> Tech > Gouvernance des données, 6 étapes clés

Gouvernance des données, 6 étapes clés

Tech - Par Sébastien De La Tullaye - Publié le 22 septembre 2014
email

Les départements IT sont confrontés à deux principaux écueils : d’un côté ils doivent faire face à une myriade de menaces à l’encontre des données de l’entreprise, et de l’autre, composer avec toutes sortes d’obligations de conformité et de règlements internes.

Gouvernance des données, 6 étapes clés

Pourtant en faisant les bons choix technologiques, en suivant les bonnes pratiques et sans oublier aucune des étapes qui jalonnent ce type de projet, il est possible d’instaurer une gouvernance automatisée et multi plate-forme de l’accès aux données.

Gouvernance des données, 6 étapes clés

Avant de nous pencher sur les enjeux et problèmes des pratiques actuelles, rappelons ce qu’on entend par gouvernance. La gouvernance prend des sens différents selon les gens, mais dans sa forme la plus basique elle consiste simplement à garantir que les bonnes personnes (administrateurs y compris) bénéficient du bon accès (notamment les droits de superutilisateurs), au bon moment, de la bonne manière, et que toutes les autres personnes soient d’accord pour les laisser jouir de ces droits (attestation). Autrement dit, dans sa forme basique, la gouvernance recouvre le provisioning, les rôles et les attestations.

Le provisioning renvoie quant à lui à la manière dont une organisation accorde des droits d’accès aux personnes qui ont besoin de la manière la plus efficace, la plus précise et la plus sûre possible. Dans le cas des comptes privilégiés, cela inclut le fait d’accorder à un administrateur un « accès privilégié », avec ce que cela suppose d’obligations en termes de règles, de workflow et d’audit. Les rôles font référence à la création de groupes de personnes ayant des besoins ou fonctions similaires afin de ne pas devoir répéter les procédures de provisioning et d’attribution de droits d’accès (y compris les droits d’accès privilégié) chaque fois que quelqu’un doit accéder aux données. Enfin, l’attestation correspond à la manière dont une organisation procède régulièrement à la recertification des accès (administratifs, en particulier) comme l’imposent quasiment tous les cadres réglementaires et les bonnes pratiques professionnelles.

Dans un environnement IT complexe, combien de temps cela prendrait-il à une équipe IT de découvrir les droits d’accès d’un individu en particulier, et comment il les a obtenus ? Comment l’équipe IT s’y prendrait-elle pour répéter cette manœuvre à l’échelle des plates-formes de toute l’organisation ? Les pratiques actuelles sont inefficaces, qu’il s’agisse d’accéder manuellement à l’ensemble des données non structurées d’un environnement hétérogène, de détecter une perte de donnée sur des serveurs de fichiers et dispositifs NAS, ou d’enregistrer toutes les données disponibles sur SharePoint.

L’inefficacité engendre un manque de productivité. Ce ne sont pas les départements IT qui déterminent le niveau des droits d’accès accordés aux salariés. Ils n’ont aucun moyen de savoir si le rôle de telle ou telle personne légitime son accès à certains fichiers ou dossiers, car il s’agit là d’une décision business interne, et non pas technique. Pourtant la plupart des entreprises confient aux services IT la mission de contrôler et de sécuriser l’accès aux données, ce qui amène les utilisateurs à jouir de niveaux d’accès que la direction n’approuverait pas. Ajoutez à cela qu’il reste toujours des données non structurées et orphelines, dont personne ne sait à qui elles appartiennent, si elles sont encore valides, etc.

La nature essentiellement réactive des environnements actuels pose problème ; si l’on ne traite pas les causes profondes des problèmes, ceux-ci persisteront. Bien sûr, une entreprise a toujours besoin de pouvoir compter sur des solutions pour résoudre les problèmes, mais si tout ce que font les services IT consiste en du dépannage à court terme, les choses ne risquent pas de s’améliorer à l’avenir. Les entreprises ne sont pas statiques, leurs perspectives d’évolution sont pratiquement illimitées, si bien qu’elles sont amenées à centraliser les demandes d’accès pour lever les doutes sur qui accède à quelles données, et surtout, qui doit avoir accès aux données.

Une entreprise peut reprendre durablement le contrôle de ses données, sans recourir au verrouillage informatique total, en mettant en place une stratégie complète de gouvernance de l’accès aux données. Dell Software distingue les six étapes suivantes à cet effet :

1.    Identification des utilisateurs et ressources
2.    Classement des données et droits d’accès
3.    Désignation de propriétaires des données et de validateurs
4.    Audit et reporting des accès
5.    Automatisation des demandes d’accès et gestion automatique des problèmes
6.    Blocage des modifications non autorisées

Identification des utilisateurs et ressources

Bien que ces six étapes constituent un cercle vertueux, pour l’entreprise qui se lance à peine dans la gouvernance, la première étape consiste à faire l’inventaire de son infrastructure. Qui sont les utilisateurs, quelles ressources (partages de fichiers notamment) sont présentes dans l’environnement IT ? L’entreprise devra aussi identifier et documenter l’ampleur de l’utilisation du SharePoint, et repérer toutes les données non structurées ou orphelines.

