Profils d'utilisateurs et droits d'accès : la gouvernance de la sécurité informatique en entreprise

Contrôler qui pénètre sur le Système d'information de l'entreprise exige au préalable de définir et de mettre en oeuvre une politique de sécurité qui instaure des règles précises. C'est la base de la gouvernance efficace dans ce domaine.



De fait, l'instauration de profils et de droits d'accès pour accéder au système d'information permet de gérer en toute sécurité la multiplication et la multiplicité des utilisateurs. Mais il faut bien penser en amont la mise en oeuvre.

Trois critères de sélection

Premièrement, il faut définir le périmètre du Système d'Information de l'entreprise. Ordinateurs fixes, laptop, tablettes et smpartphones ; serveurs d'application et de stockage sur site ou sur site distant, imprimantes en réseau ou en local ; une liste complète des instances et des périphériques reliés directement ou indirectement au Système d'Information de l'entreprise doit être réalisée.

Suite à cette première étape, une typologie des différents utilisateurs du système d'information de l'entreprise sera créée. Collaborateurs, employés, clients, prestataires, administrateurs, tous les profils qui pour des raisons différentes seront amenés à se connecter au Système d'Information de l'entreprise doit être recensée.

Enfin, une liste des lieux potentiels de connexion au réseau devra également être établie selon le critère de la sécurisation de la connexion. Réseau Wifi public (dans un aéroport par exemple), VPN, réseau interne de l'entreprise,... En fonction du lieu et donc du protocole de connexion utilisé, les droits d'accès ne pourront être les mêmes.

Travail de croisement

C'est le croisement de ces trois listes qui permet de répondre à la question : Qui a droit d'accéder à quel matériel, et indirectement aux différents types de données de l'entreprise ? Et ce en fonction de son profil, du type d'appareil qu'il utilise, et du protocole de connexion qu'il utilise.

Concrètement, un membre de la DSI devra pouvoir accéder à l'ensemble du matériel, des données, et des outils de configuration du SI si sa connexion est sécurisée. A l'inverse, un prospect présent dans les locaux de l'entreprise devra pouvoir accéder à l'Internet via le réseau de l'entreprise. Mais en aucun cas aux données financières contenues dans vos serveurs.

La définition des profils d'utilisateurs et de droit d'accès doit donc répondre à trois critères qui garantissent la sécurité du système d'information de votre entreprise :

Confidentialité : « La confidentialité est la propriété qu'une information n'est ni disponible ni divulguée aux personnes, composantes ou processus non autorisés » selon la norme ISO 7498-2 (ISO90).

Disponibilité : Propriété d'accessibilité au moment voulu des données et des fonctions par les utilisateurs autorisés.

Intégrité : « L'intégrité est la prévention d'une modification non autorisée de l'information » selon la norme ISO 7498-2 (ISO90).

Les serveurs d'entreprise Dell sont équipés d'outils de gestion qui permettent de définir avec précision les droits d'accès des utilisateurs. De même, les instances de stockage et de sécurité de Dell autorisent leurs accès en fonction de critères d'authentification simples, qui doivent être définis lors de leur configuration.

Voir nos extraits vidéos

Vous aimerez aussi