P

Pourquoi la conformité commence avec la connexion

Les mandats de conformité étaient autrefois une gêne pour les services informatiques ; des ensembles de règles établies par une bande de bureaucrates incultes en matière d’informatique n’étaient pas une priorité première pour les services informatiques, à moins que la direction n’en ait donné l’ordre. Aujourd’hui cependant, l’informatique reconnait l’importance de la sécurité des données (un élément clé de la plupart des mandats de conformité), ainsi que le fait que les normes de conformité fournissent un cadre permettant d'établir une sécurité adéquate.

La plupart des organisations informatiques concentrent leurs efforts sur l’établissement et le maintien des niveaux de sécurité : une étape nécessaire, bien sûr. Mais lorsqu’il s’agit de garantir de manière permanente qu’un environnement demeure conforme il faut savoir comment l’environnement est utilisé, et déterminer si cette utilisation tombe en dehors des normes acceptables.

La question devient donc de savoir quelle est la limite acceptable en matière d’utilisation avant de déterminer si vous êtes conforme. Il ne faut évidemment pas attendre une violation pour réaliser que vous n’êtes pas conforme. Il vous faut un moyen de tester la conformité bien plus tôt dans le processus d’utilisation.

Heureusement, un tel test de conformité existe : la connexion.

Les connexions ne sont pas uniquement un protocole de sécurité visant à éloigner les regards curieux importuns ; elles représentent un point charnière du moment auquel un utilisateur spécifique s’identifie. Et il ne s’agit pas uniquement du nom d’utilisateur et du mot de passe, en creusant un peu plus, il existe bien plus de détails fournis au moment de la connexion. D’autres détails, tels que la date et l’heure de la connexion, l’adresse IP et le poste de travail depuis lequel la connexion est faite, ainsi que la fréquence de la connexion jouent un rôle en ce qui concerne l’identification d’un environnement susceptible de ne pas être conforme.

Prenez l’exemple suivant :

Un utilisateur ayant accès à des données soumises à un mandat de conformité se connecte en dehors des heures d’ouverture plusieurs fois de suite depuis un ordinateur distant.

Il existe ici trois signaux d’alerte :

  • l’heure
  • le nombre de connections
  • la localisation depuis laquelle la connexion s’est produite

La mauvaise nouvelle est que la connexion ne vous apprend pas directement que vous êtes en violation des règles de conformité, bien qu’elle vous fournisse des indicateurs majeurs qu’un problème potentiel existe bien avant que tout accès (violation des règles de conformité) ne se produise.

Beaucoup de normes sont tout à fait conscientes de l’importance de la connexion et des actions successives. Prenez par exemple l’une des normes les plus détaillées aujourd'hui – PCI DSS (site en anglais) – afin d’observer le rôle de la connexion en ce qui concerne la conformité.

L’objectif de la norme de sécurité des données PCI est de protéger les données des titulaires de carte de paiement de tout accès non autorisé. Prenez les mesures de précaution suivantes trouvées dans la norme PCI actuelle :

  • Condition 7: Restreindre l’accès aux données du titulaire aux seuls individus qui doivent les connaître
  • Condition 9: Retreindre l’accès physique aux données du titulaire de carte
  • Condition 10: Suivre et surveiller tous les accès aux ressources réseau et aux données du titulaire

Chacune de ces conditions est nécessaire pour garantir que les données du titulaire de carte sont en sécurité. Mais elles dépendent toutes d’un mot clé retrouvé dans chacune de celles-ci : accès.

Ce mot unique représente le processus d’utilisation d’un compte pour se connecter activement à un système et ouvrir / lire / copier / télécharger les données du titulaire de carte – une action qui commence au moment de la connexion.

Même les auteurs de PCI le comprennent : L’exigence 8 (identifier et authentifier l'accès aux composants du système) existe en vue d’établir un accès et une utilisation de l’environnement de manière individuelle. Cette exigence existe pour garantir une façon (dans l’exigence 10) d’auditer chaque interaction de l’utilisateur avec le réseau et, au final, avec les données du titulaire de carte.

Commencer la conformité avec la connexion

Tandis qu’établir des contrôles de conformité nécessite des efforts sur de nombreux fronts (selon chaque mandat), la vraie surveillance garantissant qu’une organisation demeure conforme porte réellement sur l’accès inapproprié à des données sensibles. Et, parce que l'organisation ne peut pas se permettre d'attendre que cet accès inapproprié se produise, il devient nécessaire (et tout simplement intelligent) de tirer parti de tous les indicateurs majeurs.

La connexion est le point le plus convaincant pour surveiller la conformité, ainsi que (si vous disposez de la solution de sécurité appropriée) pour empêcher tout accès potentiellement inapproprié (violation de conformité). En exploitant cette étape nécessaire du processus d'accès, vous simplifiez ainsi le processus de contrôle informatique visant à assurer le maintien de la conformité.