Classement des données et droits d’accès

Suite à cet inventaire, les entreprises doivent opérer un classement afin d’identifier tout contenu confidentiel, s’il tombe ou non sous le coup d’un quelconque règlement, et s’il est encore actif ou à archiver. C’est à ce stade que l’entreprise détermine qui doit être propriétaire des données, et qu’elle évalue les règles de gestion des identités et des accès. En classant leurs données, les entreprises travaillent à établir un modèle d’accès basé sur des règles établies et cohérentes et sur l’infrastructure d’identités existante.

Désignation de propriétaires des données et de validateurs

C’est à ce stade que l’entreprise désigne les propriétaires de données selon leur rôle, leur emplacement et autres critères. Ce sont ces propriétaires identifiés, et non plus les services IT, qui accorderont dès lors les accès. Au cours de cette phase, il est important d’effectuer les contrôles de conformité qui s’imposent pour vérifier la séparation des tâches (ex., l’auteur de la requête ne peut pas en être aussi le validateur). Cette étape se termine par l’établissement d’une procédure de workflow automatisée pour les requêtes futures, afin d’éviter les répétitions inutiles à chaque demande de modification ultérieure.

Audit et reporting des accès

Comme l’état des données change constamment, il est capital de programmer des attestations régulières des accès à l’échelle de l’entreprise pour des questions d’exactitude et de sécurité. Les rapports détaillés générés pourront servir à prouver la conformité de l’entreprise aux auditeurs. La procédure d’attestation doit être efficace et tenir compte du fait que ce sont les dirigeants de l’entreprise qui sont les mieux à même de la mener à bien. Dans l’idéal, on s’efforcera de remplacer les procédures inefficaces où les rapports sont rassemblés par les services IT, communiqués à la direction de l’entreprise qui les interprète avant de les rendre aux services IT pour qu’ils effectuent les changements nécessaires. En permettant à l’entreprise d’effectuer toutes ces tâches de manière automatisées, on améliore la gouvernance de l’accès aux données.

Automatisation des demandes d’accès et gestion automatique des problèmes

Pour des raisons de sécurité, la procédure doit prévoir de n’accorder l’accès qu’en fonction du rôle de l’auteur de la requête au sein de l’organisation. Un portail des demandes d’accès est envisageable : les utilisateurs sollicitent l’accès aux ressources et le personnel approprié passe les accès en revue pour vérifier le bon fonctionnement de la procédure. Il est important de mettre en place des réponses automatiques pour remédier aux éventuels écarts vis-à-vis des règles établies.

Blocage des modifications non autorisées

Il y aura forcément des données, groupes ou droits d’accès que vous souhaiterez protéger de toute modification. Verrouillez-les et programmez une alarme en temps réel pour être averti de toute tentative de modification. Il est recommandé également de tenir un journal de toutes les modifications dans un référentiel sécurisé non modifiable, distinct des journaux d’évènements standard, qui pourra servir à l’occasion d’analyses détaillées ultérieures. Mais le simple fait de savoir qu’une « modification » a eu lieu ne vous apprendra pas grand-chose au final. Il est donc tout aussi important que vos journaux consignent les modifications effectuées, avec une indication des valeurs avant / après.

L’entreprise est aujourd’hui la cible de menaces imprévisibles tant externes qu’internes. Ajoutez à cela les réductions des budgets d’application des règles et vous comprendrez pourquoi le développement d’un programme de gouvernance des données passe souvent au second plan. Résoudre les problèmes de gouvernance de l’accès aux données ne se fait pas en un jour, mais ce n’est pas non plus si compliqué que cela. En adoptant une approche globale, les entreprises peuvent instaurer un environnement ordonné et traiter l’origine des problèmes pour éviter qu’ils se produisent.

Téléchargez cette ressource

Préparer l’entreprise à l’IA et aux technologies interconnectées

Préparer l’entreprise à l’IA et aux technologies interconnectées

Avec la « quatrième révolution industrielle », les environnements hyperconnectés entraînent de nouveaux risques en matière de sécurité. Découvrez, dans ce guide Kaspersky, comment faire face à cette nouvelle ère de vulnérabilité.

Tech - Par Sébastien De La Tullaye - Publié le 22 septembre 2014