Garantir la conformité aux normes de sécurité grâce à la gestion des accès à privilèges (PAM)
Aujourd’hui, les cybermenaces pesant sur les données et la confidentialité étant omniprésentes, il est indispensable que la cybersécurité fasse partie de chaque réseau d’entreprises – et bien sûr, que la protection des données à caractère personnel, financières, sanitaires et autres, détenues par les entreprises, soit prise très au sérieux.
Outre la perte des données, les cadres dirigeants doivent faire face à une autre problématique : les coûts financiers liés au vol des données, en termes d’atténuation des dommages mais aussi de pénalités qui seront imposés par divers organismes publics si l’entreprise n’a pas respecté les lois et réglementations applicables.
Les coûts pour une société reconnue coupable du non-respect des réglementations en vigueur sont élevés. Dans deux exemples récents, Equifax a dû payer 575 millions de dollars pour ne pas avoir pris les mesures adéquates pour protéger son réseau avant sa violation de données en 2017, tandis que British Airways a été condamné à une amende d’environ 230 millions de dollars pour non-respect du RGPD dans le cadre d’un incident cybernétique signalé en 2018.
Tout non-respect peut générer des coûts élevés
En effet, non seulement les amendes potentielles en cas de non-conformité sont importantes, mais la liste des différentes réglementations à respecter est longue. Le RGPD et la directive NIS (directive sur la sécurité des réseaux et des systèmes d’information) sont d’origine européenne, mais ont un impact sur toutes les entreprises opérant sur ce marché. Aux États-Unis, les entreprises doivent se conformer aux réglementations fédérales et étatiques ainsi qu’aux normes propres au secteur d’activité, y compris les lois HIPAA, HITECH, et SOX, et PCI-DSS.
Il ne faut pas que la conformité vous semble intimidante
Il est important de connaître les réglementations et normes auxquelles une société doit se conformer, mais cela peut aussi être quelque peu décourageant. En effet, la mise en œuvre effective des mesures de sécurité et de contrôle appropriées peut sembler à la fois écrasante et coûteuse, en particulier pour les cadres chargés de la conformité, mais elle peut être simplifiée dans une large mesure en comprenant ce qui se trouve au cœur de toutes les réglementations en matière de cybersécurité : seules les bonnes personnes, au moment approprié et dans des conditions favorables, devraient avoir le privilège d’accéder aux systèmes et aux données sensibles, et cet accès devrait être tracé.
À titre d’exemple, nous pouvons examiner un échantillon représentatif de réglementations et de normes et voir comment les questions d’accès à privilèges dépassent les frontières :
- L’article 29 du RGPD exige que les responsables du traitement des données n’aient accès qu’aux données dont ils ont besoin pour accomplir leurs tâches.
- L’annexe 9 de la norme ISO 27001 fournit de nombreuses normes sur l’accès à privilèges, y compris le langage « qui doit être utilisé ».
- La loi HIPAA exige un accès et une utilisation restreints des données sur les soins de santé selon les fonctions de l’utilisateur.
- La norme PCI-DSS exige que les utilisateurs aient un accès à privilèges uniquement à un minimum de données requises pour l’exécution de leurs fonctions.
Même si elle n’est bien sûr pas exhaustive, cette courte liste illustre le fait que la plupart, sinon la quasi-totalité, des principales normes et réglementations en matière de sécurité exigent quelques mesures de contrôle d’accès. Le principe de base, qui consiste à fournir un accès à privilèges uniquement lorsqu’il est approprié, couvre plusieurs sous-sections d’exigences dans un large éventail de secteurs et de régions – et c’est également ce qui est au cœur de la gestion des accès à privilèges (PAM). Pour assurer une bonne gestion des accès à privilèges (PAM) – qui garantirait à son tour le respect des réglementations cruciales en matière de cybersécurité – une solution PAM doit comprendre à la fois la gestion des accès et la gestion des sessions. Les deux sont importants pour la sécurité, et avec les caractéristiques appropriées, ils permettent de garantir au plus haut point un accès contrôlé et la conformité lors d’un audit.
PAM et conformité
La gestion des accès est liée à la gestion des sessions pour fournir des vues en temps réel de ce qui se passe sur un réseau et pour en assurer le contrôle. La gestion des accès permet d’assurer le principe mentionné ci-dessus : seules les bonnes personnes, au opportun et dans des conditions appropriées ont le privilège d’accéder aux systèmes et aux données sensibles. C’est effectivement ce qu’elle fait (entre autres) en attribuant les types de privilèges nécessaires pour accéder à toutes les ressources et en conférant ces divers privilèges aux utilisateurs appropriés. La gestion des sessions, comme son nom l’indique, fournit une vue en temps réel et un enregistrement OCR complet de toutes les activités des sessions sur le réseau, ce qui signifie que les équipes de sécurité peuvent être alertées en cas d’activité suspecte en cours, soit pour valider ou cesser l’activité, soit pour l’examiner ultérieurement à des fins de vérification et de formation.
Préserver l’historique pour ne pas le répéter
Le contrôle des sessions et des accès peut contribuer à atténuer ou à éliminer les sanctions réglementaires.
Du point de vue de la conformité, ces types de mesures de protection permettent de s’assurer que les exigences réglementaires et fondées sur des normes sont toujours respectées. Mais une solution PAM complète comporte une autre fonctionnalité, toute aussi importante pour la conformité : la préservation de tout l’historique des sessions et des accès. Elle constitue un élément majeur tant du point de vue de la sécurité que de la formation. Mais elle est également exigée par les réglementations en matière de cybersécurité, soit explicitement, soit comme moyen de fournir une piste d’audit obligatoire aussi bien en interne que pour les auditeurs externes.
D’autre part, disposer de l’historique des sessions et des accès n’est pas seulement important pour les audits périodiques planifiés : en cas de violation de données, un historique approprié peut montrer ce qu’il s’est passé, permettant ainsi une meilleure sécurité à l’avenir, et prouver aux auditeurs externes que des mesures de protection réglementaires adéquates étaient en place au moment de l’incident – ce qui peut contribuer à atténuer ou à éliminer les sanctions réglementaires qui auraient pu être imposées si la société n’avait pas pu démontrer, via une piste d’audit, que ces mesures de protection étaient en place.
Certaines choses sont certaines
Il ne fait aucun doute que le Big Data continuera de croître, ce qui entraînera des coûts d’atténuation plus élevés en cas de véritable infraction. De plus, il est également incontestable que l’environnement réglementaire mondial deviendra de plus en plus complexe avec le temps et que des pénalités plus lourdes seront imposées aux entreprises qui ne peuvent pas prouver leur conformité. Une solution PAM appropriée aide donc sur tous les fronts, en fournissant une sécurité qui protège le réseau et respecte les réglementations en matière de conformité. C’est une solution gagnant-gagnant pour les cadres qui doivent se préoccuper à la fois de la sécurité et des coûts, et son importance sur les deux fronts ne peut être ignorée.
Planifiez une démonstration avec les experts PAM de WALLIX pour savoir comment vous mettre en conformité avec les réglementations à travers des contrôles d’accès solides.