La gestion des droits d’accès aux données au cœur de la lutte contre la fraude

Parmi l’arsenal de solutions qui s’offre aux entreprises pour faire face à ce problème, on peut citer celles dédiées à la gouvernance des données.

Selon le dernier rapport sur la Fraude en Entreprise publié par PwC, les fraudes détectées par les entreprises ont augmenté en France de 29 % à 55 % entre 2009 et 2014, progression qui s’explique principalement par la mise en place de dispositifs de détection plus efficaces. On ne peut que s’en réjouir puisque près d’un tiers des fraudes ont coûté en moyenne plus de 100 000 dollars aux entreprises qui en ont été victimes.

Toutefois, l’augmentation des détections ne semble pas réfréner les escrocs puisque ce début d’année 2014 a déjà été marqué par une première affaire d’envergure avec le cas d’une entreprise de la Manche victime d’une escroquerie portant sur un préjudice de près de 200 000 €. Chaque cas de fraude n’aboutit pas non plus systématiquement et c’est donc une bonne chose que les entreprises victimes de tentatives, le signalent et portent plainte, même si ce n’est pas toujours le cas malheureusement.

Les fraudes concernent principalement tout ce qui touche de près ou de loin aux données. Il faut dire que le volume de données est en croissance constante, avec environ 50 % d’augmentation par an. Avec autant de données, il n’est plus possible de comprendre et d’identifier où les données se trouvent, qui est autorisé à y accéder, et si ceux qui y accèdent y sont effectivement autorisés ou en sont propriétaires. De plus, dans certains cas, la donnée devient inidentifiable et les volumes atteignent des téraoctets voire des pétaoctets. Parmi ces données, certaines sont particulièrement sensibles comme les données financières, celles qui concernent les clients ou les données des employés. On y trouve également une variété de données entrant quotidiennement qui sont moins critiques et exposées.

Malheureusement, les ressources en personnel informatique disponibles augmentent rarement au même rythme que la quantité de données et l’accès et la gestion des droits ne peuvent plus se faire de façon manuelle.

Le rapport PwC souligne également que « L’identification de transactions inhabituelles (les écritures comptables enregistrées le dimanche par exemple) contribue à détecter 25 % des fraudes ». Un facteur essentiel dans la gestion et la sécurisation des données sensibles consiste donc à savoir exactement où sont ces données, qui peut y accéder, et à déterminer ce qu’il leur arrive, et ce, le plus rapidement possible pour pouvoir intervenir si nécessaire. On parle alors de gouvernance des données.

Pour clarifier la jungle des données, une société va devoir travailler en plusieurs phases. Pour se conformer aux exigences de gouvernance de données, il faut d’abord déterminer qui peut accéder à quelles données et qui le fait en réalité. Des solutions logicielles peuvent fournir une vue d’ensemble réaliste et déterminer qui accède réellement aux données et à quelle fréquence. Sur la base de ces résultats, l’étape suivante va consister à déterminer si les droits d’accès sont correctement attribués ou beaucoup trop larges au regard des données sensibles étant accessibles. Cette étape est en réalité rarement mise en place.

Les serveurs sur lesquels la majorité des données critiques sont réunies et accédées fréquemment par plusieurs personnes, doivent être placés en premier lieu sous le microscope. Après observation des événements d’accès sur un serveur, il est généralement possible d’identifier les propriétaires des données réelles et travailler ensemble avec eux afin d’optimiser les autorisations. Vous serez alors aussi bien en mesure d’identifier les processus organisationnels, les processus métiers et les exigences qui vous permettront de protéger les données.

Certaines solutions de gouvernance sont désormais en mesure de fournir des alertes en temps réel sur les données supervisées, y compris sur l’accès ou la suppression de données critiques, ainsi que sur les changements de permissions et de fichiers de configuration.

La capacité à détecter les événements critiques, à notifier les bonnes personnes et à fournir le contexte nécessaire pour traiter les accès ou modifications potentiellement non autorisés peut aider les responsables de la sécurité des informations et les dirigeants d’entreprise à rendre leurs processus de gestion du risque plus efficaces. Ces solutions de gouvernance des données en temps réel, disposent de différents critères d’alertes facilement configurables afin que les bonnes personnes et les bons systèmes puissent recevoir les bonnes informations, au bon moment et de manière adéquate.