L

Le rôle de l'audit des fichiers dans la conformité

Rien n'est plus déroutant que d'essayer d'atteindre des objectifs de conformité. Ils sont généralement écrits afin d'être applicables à tout système d'exploitation, tout réseau et toute infrastructure. Bien qu'il soit impossible de rédiger des normes qui s'appliquent spécifiquement au fonctionnement de votre organisation, les auteurs ont dû se montrer plus précis techniquement parlant au cours des dernières années pour se concentrer sur ce qui est exigé des entreprises réglementées.

La plupart des normes de conformité tournent autour d'un ensemble de données protégées particulier - dossiers de santé, détails de carte de crédit, informations personnelles et autres - fournissant des conseils sur les contrôles facultatifs et obligatoires utilisés pour garantir l'accès et l'utilisation de ces données.

Certaines normes restent «anciennes» selon les normes informatiques, datant même de quelques années. Avec des contrôles aussi inutiles que “établir et maintenir des niveaux de sécurité”, il n'est pas étonnant que les organisations informatiques se demandent si elles répondent ou non aux exigences. Les meilleurs exemples de mandats de conformité avec des normes facilement applicables sont la norme de sécurité de l'industrie des cartes de paiement (site en anglais) (PCI DSS) v3.0 et le prochain général sur la protection des données (site en anglais) de l'Union européenne (RGPD).

Mais même avec des normes bien écrites, il n'y a toujours aucun moyen pour l'auteur de savoir exactement où chaque organisation stocke ses données protégées. Ainsi, les normes, bien que rédigées avec des spécifications techniques concernant l'utilisation du chiffrement, les méthodes d'authentification, les niveaux d'accès et autres, exigent toujours que le service informatique détermine la meilleure façon de garantir que l'intention de la norme soit respectée.

Où sont vos données protégées?

Pour déterminer la meilleure façon de répondre tactiquement à une norme de conformité donnée, le service informatique doit déterminer quels systèmes, applications et plates-formes sont utilisés pour stocker les données protégées.

De nombreux réseaux Windows continuent d'héberger des systèmes de fichiers basés sur des serveurs de données protégés, faisant de ces serveurs une cible principale pour les attaquants externes résolus à exfiltrer des données. Et pour ceux d'entre vous qui gardent des données protégées dans une base de données, gardez à l'esprit que ces bases de données, en fin de compte, sont toujours des fichiers - des fichiers qui peuvent être volés et accessibles hors site.

Au cœur de tout mandat de conformité est la volonté de sécuriser des données protégées, en ne permettant l'accès qu'à ceux qui en ont besoin pour des raisons professionnelles. Pour connaître et démontrer que c'est le cas pour les données protégées de votre organisation, il faut avoir de la visibilité sur qui a accès, qui utilise l'accès, et quelles mesures sont prises sur les données protégées.

Et, c’est là que l’audit de fichiers entre en jeu

Définir l'audit de fichier

Examinons d'abord les fonctionnalités qui devraient faire partie de l'audit des fichiers et qui peuvent s'appliquer à la fois aux outils Windows natifs et aux solutions tierces.

  1. Enregistrement – tous les accès et modifications aux fichiers et dossiers, y compris les données et les autorisations, doivent être enregistrés.
  2. Visibilité – toutes les données du journal d'audit doivent être facilement accessibles pour être consultées, filtrées, recherchées, etc.
  3. Alertes – les notifications doivent être envoyées en fonction des critères correspondants aux actions jugées suspectes.
  4. Rapports – cela devient un peu compliqué, mais même les outils natifs ont la possibilité d'exporter les données du journal. Donc, même si ce n'est pas joli, la capacité de générer des «rapports» partageables devrait faire partie de l'audit des fichiers.

Dans de nombreux cas, les exigences de conformité établissent l'objectif de sécurité, puis fournissent des détails sur la façon de vérifier que l'objectif est atteint. L'audit de fichiers est votre méthode de test pour s'assurer que la sécurité que vous pensez avoir autour de vos données protégées est réellement en train de faire son travail.

Alors, comment pouvez-vous utiliser l'audit de fichiers pour vous aider à atteindre vos objectifs de conformité?

Utilisation de l'audit de fichiers dans la conformité

Le détail des activités collectées et surveillées, dans le cadre de l'audit continu des fichiers, est utile pour répondre à plusieurs types d'objectifs de conformité. Étant donné que ce document n'est pas rédigé pour démontrer l'application d'un audit de fichier à un mandat spécifique, couvrons quatre cas d'utilisation génériques, en discutant du rôle que joue l'audit de fichiers dans chacun d'eux.

