Les listes blanches dynamiques : un incontournable de la sécurité informatique

Dans la protection contre les cybermenaces, l’utilisation de listes blanches s’avère aujourd’hui bien plus efficace que la plupart des scripts de provisionnement développés en interne. A condition d’être dynamiques, elles viendront renforcer le contrôle d’accès en prenant en compte à la fois l’utilisateur et son contexte d’utilisation. Voici 6 conseils pour les mettre en œuvre dans votre entreprise.

1. Créer un référentiel unique de listes blanches bien définies

Dans l’entreprise, les listes blanches sont bien souvent créées et gérées selon une approche en silos et manuelle. Les droits individuels sont répartis dans différentes listes, selon des politiques maintenues par différentes personnes de différents services. Sans automatisation ni gestion centralisée, il n’est en outre pas possible de prendre en compte les attributs d'identité et de contexte, qui renforcent la sécurité. 

Avec un référentiel unifié et une définition précise des politiques, différentes personnes pourront bien entendu gérer et contrôler les listes blanches, mais depuis un emplacement unique et fiable, toujours à jour, pour toutes les ressources, tous les paramètres et tous les groupes d'utilisateurs.

2. Abandonner les configurations manuelles et les scripts personnalisés

Bien souvent, les autorisations d’accès sont gérées depuis les outils d'administration spécifiques aux applications et bases de données, ou via des scripts de provisionnement développés en interne. Or, ces scripts, sujets aux erreurs humaines, ne sont pas assez fiables ; il est aussi parfois impossible de les modifier, surtout s’ils ont été écrits il y a des années par des personnes qui ne sont plus dans l’entreprise.

 

Les politiques de sécurité à elles seules ne suffisent pas à protéger les entreprises. La DSI doit également s’appuyer sur l’unification et l’automatisation pour garantir la fiabilité et l’évolutivité de sa stratégie d'accès.

 
3. Retirer leurs droits aux collaborateurs qui quittent l’entreprise

Lorsqu’un collaborateur quitte l’entreprise, il est impératif que tous ses droits soient immédiatement révoqués. Le risque qu’un ex-salarié mécontent vole ou détruise des données critiques est bien réel – sans compter que l’entreprise doit être en mesure de prouver sa conformité aux règlements tels que le RGPD.

 

Sans une technologie fiable et automatisée, une entreprise ne peut être sûre à 100% que les droits d’accès d’une personne, pour toutes les applications, bases de données, etc., aient bien été supprimés. Cela implique également de relier le système de gestion des accès à celui de gestion des ressources humaines, pour que tout changement de statut d’un collaborateur impacte directement sa capacité à accéder aux ressources de l’entreprise.

  4. Rendre le contrôle d’accès plus flexible

Sécurité informatique rime souvent avec manque de flexibilité. Les paramètres appliqués sont en effet généralement limités et approximatifs, comme "l'utilisateur A dispose d’un accès en lecture seule au fichier X" ou "l’utilisateur B dispose de droits administrateur pour l'application Y".

 

Avec de telles règles, la sécurité informatique n'est pas capable de s’adapter aux nouvelles façons de travailler, comme le télétravail, et la productivité des salariés peut en pâtir. Il faut appliquer des paramètres plus riches et plus contextuels, comme dans le geo-fencing ou la sécurité WiFi. Selon l'emplacement de l'utilisateur, ses droits d'accès seront plus libres ou plus stricts. Pour ce faire, la DSI a besoin d'un système qui répond automatiquement et en temps réel au contexte de la session, et qui effectue une identification basée sur le hachage.

 
5. Autoriser les nouvelles applications cloud avec des processus cohérents

Les processus métier ne sont pas statiques, la sécurité informatique ne devrait pas non plus l'être. En fait, les salariés utilisent des services cloud plus souvent que les équipes IT n’en ont connaissance : on appelle cela le "shadow IT". Si ces outils utilisés sans son accord sont un véritable cauchemar pour la DSI, ils sont aussi parfois essentiels à l’entreprise.

 

En ne prenant pas cette réalité en compte, soit le salarié ne pourra pas les utiliser car ils seront bloqués ; soit ces outils seront ajoutés trop rapidement sans être correctement sécurisés par des règles contextuelles ; soit ils trouveront le moyen de contourner le système et de les utiliser sans autorisation. Aucune de ces approches n'est acceptable. Pour garder le rythme, la DSI a besoin d'un processus rapide, fiable et cohérent pour ajouter de nouvelles ressources cloud au référentiel ou au moteur d'automatisation de listes blanches.

  6. Se préparer à un audit de sécurité

Orchestrer avec brio sa stratégie de listes blanches dynamiques n’aura que peu d’utilité si l’entreprise n’est pas en mesure d’en prouver la conformité. C’est pourquoi les entreprises ont besoin d'une gestion des droits unifiée, basée sur des règles, automatisée et entièrement auto-documentée.

Seul un cerveau central, c'est-à-dire un contrôle d'accès commun à toute l’entreprise, sécurise efficacement les ressources IT et fournit toutes les informations nécessaires à un potentiel audit. L'équipe de sécurité informatique peut alors fournir toutes les informations demandées, et prouver que toutes les mesures nécessaires ont été prises pour protéger l'entreprise.