Exploration des territoires inconnus : Les défis de la gouvernance d’accès aux données non structurées
Lors du premier épisode de « Explorer des territoires inconnus », nous avons abordé l’impact des données non structurées sur les équipes du programme de gouvernance des identités, les données sensibles échappant rapidement aux applications et plates-formes pour résider dans une vaste gamme de systèmes de stockage de fichiers. Lors de cet épisode, je chercherai à définir certains des défis clés à envisager lorsque vous déterminez votre stratégie pour apaiser les agitations autour de la gouvernance des accès aux données non structurées enregistrées dans des fichiers.
Commençons d’abord par énoncer les principales raisons pour lesquelles la gouvernance des accès aux données non structurées exige une approche différente de celle de la gouvernance des accès aux applications et plates-formes traditionnelles :
- Manque de visibilité : le vieil adage « ce que l’on ignore ne peut pas faire de mal » ne s’applique pas lorsque l’on parle de cybersécurité et d’obligations de conformité réglementaires. En effet, tandis que de nombreuses entreprises s’intéressent au RGPD, qui sera mis en ligne en mai 2018, la capacité à découvrir et réduire les risques avant qu’ils ne se transforment en violations devient encore plus pertinente face aux sanctions financières importantes qui peuvent être en jeu. Savoir où se cachent les données sensibles dans les partages de fichiers, les plates-formes de collaboration et même les systèmes de stockage sur le cloud est un défi de taille. Cela nécessite des systèmes et des processus capables d’identifier rapidement les fichiers contenant des données sensibles (p. ex. des renseignements personnels ou des données de carte de crédit) et des références croisées pour savoir qui a accès aux données (et de quelle façon). Surtout, cela ne peut pas être fait une bonne fois pour toutes. Les utilisateurs finaux courants créent et enregistrent de nouveaux fichiers, ce qui nécessite une surveillance permanente.
- Confusion quant à la propriété : nous avons tous déjà rencontré des difficultés avec des lignes hiérarchiques peu claires. Chacun au sein de l’entreprise peut prendre conscience de l’existence d’un problème, mais parfois, il peut être difficile de trouver un volontaire pour le résoudre. La gouvernance des accès aux données non structurées a tendance à faire partie de ces types de problèmes. Tout le monde s’accorde à dire que ce risque devrait être géré, mais peu d’entreprises ont pris une décision finale quant au responsable. Chez SailPoint, plusieurs parties du département informatique sont en charge d’activités en lien avec la sécurité des données non structurées. Parfois, il s’agit de l’équipe de stockage, parfois de l’équipe de gouvernance des données et d’autres fois de l’équipe IAM. En réalité, tous ces groupes peuvent avoir un impact positif sur la sécurité des données sensibles, mais l’équipe IAM doit être directement impliquée dans la gouvernance des accès dans le cadre d’une approche globale. Elle est la mieux placée pour appliquer les politiques d’accès des entreprises et apporter un ensemble homogène de services de gouvernance des identités à l’entreprise.
- Volume de données : la croissance des données non structurées dans l’entreprise a atteint des proportions considérables. Selon des estimations souvent publiées, une importante part des données utilisées dans une entreprise, de nos jours, sont des données non structurées. L’estimation généralement acceptée est de 80 %, mais cela peut aller jusqu’à 90 %. En réalité, cela signifie que les équipes de gouvernance des identités ne peuvent espérer résoudre le problème, à moins qu’elles adoptent une autre approche de la gouvernance des accès aux applications, comptes et droits. La précision des droits d’accès, lorsqu’ils sont combinés au volume impressionnant de données qui doivent être régies, nécessite que les entreprises privilégient les activités de gouvernance sur les fichiers et les emplacements de stockage des fichiers les plus sensibles. Cela nécessite également que les entreprises se donnent les moyens et engagent leur responsabilité quant au pouvoir décisionnel de gouvernance des identités, en identifiant la personne idéale pour prendre une décision relative aux accès concernant les personnes autorisées lors des processus d’approbation et de certification d’accès.
La protection des données sensibles enregistrées dans des fichiers est en passe de devenir l’une des principales priorités des entreprises de toutes tailles. L’un des moyens les plus efficaces de garantir que les données non structurées sous diverses formes (p. ex. feuilles de calcul et documents) et sur divers sites (p. ex. partage de fichiers et systèmes de stockage sur le cloud) ne sont consultées que par les utilisateurs autorisés, est de régir leur accès. Cela signifie que les équipes des identités doivent se renforcer et commencer à étudier une voie comprenant la gouvernance des accès aux systèmes de stockage des fichiers, que ces systèmes soient sur site dans les centres de données ou sur le cloud. En aidant votre entreprise à adopter une approche globale de la gouvernance des accès aux applications, plates-formes et systèmes de stockage des fichiers, vous réduirez les risques de violation des données tout en contribuant à accélérer la collaboration au sein de l’entreprise.
Lors du prochain épisode de « Explorer des territoires inconnus », nous remonterons à la surface et étudierons certaines des approches innovantes mises en œuvre par SailPoint dans le domaine de la gouvernance des accès aux fichiers et des données non structurées qu’ils contiennent.
Pour encore mieux comprendre les obstacles que les entreprises rencontrent lorsqu’elles s’occupent de leurs données non structurées, vous pouvez lire notre récent livre blanc : « Sécuriser l’accès aux fichiers grâce à la gouvernance des identités. »