1. Surveiller l'attribution des contrôles d'accès sécurisés

Presque tous les mandats de conformité commencent par la mise en place d'une protection autour des fichiers contenant des données protégées. D'un point de vue tactique, cela inclut l'examen minutieux de l'établissement et de l'attribution des autorisations du moindre privilège aux utilisateurs et aux groupes. Les autorisations attribuées sont-elles correctes pour la fonction / le rôle du poste? Le bon utilisateur ou groupe est-il choisi lors de l'affectation? L'utilisateur qui fait la modification est-il autorisé à la faire?

Remarque: À l'heure où les attaquants externes cherchent à profiter du maximum d'accès possible au sein de votre réseau, l'une des nombreuses mesures possibles consiste à créer plusieurs utilisateurs et à leur attribuer des autorisations élevées. Ceci est fait pour assurer un niveau d'accès persistant au sein du réseau - si un compte est découvert, il y a 20 autres comptes derrière lui que l'attaquant peut utiliser.

Le rôle de l'audit de fichiers
L'audit de fichiers surveille les modifications et les tentatives de modifications apportées aux autorisations de fichiers ou de dossiers, documentant généralement les autorisations modifiées, le chemin de l'objet, l'utilisateur effectuant l'attribution et d'autres facteurs identifiables tels que le nom de la machine, l'adresse IP, etc. Les alertes et les rapports sur les modifications apportées peuvent fournir des détails à la fois en temps réel et historiques.

2. Surveiller l'accès et l'utilisation des données protégées

La conformité n'est pas une destination; C'est un voyage continu où chaque jour l’informatique doit être certain que son environnement reste conforme. Par conséquent, l'informatique doit avoir une visibilité constante sur les données protégées qui ont été accédées, par qui, quand, d'où, etc. Ces informations en temps réel sont absolument nécessaires pour rester vigilant contre les accès inappropriés par des initiés malveillants et des attaquants externes utilisant des informations d'identification compromises.

De plus, certains auditeurs aiment suivre la piste d'audit en commençant par ceux qui ont accès jusqu'à ce que l'on montre précisément quelles actions ont été prises avec l'accès fourni. Pour fournir cette information, un historique de toutes les activités est requis pour satisfaire les exigences de l'auditeur.

Le rôle de l'audit de fichiers
Les détails d'audit de fichier sont utilisés pour démontrer que seul un accès approuvé a été effectué. Les alertes et les rapports peuvent fournir des informations à la fois en temps réel et historiques - y compris des facteurs identifiables tels que le nom de la machine, l'adresse IP, etc. Les capacités de filtrage robustes permettent de répondre rapidement aux questions des auditeurs.

3. Mesure de la force du contrôle d'accès

Il n'est pas inhabituel pour les services informatiques d'autoriser Active Directory à évoluer de manière organique par ses propres moyens. Les adhésions aux groupes ne sont attestées que rarement, les autorisations encore moins, et les appartenances aux groupes sont rarement vérifiées – tout cela conduisant à 71% des utilisateurs déclarant qu'ils ont trop d’autorisations et ont accès à des données qu'ils ne devraient pas voir1.

Donc, quand il s'agit d'assigner des contrôles d'accès, il est possible que certains utilisateurs qui ne sont pas censés avoir accès, l’aient quand même. Et, étant donné la nécessité d'avoir le moins de privilèges possible dans un environnement hébergeant des données protégées, il est logique d'identifier les utilisateurs qui tentent d'y accéder.

Le rôle de l'audit de fichiers
L'audit de fichiers peut fournir des détails sur les comptes utilisateurs ayant pris des mesures pour accéder aux données protégées, en montrant les actions entreprises et les fichiers et dossiers concernés. Cela peut être référencé avec les contrôles de sécurité prévus pour s'assurer qu'ils sont corrects.

4. Détecter les infractions

Bien qu'aucune organisation ne veuille subir une violation de données (et, par conséquent, une violation de la conformité dans le cas de vol de données protégées), cela reste une possibilité certaine. Si les données protégées résident sur un serveur de fichiers, des indicateurs avancés évidents d'une violation existeront. Des anomalies dans l'activité du fichier se produiront telles que des heures d'accès non standard ou des grandes quantités de données accédées.

