L’audit de fichier : quel rôle pour la conformité ?
Les mandats de conformité ont tous un point en commun, la volonté de sécuriser des données protégées. Pour ce faire, il ne faut permettre l’accès à certaines données qu’à ceux qui en ont besoin pour des raisons professionnelles. Pour pouvoir prouver aux auditeurs que c’est le cas pour les données protégées de votre organisation, il faut avoir une certaine visibilité sur qui a accès, qui utilise l’accès, et quelles actions sont effectuées sur les données protégées. Comment utiliser l’audit de fichier pour la conformité ?
L’audit de fichier est nécessaire pour répondre à différents types d’objectifs de conformité. Nous n’allons pas couvrir un mandat spécifique dans cet article, mais plutôt quatre cas d’utilisation génériques, en expliquant le rôle de l’audit de fichiers dans chacun d’eux.
-
Vérifier et suivre l’attribution des contrôles d’accès sécurisés
La majorité des mandats de conformité commencent avec la mise en place d’une protection autour des fichiers comprenant des données protégées. Cela inclut de surveiller minutieusement l’établissement et l’attribution des autorisations du moindre privilège aux utilisateurs et aux groupes. Il convient donc de s’assurer que les autorisations affectées conviennent pour la fonction / le rôle du poste, que l’utilisateur ou le groupe soit bien choisi lors de l’attribution et que l’utilisateur qui s’occupe de la modification soit autorisé à le faire.
Le rôle de l’audit de fichiers ici est de surveiller les modifications et les tentatives de modifications apportées aux autorisations de fichiers ou de dossiers. Il permet également de documenter les autorisations modifiées, le chemin de l’objet, l’utilisateur ayant effectué l’attribution et d’autres facteurs identifiables tels que le nom de la machine, l’adresse IP, etc.
-
Surveiller les données protégées : accès et utilisation
La conformité est un travail continu, chaque jour le département informatique doit s’assurer que son environnement est conforme. Par conséquent, il faut avoir une visibilité constante sur les données protégées : quand ont-elles été accédées, par qui, d’où, etc. Ce sont des informations en temps réel nécessaires afin de se protéger contre les accès inappropriés.
Les détails de l’audit de fichier sont utilisés pour prouver que seul un accès approuvé a été réalisé. Les alertes et les rapports fournissent des informations et des facteurs identifiables tels que le nom de la machine, l’adresse IP, etc. Les capacités de filtrage permettent de satisfaire les exigences de l’auditeur.
-
Mesurer la puissance du contrôle d’accès
Il est fréquent pour les services informatiques d’autoriser Active Directory à évoluer de manière organique par ses propres moyens. Les adhésions aux groupes, les autorisations, et les appartenances aux groupes ne sont que rarement vérifiées. 71% des utilisateurs déclarent avoir trop d’autorisations et avoir accès à des données qu’ils ne devraient pas être autorisés à voir[1]. Avec la nécessité d’avoir le moins de privilèges possible dans un environnement hébergeant des données protégées, il faut pouvoir identifier les utilisateurs qui tentent d’y accéder.
L’audit de fichiers fournit des détails sur les comptes utilisateurs ayant accédé aux données protégées, en montrant quelles actions ont été entreprises et quels fichiers et dossiers sont concernés.
-
Détecter les infractions
Etre victime d’une violation de données (et, par conséquent, une violation de la conformité dans le cas de vol de données protégées) peut arriver à n’importe quelle organisation. Le plus difficile est de pouvoir la détecter. Si les données protégées résident sur un serveur de fichiers, des indicateurs avancés évidents d’une violation existeront. Des anomalies dans l’activité du fichier se produiront telles que des heures d’accès non standard ou des grandes quantités de données accédées.
Grâce à l’audit de fichier, il est possible de détecter une violation de données basée sur une activité inhabituelle. Il est possible d’analyser les données du journal d’audit qui permet de détecter les actions suspectes, notifier le responsable informatique d’une violation potentielle et assurer une réaction rapide lorsque c’est nécessaire.
Faut-il utiliser une solution tierce ou un outil natif ?
La capacité d’auditer les systèmes de fichiers Windows est un composant intégré du système d’exploitation Windows Server depuis 20 ans. L’outil Observateur d’événements permet de centraliser, afficher, filtrer et trier les données d’audit de fichiers. Il a même une capacité rudimentaire pour configurer la notification.
Alors, quel est l’intérêt d’utiliser une solution d’audit de fichiers tierce?
La réponse réside dans les lacunes des outils natifs.
-
Plus qu’une simple information – Intelligence et perspicacité
En ce qui concerne les données, l’audit de fichier Windows Natif fournit les détails nécessaires. Le problème c’est que ce sont des informations brutes.
Une action unique dans le système de fichiers peut générer 5 à 10 entrées de journal. Les solutions tierces servent à transformer l’information en intelligence, en comprenant que ces 10 événements sont en réalité un seul événement – et l’affichent ou l’alertent en tant que tel.
-
(Beaucoup) Plus de fonctionnalités
Microsoft fournit des outils pour ceux qui ont seulement besoin des fonctionnalités les plus basiques. Les solutions tierces se concentrent sur l’automatisation d’une grande partie du travail d’audit, avec des capacités accrues de collecte, de consolidation, de présentation, de recherche, de filtrage, d’alerte, de création de rapports et d’automatisation des tâches.
Toutes ces fonctionnalités permettent d’augmenter la productivité informatique, d’accélérer le processus d’audit et d’aider à améliorer la sécurité globale de vos données protégées.
-
Facile d’utilisation et intuitif
Comme vu précédemment, les outils natifs consistent simplement à consolider et présenter les données d’événements. Au contraire, les solutions tierces sont conçues sur mesure, pour améliorer l’expérience d’audit en se concentrant sur les besoins spécifiques des audits de conformité.
Facile à utiliser et intuitif, le suivi peut même être délégué à des collègues non-informaticiens qui maîtrisent mieux les données de leur secteur d’activité. Cela permet d’assurer un système d’audit plus efficace.
Garantir la conformité
Aucun mandat de conformité ne porte uniquement sur l’audit des systèmes de fichiers. Cependant, le fait que votre organisation héberge des données protégées sur des serveurs de fichiers vous oblige à établir, maintenir et prouver que des contrôles d’accès spécifiques à la conformité sont en place.
Que vous choisissiez d’utiliser des outils natifs ou de tirer parti d’une solution tierce, la nécessité d’assurer le provisionnement, l’accès et l’utilisation des données protégées sous surveillance étroite est essentielle pour atteindre les objectifs de conformité pertinents.
[1] Ponemon, Corporate Data: A Protected Asset or a Ticking Time Bomb? (2014)