TOOLinux

Le journal du Libre

Vérifiez vos accès à privilèges

mardi 18 décembre 2012

Enfin 20% n’ont aucune procédure de suppression de compte en cas de départ d’un salarié. Comment dormir sur ses deux oreilles ?

Il est en effet utile de rappeler qu’en ces périodes de détente et de fête pour nombre d’entre nous, d’autres jouent la réussite de leur année, avec une intense activité qui ne peut souffrir d’arrêts impromptus ou d’incidents non maîtrisés. D’autres ont également pour mission d’assurer une continuité d’activité pour l’ensemble des utilisateurs, tout en ayant à faire face à une baisse de main d’œuvre en ces périodes de vacances, ainsi qu’à un turn-over significatif en fin d’année. Il incombe donc aux dirigeants d’entreprise, aux directeurs informatiques et aux responsables de la sécurité des Systèmes d’Information de gérer ces risques avec la flexibilité nécessaire, et les moyens de contrôle adaptés. Ces moyens permettront d’adapter l’outil informatique pour faire face au turn-over, au recrutement de personnels temporaires ou à la prestation externe et pallier ainsi aux pics d’activité.

Dans tous les cas, on comprend aisément qu’ une attention particulière doit être portée au contrôle des accès des utilisateurs à privilèges, qu’ils soient internes ou externes, prestataires ou non, ainsi qu’à la gestion de leurs mots de passe, temporaires ou de longue durée, de manière simple et sans modification significative des processus de l’entreprise. Faire face à ce type de risques implique un surcoût sur le budget informatique normal, comment adapter le niveau de sécurité à ces exigences sans peser sur son budget ?

Contrôler la chaîne de confiance

Les utilisateurs à privilège sont ceux qui ont les droits d’accès les plus étendus dans le système d’information d’une organisation. Ils sont garants de son fonctionnement tout en portant la responsabilité de protéger les données des utilisateurs et des clients de l’entreprise. En faisant appel à des fournisseurs ou des prestataires, l’entreprise prend la responsabilité de confier les clés de son système d’information à des personnes intérieures et extérieures. Y a-t-il un moyen de contrôler cette activité ? Qui le fait ?

Et que dire des prestataires eux-mêmes ? Font-ils appel à des sous-traitants ou des personnels intérimaires ? Y a-t-il moyen de contrôler leur activité ? Le font-ils également ?

Pour vivre sereinement ces périodes de fêtes de fin d’année, il vaut mieux constituer une chaine de confiance autour d’un contrôle clair et plus efficace des accès et des autorisations. Etre détendu certes, mais rester vigilant, avec des règles claires.

Informations financières, comptes utilisateurs, numéros de cartes bancaires, informations de santé et données du patient, propriété intellectuelle, informations commerciales, données clients, les enjeux sont tels qu’ils nécessitent des moyens préventifs contre la fuite de données confidentielles et le risque informatique.