Aujourd'hui plus que jamais, les équipes chargées de la technologie et de la conformité doivent travailler ensemble pour protéger l'intégrité de leurs organisations. Les informations sensibles sont stockées et transférées sous forme numérique et les réglementations associées deviennent de plus en plus strictes et complexes. Alors que la conformité est responsable de l'identification des réglementations relatives à la sécurité de l'information, les équipes technologiques doivent identifier et mettre en œuvre les solutions les plus solides pour se conformer à ces réglementations.
Active Directory est une application clé pour le maintien de la conformité, car elle constitue une fenêtre sur les activités et les politiques informatiques d'une organisation - elle doit être protégée afin de maintenir l'intégrité et la conformité de l'entreprise. Toute entreprise qui traite des données sensibles de ses clients, telles que des dossiers financiers ou médicaux, doit veiller à la sécurité de son environnement Active Directory et effectuer des audits réguliers pour détecter les risques liés à la sécurité de l'information. Lorsqu'ils ne font pas l'objet d'une surveillance active, les comptes d'utilisateurs périmés et les contrôles peu rigoureux de l'accès administratif constituent autant de menaces pour la sécurité d'Active Directory et exposent les entreprises à un risque de non-conformité.
Conformité en matière de sécurité de l'information
Les réglementations, telles que SOX et HIPAA, ont été créées pour protéger les consommateurs et les actionnaires, obligeant les organisations à vérifier Active Directory pour détecter tout comportement suspect, à protéger les enregistrements numériques contre les abus et à sécuriser les informations privées des clients. Bien que la réglementation spécifique puisse varier d'un secteur à l'autre, la règle générale est la même : établir des procédures et des contrôles qui sécurisent les informations sensibles de votre entreprise. Avec autant de lois à respecter, il est difficile de savoir quelles réglementations s'appliquent à votre entreprise. Nous avons donc décrypté les acronymes des réglementations afin de rendre la conformité un peu plus facile à suivre.
SOX : S comme Actionnaire - La loi Sarbanes-Oxley (SOX) impose à toute société cotée en bourse de mettre en place des procédures visant à protéger les documents financiers contre la destruction, la perte et l'utilisation abusive, afin de protéger les actionnaires de la société et de réduire le risque de fraude au sein de l'entreprise. La loi SOX impose également à l'entreprise de procéder à des audits et d'établir des rapports sur ces contrôles.
PCI : P comme Paiements - La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) stipule que toute entreprise qui accepte des paiements par carte, en stockant, traitant et transmettant les données des titulaires de cartes, doit héberger ces données en toute sécurité en faisant appel à un fournisseur d'hébergement conforme à la norme PCI. Pour être conforme à la norme PCI, vous devez contrôler tous les accès aux ressources du réseau, tester régulièrement les systèmes de sécurité et maintenir une politique de sécurité de l'information.
GLBA : GL pour Gives Lo ans - La loi Gramm-Leach-Bliley (GLBA), également connue sous le nom de loi de modernisation financière de 1999, contrôle la manière dont les institutions financières traitent les informations privées de leurs clients. La règle de sauvegarde de la GLBA impose à toutes les institutions financières de créer, d'appliquer et de maintenir des mesures de sauvegarde pour protéger les informations relatives aux clients. En vertu de la Safeguards Rule, les institutions financières doivent identifier les risques opérationnels liés aux données des clients, mettre en œuvre un programme de sécurité de l'information et procéder à des audits réguliers du programme de sauvegarde.
HIPAA : H comme Santé - La loi HIPAA ( Health Insurance Portability and Accountability Act) a été créée à l'origine pour protéger la couverture des soins de santé pour les personnes qui perdent ou changent d'emploi ; elle a maintenant évolué pour devenir un ensemble de normes visant à sécuriser les données des patients. La loi HIPAA impose à toute entreprise qui traite des informations de santé protégées (PHI) de mettre en œuvre et d'adhérer à des mesures de sécurité physique, de réseau et de processus. Les PHI transmis électroniquement, ou e-PHI, sont protégés par la règle de sécurité de l'HIPAA et les organisations doivent sécuriser ces informations en identifiant les menaces et en s'en protégeant.
FISMA : F comme Federal Government - Le Federal Information Security Management Act (FISMA) a été établi par le ministère de la sécurité intérieure afin de protéger les informations, les opérations et les biens du gouvernement contre toutes les menaces, qu'elles soient naturelles ou d'origine humaine. Elle stipule également que les agences gouvernementales doivent mettre en place des outils pour auditer leurs programmes de sécurité de l'information, tester les procédures de sécurité et effectuer des évaluations périodiques des risques.
Audit et conformité de l'Active Directory
Quel que soit le secteur d'activité, ces réglementations obligent les entreprises à surveiller leur environnement informatique afin de détecter les menaces potentielles et d'y remédier. L'Active Directory State Manager (ADSM) de Semperis aide les entreprises à maintenir leur conformité grâce à des audits et des rapports en temps réel sur les lacunes potentielles, notamment :
- Audit des modifications apportées à Active Directory - Les audits gouvernementaux exigent des organisations qu'elles sachent quelles modifications sont apportées et qui les effectue.
- Identification des comptes activés inactifs - Les comptes périmés et inutilisés représentent un risque pour la sécurité d'Active Directory, car ils peuvent être exploités et utilisés comme vecteurs d'intrusion.
- Suivi des comptes d'utilisateurs sensibles et privilégiés - Le suivi des modifications apportées aux comptes d'utilisateurs sensibles et privilégiés vous permet de vous assurer que votre entreprise respecte les politiques de sécurité de l'information mises en œuvre dans le cadre des réglementations en matière de sécurité de l'information.
La plupart de ces réglementations en matière de sécurité de l'information ont été créées à la suite de la crise financière et des scandales d'entreprises qui ont eu lieu au début du siècle. Avec l'augmentation de la fréquence et de l'ampleur des cyberattaques, et à la lumière des violations majeures survenues l'année dernière, les organisations sont devenues plus sensibles aux questions de cybersécurité. De nouvelles réglementations sont mises en place pour s'assurer que les entreprises mettent en place des mesures de cybersécurité afin de protéger les données sensibles contre les violations de données. Pour prendre de l'avance, il est essentiel de commencer à auditer activement Active Directory, de se protéger contre les menaces et d'y remédier.