in

Le contrôle de conformité doit s’appuyer sur l’analyse des risques – par Bastien Meaux, Beta Systems France

Pouvez-vous déterminer quel utilisateur a accès à quelle ressource ? Comment visualisez-vous les risques liés aux habilitations de vos utilisateurs ? Pour contrôler les risques informatiques, la gestion des identités et des accès (identity and access management ou IAM) s’avère être un outil de plus en plus efficace. D’autant plus que le risque potentiel pour une entreprise augmente avec le nombre de comptes utilisateurs, de rôles et de groupes. Lorsque les responsables métiers ou informatiques mettent en œuvre un système d’Access Intelligence, ils peuvent considérablement réduire le risque potentiel d’accès non autorisés, de pertes de données ou de malversations éventuelles. Collecter et évaluer les risques liés aux ressources informatiques et à leur accès via un logiciel d’IAM performant est aussi un outil privilégié pour garantir le respect des directives de conformité informatique.

Voici cinq conseils pour vous aider à réussir votre projet de contrôle de conformité basé sur l’analyse des risques

 1) Utiliser un système de gestion des risques intégrant l’analyse intelligente des accès

Les solutions d’Access Intelligence s’appuient sur les technologies de Business Intelligence. Elles permettent à l’entreprise de s’assurer que toutes les informations liées aux accès (utilisateurs, rôles, autorisations…) sont capturées et documentées. Ces informations sont les réponses aux questions telles que « Qui a actuellement quelle autorisation ? » ou « Quels accès avait auparavant cette personne ? ». A l’aide de rapports dynamiques personnalisés et d’une interface graphique optimisée pour manipuler les données, l’analyse intelligente des accès associés aux utilisateurs permet d’identifier les problèmes et les risques potentiels. Dès lors l’entreprise est en mesure de mieux protéger ses données et ressources informatiques contre des interventions non autorisées et potentiellement dangereuses.

2) Déployer la solution par étape

Penser grand, commencer petit ! L’analyse intelligente des accès donne aux managers en charge de la gestion des risques les moyens d’entreprendre des analyses approfondies. La technologie d’Access Intelligence peut être déployée sur un périmètre bien délimité, afin d’éviter le syndrome des projets trop ambitieux à trop court-terme. L’outil n’en sera pas moins utile immédiatement, pour mettre en évidence d’éventuelles failles, ainsi que le niveau de risques généré par le périmètre concerné. Le périmètre pourra ensuite être élargi selon les besoins. Le processus peut nécessiter de définir au préalable les risques à analyser. Des collaborateurs expérimentés doivent être disponibles pour soutenir chaque étape du projet, apporter des recommandations pour cadrer le projet et le piloter en associant les différentes parties concernées de l’organisation.

3) Obtenir rapidement une première évaluation des risques potentiels

Grâce à une présentation graphique des informations adaptée à chaque département de l’entreprise, les informations de sécurité sont compréhensibles aussi bien par les administrateurs informatiques que par les responsables opérationnels. En particulier, la gestion des risques basée sur l’Access Intelligence vise quatre principaux groupes de personnes dans l’entreprise. Chaque groupe y trouvera son propre intérêt.

En premier lieu, les responsables sécurité informatique visualisent les niveaux de risques, hiérarchisent l’information et accèdent aux données de sécurité dans n’importe quel format. Le système leur permet d’évaluer le risque d’accès associé à l’habilitation qu’ils sont sur le point d’accorder.

Les responsables métiers utilisent régulièrement les outils d’analyse pour mesurer et quantifier les risques d’accès, et fournir à leurs équipes les informations nécessaires pour adapter leurs processus et protéger leurs ressources informatiques.

La direction accède à des tableaux de bords et des rapports personnalisés contenant les indicateurs de risques pondérés. Ainsi, les décideurs déterminent rapidement et efficacement les actions correctives à mener pour réduire le risque.

Enfin, les auditeurs minimisent le temps passé à la réalisation de leurs audits de conformité, notamment grâce à une manipulation aisée des données qui leur permet d’obtenir rapidement les réponses à leurs questions. 

4) Diffuser une évaluation qualitative des risques

Lorsqu’une entreprise déploie une solution d’analyse des risques d’accès, elle doit s’assurer que les  destinataires (service informatique, responsables opérationnels, direction, auditeurs) reçoivent uniquement les informations adaptées à leurs attentes, plutôt qu’une vision des risques brute, standard et non qualifiée. Le facteur clé est ici la qualité de l’information, et non la quantité. Les rapports qualitatifs sont constitués d’indicateurs de risque pondérés et hiérarchisés, calculés sur la base d’une grande quantité de données. Cela permet aux utilisateurs de ces rapports de mettre immédiatement le doigt sur l’information la plus importante et de focaliser sur les zones à hauts risques.

5) Identifier les utilisateurs à hauts risques

Plus que toute autre, les autorisations jugées à hauts risques doivent être identifiées et traitées avec une attention particulière. Ainsi, l’entreprise devrait régulièrement évaluer ces droits spécifiques pour déterminer à qui l’habilitation a été attribuée, quel groupe ou quel rôle l’utilise, et quelles activités effectuent les utilisateurs qui en bénéficient. Identifier les utilisateurs qui ont des droits d’accès spécifiques aide les entreprises à se concentrer sur la surveillance de ces groupes, et à adopter les actions correctives nécessaires pour garantir le respect des directives de conformité informatique de l’entreprise.

Ces cinq points permettent de cartographier aisément les risques d’accès et de mettre en œuvre un dispositif de contrôle de conformité efficace et performant.

Bastien MEAUX - 300 Bastien Meaux, Responsable Marketing et Partenaires de Beta Systems France

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.