Sécurité : Contrôler qui pénètre sur le système d’information de l’entreprise demande en amont de mettre en œuvre une politique de sécurité, accompagnée des outils adéquats. Quelques conseils sur ce point.

Dans un premier temps, un travail sur les différents profils d’utilisateurs (visiteur, employé avec divers droits, administrateur, etc.) doit permettre de garantir à chacun des droits d’accès aux informations qui le concernent, ni plus, ni moins, au regard de ses attributions dans l’entreprise. Cette étape assure ensuite la gestion sécurisée de la multiplication et de la multiplicité des utilisateurs.

Alors, comment « critériser » les profils utilisateurs ?

Trois critères de sélection

Dans un premier temps, une typologie des différents utilisateurs du système d’information de l’entreprise sera créée. Collaborateurs, employés, clients, prestataires, administrateurs, tous les profils qui pour des raisons différentes seront amenés à se connecter au système d’information de l’entreprise doit être recensée.

Ensuite, la DSI va définir le périmètre matériel et logiciel du système d’information de l’entreprise. Car au delà de la fonction de chaque utilisateur, créer un corpus de tout ce qui entre dans le périmètre de la DSI assure une connaissance complète du matériel à protéger.

Ordinateurs fixes, PC portables, tablettes et smartphones pour les périphériques ; serveurs d’application et de stockage sur site ou sur site distant ; une liste complète des instances reliées directement ou indirectement au système d’information de l’entreprise doit être réalisée. Cela permet de s’assurer des critères physiques de sécurité de chaque matériel. Puis un listage des applications et des données du SI permet de déterminer la criticité de chaque brique.

Enfin, une liste des lieux potentiels de connexion au réseau devra également être établie selon le critère de la sécurisation de la connexion. Réseau Wi-Fi public (dans un aéroport par exemple), VPN, réseau interne de l’entreprise, etc. En fonction du lieu et donc du protocole de connexion utilisé, les droits d’accès ne pourront être les mêmes.

Croisement des critères

Une matrice, réalisée à partir de ces trois listes, permet ensuite de répondre à la question : qui a le droit d’accéder à quel matériel et à quel logiciel, et donc aux différents types de données de l’entreprise ? Et ce en fonction de son profil, du type d’appareil qu’il utilise, et du protocole de connexion qu’il utilise. Concrètement, un administrateur pourra accéder à l’ensemble du matériel, des données, et des outils de configuration du SI, si toutefois sa connexion est sécurisée.

À l’inverse, un visiteur présent dans les locaux de l’entreprise pourra accéder à l’Internet via le réseau de l’entreprise. Mais en aucun cas aux données financières contenues dans vos serveurs.

Garantir confidentialité, disponibilité et intégrité

La définition des profils d’utilisateurs et de droit d’accès garantit la sécurité du système d’information, en s’assurant de :

• La confidentialité des transferts de données : « la confidentialité est la propriété qu’une information n’est ni disponible ni divulguée aux personnes, composantes ou processus non autorisés » selon la norme ISO 7498-2 (ISO90) ;
• La disponibilité des données : propriété d’accessibilité au moment voulu des données et des fonctions par les utilisateurs autorisés ;
• L’intégrité des données : « l’intégrité est la prévention d’une modification non autorisée de l’information » selon la norme ISO 7498-2 (ISO90).

Source

PAR GUILLAUME SERRIES, Publié le 15/10/2013 à 14:41 | Mis à jour le 15/10/2013, www.zdnet.fr, 2 min