Ajouter un commentaire

Par :
Jay Roxe

ven, 08/10/2010 - 11:08

Malgré plus d’une décennie d’efforts, et des milliards de dollars investis dans la sécurité et la conformité informatique, l’entreprise est encore et toujours la proie de failles de sécurité, de constats d’audit réglementaires négatifs, et de coûts liés aux atteintes portées aux données. Par Jay Roxe, Directeur Marketing, Identité et Sécurité, Novell

Pourquoi ? Parce que la plupart d’entre-elles restent trop concentrées sur les incidents de sécurité et de conformité qui se produisent au quotidien. Comment pourrait-on expliquer autrement les données de coût alarmantes qui continuent à être publiées ? Prenez par exemple les conclusions de l’Etude 2009 du Ponemon Institute : Cost of a Data Breach (Le coût de la violation des données), qui estime le coût par enregistrement à 204 dollars. Multipliez ce coût par des milliers, voire des centaines de milliers d’enregistrements, et c’est à des millions de dollars que se chiffrent les dommages de ces atteintes et manquements.

 

Les approches ad hoc de sécurité et de conformité sont inopérantes

Personne ne peut nier que la sécurité et la conformité sont onéreuses et délicates à obtenir et à maintenir. Pendant ce temps, les réglementations et les menaces de sécurité persistent. Et bien que les dépenses et dommages engendrés par les amendes et atteintes à la protection des données soient considérables, on peut relever un point positif : une bonne approche de la gestion de la conformité et des risques est moins coûteuse que les mesures que prennent les entreprises pour régler ces problèmes aujourd’hui.

Pensez à l’accroissement des risques de sécurité, des coûts de gestion, et du nombre de constats d’audit négatifs qu’entraîneront des incidents s’ils se multiplient à travers une entreprise. Ils peuvent englober les politiques de mot de passe, le provisionnement de workflow, les droits d’accès, les configurations système, les politiques de gestion des journaux, ainsi que de nombreux autres contrôles sécuritaires et réglementaires. C’est comme cela que de très petites insuffisances réglementaires se muent en problèmes coûteux et systémiques en se répandent à travers l’entreprise et l’infrastructure informatique.

Si les entreprises sont déjà confrontées à ces types de défis en matière de gouvernance et de gestion des risques, comment comptent-elles réduire le moment venu les risques et administrer les architectures dynamiques qui dépendront encore plus qu’aujourd’hui de la virtualisation ? A un horizon plus lointain, comment géreront-elles un environnement de cloud computing bien plus nébuleux que leurs systèmes actuels ?

La réponse est simple : elles doivent construire une infrastructure de gouvernance unifiée et flexible, qui atténuera les risques et réduira les coûts du moment– tout en préparant l’entreprise à une dépendance encore plus lourde vis-à-vis de la virtualisation et à l’adoption à terme de l’informatique sur le cloud.

 

Le passage à une structure unifiée et flexible de gestion de la conformité et des risques

La première étape consiste à s’éloigner de l’approche ad hoc, de la gestion de la conformité réglementaire et des risques. Pour cela, le meilleur moyen est de recenser l’ensemble des processus et contrôles de gestion du risque de l’entreprise, puis de vérifier qu’ils sont clairement définis et documentés. Cela peut s’avérer un travail long et pénible, compte tenu des centaines, voire des milliers de contrôles et de politiques en vigueur au sein de l’entreprise selon sa taille. Mais cela en vaut la peine.

Une fois l’inventaire effectué, il convient de simplifier et consolider les contrôles réglementaires partout où c’est possible, puis de mapper ces contrôles sur les systèmes et données de l’entreprise. Plutôt que de déployer un ensemble de contrôles totalement distinct pour PCI DSS, HIPAA et autres lois et normes, il est préférable de déterminer les contrôles communs et d’unifier ces politiques au sein d’une infrastructure unique capable de répondre à toutes les exigences réglementaires et de politique de sécurité interne. Enfin, pour surveiller de manière continue l’efficacité des politiques et contrôles mis en place, l’utilisation d’outils informatiques est recommandée. Cela concernera la surveillance des journaux, des rapports de gestion des identités et des accès, la gestion des informations et événements de sécurité, entre autres applications de sécurité et de conformité.

Combien de contrôles redondants peut-on trouver ? Beaucoup, selon le nombre de réglementations et de domaines d’activité de l’entreprise. Est-il nécessaire d’appliquer des politiques de mot de passe distinctes au sein d’une société ? Il vaut mieux se limiter à une seule politique de mot de passe pouvant être appliquée de façon homogène à travers l’entreprise. Il en sera de même pour le provisionnement du workflow, l’établissement des droits d’accès, la gestion et la surveillance des journaux des événements, et pour la plupart des autres politiques.

Dès lors, si une nouvelle obligation réglementaire fait son apparition –demande de saisie d’un mot de passe d’une certaine longueur, par exemple– il suffit de mettre à jour cette politique plutôt que de remanier cinq politiques séparées, chacune avec sa propre couche de supervision et de gouvernance.

 

Les avantages des infrastructures virtualisées et « sur le cloud »

Maintenant, songez à l’impact de cette infrastructure unifiée et flexible de gestion des risques et de la conformité sur les environnements virtualisés. La sécurité et la conformité sont considérablement modifiées lorsque la virtualisation est introduite dans les systèmes de production. Comment les politiques sont-elles mappées sur les machines virtuelles correspondantes ? Comment le basculement d’une charge de travail virtualisée entre deux tâches peut-il faire échouer les contrôles réglementaires ? Comment les contrôles politiques et de sécurité de ces charges de travail sont-ils mis à jour lorsque les réglementations ou les menaces de sécurité évoluent ?

Nul doute qu’une infrastructure unifiée et flexible de gestion des risques et de la conformité aidera les entreprises à gérer la conformité et la sécurité de ces charges de travail virtualisées bien plus intelligemment.

Il en va de même pour le passage au cloud computing. Ce travail entrepris permettra de vérifier la mise en place effective de systèmes de contrôle d’accès appropriés à travers les systèmes informatiques physiques, virtuels et « sur le cloud ». Il sera possible de vérifier que les bons journaux sont gérés, que les contrôles de confidentialité des données sont en place, et que d’autres politiques de sécurité sont appliquées, et ce que le travail ait lieu dans le datacenter principal, sur un système virtuel installé dans un bureau distant, ou dans les installations d’un fournisseur de services sur le cloud, n’importe où dans le monde.

La construction d’une infrastructure flexible de gestion de la conformité et des risques peut s’avérer délicate et onéreuse, mais jamais autant que le prix à payer pour l’atteinte à la protection des données, les amendes pour non conformité, et la mobilisation de main-d’œuvre pour répondre aux urgences réglementaires et liées à la sécurité. Tout cela est possible en bâtissant une infrastructure de gestion des risques au moins aussi flexible que l’infrastructure informatique.

Jay Roxe, Directeur Marketing, Identité et Sécurité, Novell

A propos de l'auteur

Jay Roxe

Filtered HTML

Plain text

CAPTCHA
Cette question permet de vérifier que vous n'êtes pas un robot spammeur :-)
 FFFF   GGG   M   M  TTTTTT  III 
F G MM MM TT I
FFF G GG M M M TT I
F G G M M TT I
F GGG M M TT III