Le rôle de l'audit de fichiers
En surveillant l'accès et l'utilisation des données protégées sur les serveurs de fichiers, il est possible de détecter une violation de données basée sur une activité inhabituelle. La possibilité d'analyser les données du journal d'audit permet de détecter les actions suspectes, de notifier le responsable informatique d'une violation potentielle et d'assurer une réaction rapide lorsque cela est nécessaire.

Solution tierce vs. outils natifs

À moins d'être novice en informatique, vous savez déjà que la capacité à auditer les systèmes de fichiers Windows est un composant intégré du système d'exploitation Windows Server depuis 20 ans. L'outil Observateur d'événements fournit des fonctionnalités pour centraliser, afficher, filtrer et trier les données d'audit de fichiers. Il a même une capacité rudimentaire pour configurer la notification.

Alors, pourquoi utiliser une solution d'audit de fichiers tierce?

La réponse réside dans les lacunes en ce qui concerne les fonctionnalités, les performances et les détails fournis par les outils natifs.

Plus qu'une simple information - Intelligence et perspicacité

Les données du journal natif fournissent tous les détails nécessaires. En fait, de nombreuses solutions tierces tirent simplement parti des mêmes détails que vous pouvez trouver dans l'Observateur d'événements. Mais Microsoft n'est pas dans le secteur de l'audit, et les données du journal ne sont donc que des informations brutes.

Par exemple, le déplacement de fichiers d'une partition à une autre prend entre 6 et 10 entrées d'événement et est considéré comme une copie et une suppression - pas un "déplacement". Les solutions tierces transforment l'information en intelligence, en découvrant que ces 10 événements sont en réalité un seul événement - et l'affichent ou l'alertent en tant que tel.

De plus, certaines solutions ne s'arrêtent pas à l'intelligence; ils analysent les modèles d'activité, recherchent tout ce qui sort de l'ordinaire, prennent l'intelligence et la transforment en perspicacité - habilitant l'informatique à décider si l'activité est appropriée ou non, si elle est conforme ou non, et quelles sont les prochaines actions à entreprendre.

(Beaucoup) Plus de fonctionnalités

Nous avons déjà mentionné "Microsoft n'est pas dans le secteur de l'audit" - et c'est vrai. Ils fournissent des outils pour ceux qui ont seulement besoin des fonctionnalités les plus basiques. Les solutions tierces se concentrent sur l'automatisation d'une grande partie du travail d'audit, avec des capacités accrues de collecte, de consolidation, de présentation, de recherche, de filtrage, d'alerte, de création de rapports et même d'automatisation des tâches.

Toutes ces fonctionnalités améliorées augmentent la productivité informatique, accélèrent le processus d'audit et aident à améliorer la sécurité globale de vos données protégées.

Facilité d'utilisation et prêt pour l'audit

Contrairement aux outils natifs, qui consistent simplement à consolider et présenter les données d'événements, les solutions tierces sont conçues sur mesure, améliorant l'expérience d'audit en se concentrant sur les besoins spécifiques des audits de conformité, l'utilisation de solutions par les informaticiens et les auditeurs et les détails nécessaires pour assurer la conformité.

Facile à utiliser et intuitif, le suivi peut même être délégué à des collègues non-informaticiens qui maîtrisent mieux les données de leur secteur d'activité. Cela permet d'assurer un système d'audit plus efficace.

Respecter la conformité et éviter les pénalités avec l'audit de fichier

Bien qu'aucun mandat de conformité ne porte uniquement sur l'audit des systèmes de fichiers, le fait que votre organisation héberge des données protégées sur des serveurs de fichiers vous oblige à établir, maintenir et prouver que des contrôles d'accès spécifiques à la conformité sont en place.

Que vous choisissiez d'utiliser des outils natifs ou de tirer parti d'une solution tierce, la nécessité d'assurer le provisionnement, l'accès et l'utilisation des données protégées sous surveillance étroite est essentielle pour atteindre les objectifs de conformité pertinents. En mettant l'audit de fichiers en place, vous placez votre organisation dans une position proactive où la sécurité de vos données est maintenue et le respect des normes de conformité est simplifié.

1 Ponemon, Corporate Data: A Protected Asset or a Ticking Time Bomb? (2014)

Dashboard FileAudit

À propos de FileAudit

Prouvez aux régulateurs que vous protégez vos données en surveillant et en alertant de manière exhaustive toutes les activités d'accès aux fichiers sur les systèmes Windows.

Installé en moins de 3 minutes.

En savoir plus et essai gratuit