de garantir de manière permanente qu’un environnement demeure conforme il faut savoir comment l’environnement est utilisé, et déterminer si cette utilisation tombe en dehors des normes.
Donc la question est : quelle est la limite en matière d’utilisation avant de déterminer si vous êtes conforme ? Il ne faut évidemment pas attendre une violation pour réaliser que vous n’êtes pas conforme. Il vous faut un moyen de tester la conformité bien plus tôt dans le processus d’utilisation.
Heureusement, un tel test de conformité existe : la connexion.
Les connexions ne sont pas uniquement un protocole de sécurité visant à éloigner les regards curieux importuns. La connexion représente un point charnière au cours duquel un utilisateur spécifique s’identifie.
Appliquer la MFA pour verifier l’identité des utilisateurs
La façon exacte dont l’utilisateur s’identifie est essentielle. Etant donné que les identifiants de connexion sont souvent compromis, les bonnes pratiques recommandent au moins l’ajout d’un second facteur d’authentification pour prouver que l’utilisateur est bien qui il prétend être. L’authentification multifacteur (MFA) offre une couche de sécurité additionnelle pour garantir que la bonne personne utilise effectivement le bon identifiant et le bon mot de passe.
Aller au-delà de la protection de l’identifiant et du mot de passe
L’importance de la connexion va au-delà du nom d’utilisateur et du mot de passe, il existe bien plus. D’autres détails, tels que la date et l’heure de la connexion, l’adresse IP et le poste de travail depuis lequel la connexion est faite, ainsi que la fréquence de la connexion jouent un rôle en ce qui concerne l’identification de la conformité d’un environnement.
Prenez l’exemple suivant :
Un utilisateur ayant accès à des données soumises à un mandat de conformité se connecte en dehors des heures d’ouverture plusieurs fois de suite depuis un ordinateur distant.
Il existe ici trois signaux d’alerte :
- l’heure,
- le nombre de connexions,
- la localisation depuis laquelle la connexion s’est produite.
La mauvaise nouvelle est que la connexion ne vous apprend pas directement que vous êtes en violation des règles de conformité, bien qu’elle vous fournisse des indicateurs majeurs qu’un problème potentiel existe bien avant que tout accès (violation des règles de conformité) ne se produise.
De nombreuses normes et réglementations de conformité sont tout à fait conscientes de l’importance de la connexion et des actions successives. Prenez par exemple l’une des normes les plus détaillées aujourd'hui – PCI DSS (PCI Data Security Standard - en anglais) – afin d’observer le rôle de la connexion en ce qui concerne la conformité.
L’objectif de la norme PCI DSS est de protéger les données des titulaires de carte de paiement de tout accès non autorisé. Prenez les mesures de précaution suivantes trouvées dans la norme PCI actuelle :
- Condition 7 : Restreindre l’accès aux données du titulaire aux seuls individus qui doivent les connaître
- Condition 8 : Identifier les utilisateurs et authentifier les accès
- Condition 9 : Retreindre l’accès physique aux données du titulaire de carte
- Condition 10 : Suivre et surveiller tous les accès aux ressources réseau et aux données du titulaire
Chacune de ces conditions est nécessaire pour garantir que les données du titulaire de carte sont en sécurité. Mais elles dépendent toutes d’un mot clé retrouvé dans chacune de celles-ci : accès.
Ce mot unique représente le processus d’utilisation d’un compte pour se connecter activement à un système et ouvrir / lire / copier / télécharger les données du titulaire de carte – une action qui commence par la connexion.
Même les auteurs de PCI le comprennent : La condition 8 (identifier et authentifier l'accès aux composants du système) existe en vue d’établir un accès et une utilisation de l’environnement de manière individuelle. Cette exigence existe pour garantir une façon (dans l’exigence 10) d’auditer chaque interaction de l’utilisateur avec le réseau et, au final, avec les données du titulaire de carte.
Commencer la conformité avec la connexion
Bien que la mise en œuvre des contrôles de conformité nécessite des efforts sur de nombreux fronts (selon chaque mandat), la vraie surveillance garantissant qu’une organisation demeure conforme porte réellement sur l’accès inapproprié à des données sensibles. Et, parce que les organisations ne peuvent pas se permettre d'attendre que cet accès inapproprié se produise, il devient nécessaire (et tout simplement intelligent) de tirer parti de toutes les opportunités d’authentifications et des indicateurs majeurs.
La connexion est le point le plus convaincant pour surveiller la conformité (si vous disposez de la solution de sécurité appropriée) et pour implémenter la MFA pour empêcher tout accès potentiellement inapproprié (violation de conformité). En exploitant cette étape nécessaire du processus d'accès, vous simplifiez ainsi le processus de contrôle informatique visant à assurer le maintien de la conformité.