Les administrateurs de stratégies, ou de règles et procédures, mettent souvent tous leurs œufs de sécurité dans le même panier, et s’en remettent à une seule étape d’authentification comme barrière unique d’accès aux ressources par des étrangers. L’accès devrait être contrôlé par au moins deux processus :
Différences entre authentification et autorisation
authentification et autorisation. Pour une bonne sécurité, il est important de comprendre leurs différences. Une troisième procédure, notification et audit, est elle aussi essentielle pour éviter la faille la plus courante de toutes : la complaisance.
L’authentification consiste à déterminer l’identité de quelqu’un et, sur un i, la plupart des gens le font en vérifiant le couple profil utilisateur/mot de passe.
C’est un exemple d’authentification par « quelque chose que vous connaissez », comme illustré dans la combinaison du verrou chiffré de la salle des serveurs. Une autre forme d’authentification courante est par « quelque chose que vous avez », comme une carte de proximité pour accéder à un bureau ou une carte magnétique pour une chambre d’hôtel. Enfin, l’authentification par « quelque chose que vous êtes » fait intervenir la biométrie, par exemple les lecteurs d’empreintes digitales des ordinateurs portables.
Ne confondez pas authentification et autorisation, car ce sont des processus séparés. Après l’authentification, l’autorisation détermine les droits d’accès de la personne sur les objets i. La sécurité au niveau objet dicte l’autorisation sur le i, et vous la déterminez par le profil utilisateur que quelqu’un emploie pour accéder au système. Par exemple, les trois profils utilisateur dans la figure 1 ont des droits d’accès différents au fichier HR/PAYROLL. Par conséquent, il est impératif que personne ne s’authentifie auprès du i avec le profil utilisateur d’une autre personne, particulièrement si celle-ci a une autorité supérieure sur des objets sensibles.
Vous savez peut-être, et pour cause, que la sécurité est un processus continu par opposition à quelque chose qui est créé ou possédé. De plus, vous ne pouvez mesurer la sécurité que par rapport à la stratégie « • et pas seulement une stratégie, mais la procédure qui équilibre adéquatement les risques et les besoins de gestion pour une entreprise. Les stratégies définissent généralement les applications et données critiques, les rôles dans l’organisation, et les privilèges concernant ces rôles. C’est pourquoi les organisations de pointe créent leurs procédures de sécurité en impliquant à la fois les patrons gestionnaires et les spécialistes IT. Après quoi, elles utilisent les outils pour appliquer la stratégie de sécurité et mesurer la conformité. Les deux étapes sont indispensables pour obtenir une vraie sécurité.
Téléchargez cette ressource
Préparer l’entreprise aux technologies interconnectées
Avec la « quatrième révolution industrielle », les environnements hyperconnectés entraînent de nouveaux risques en matière de sécurité. Découvrez, dans ce guide Kaspersky, comment faire face à cette nouvelle ère de vulnérabilité.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
