Comment éviter les violations de conformité grâce à une gestion proactive des autorisations ?
Comme beaucoup de choses dans la vie, la façon dont vous abordez les réglementations en matière de conformité et dont vous aidez votre entreprise à prévenir les violations de conformité est une question de perspective.
J’ai travaillé dans des organisations et participé à des audits de conformité où l’attitude était hostile à l’égard de l’auditeur externe et où tout cela était perçu comme une contrainte et un mal nécessaire qu’il fallait terminer rapidement et oublier jusqu’à l’audit de l’année suivante.
Mais j’ai aussi fait partie d’entreprises où les règles de conformité étaient considérées comme le point de départ de processus solides et sûrs, et où les audits étaient perçus comme une occasion de développer et d’améliorer l’entreprise, et pas seulement de cocher des cases.
Dans cet article, nous démontrerons que la gestion proactive de la conformité, plutôt que réactive, améliore les résultats et renforce la cyberrésilience de votre organisation et la productivité de votre entreprise.
Respecter les exigences de conformité ordinaires devient plus difficile
Tous les règlements de conformité liés à la cybersécurité (GDPR, NIS2, HIPAA, etc.) comportent des contrôles relatifs aux autorisations d’accès aux données et à la mise en œuvre d’un « accès avec le minimum de privilèges ». Il s’agit de l’une des pierres angulaires de la confiance zéro et d’un élément qui fait partie de la cybersécurité depuis de nombreuses décennies.
C’est facile à dire, mais beaucoup plus difficile à mettre en œuvre de manière efficace. Dans cet article, nous vous présentons une excellente façon de gérer les accès sans vous ruiner ni demander à une armée d’administrateurs informatiques de s’en charger manuellement.
Alors que les entreprises et la société en général dépendent de plus en plus des systèmes et des données numériques, les gouvernements du monde entier appliquent davantage de réglementations. Voici un calendrier des réglementations européennes en matière de protection de la vie privée.
Pourquoi une mauvaise gestion des autorisations conduit à des violations de la conformité
Travailler à domicile présente des risques de sécurité
Le cœur de l’informatique moderne repose sur deux entités fondamentales : l’authentification de l’identité (« prouvez qui vous êtes ») et l’autorisation (« à quoi avez-vous accès »). Il fut un temps où tout cela était assez simple, car presque tout le monde disposait d’un ordinateur au bureau et passait huit heures du lundi au vendredi à s’identifier et à accéder à des documents sur des serveurs situés dans le même bâtiment.
Aujourd’hui, la plupart des gens travaillent sur des ordinateurs portables et d’autres appareils mobiles, depuis leur bureau à domicile ou en déplacement, et les données auxquelles ils accèdent peuvent se trouver dans de nombreux emplacements différents dans le cloud.
Dans l’univers Microsoft 365, la plupart des documents sont stockés dans SharePoint et OneDrive for Business (qui est SharePoint sous le capot) et c’est également là que la plupart des partages de documents à des fins de collaboration ont lieu, à la fois avec d’autres utilisateurs au sein d’une entreprise, ainsi qu’avec des collaborateurs externes.
Une mauvaise gouvernance des données
La plupart des organisations ont eu une approche assez laxiste de la gouvernance des données de ces emplacements de documents, ce qui est mis en évidence par deux facteurs : des réglementations de conformité plus fréquentes et plus strictes exigeant une meilleure gestion des autorisations, et le déploiement de Microsoft 365 Copilot qui met en évidence ces autorisations inutiles.
Copilot dispose des mêmes autorisations que l’utilisateur qui saisit l’invite et des autorisations laxistes peuvent faire la différence entre « dites-moi le salaire moyen pour mon poste », qui donne lieu à une réponse générique du web, et un chiffre spécifique basé sur une feuille de calcul des salaires dans le site SharePoint RH auquel l’utilisateur a accès mais ne devrait pas avoir accès.
Vous devez limiter les accès trop permissifs pour éviter les violations de la conformité, mais le faire manuellement en inventoriant les autorisations de chaque site, ainsi que les liens de partage externes, est une tâche énorme, d’autant plus que de nouveaux sites sont ajoutés régulièrement et que les documents changent tout le temps. Outre le fait qu’elles favorisent les violations de la conformité, les autorisations généreuses constituent également un risque pour la sécurité lorsque (si ?) les comptes d’utilisateurs sont compromis.
Les violations de la conformité coûteront plus que juste de l’argent
Les violations de la conformité peuvent non seulement donner lieu à une amende, en fonction de la nature de la violation, mais aussi obliger le personnel à prendre le temps de rectifier le problème, sans compter le risque de nuire à la réputation de l’entreprise.
SharePoint n’a pas de très bons outils intégrés pour ce type de gouvernance des données et des autorisations, c’est pourquoi nous avons développé le 365 Permission Manager de Hornetsecurity.
Utiliser la gestion proactive des autorisations pour prévenir les violations de la conformité
Dans la plupart des entreprises, les utilisateurs accumulent des autorisations au fur et à mesure qu’ils passent d’un service à l’autre et qu’ils sont promus. Chaque nouveau rôle donne généralement accès à de nouvelles applications et données, mais l’ancien accès est rarement supprimé.
Appliquer le principe du privilège minimum
La seule façon de se conformer aux réglementations et d’être plus sûr en cas de compromission d’un utilisateur est de mettre en œuvre le principe du privilège minimum, c’est-à-dire que les utilisateurs ne doivent avoir accès qu’aux données dont ils ont besoin dans le cadre de leur fonction actuelle. Cela signifie que vous devez procéder à des audits réguliers des autorisations des utilisateurs.
Ces audits permettront d’identifier les situations où les utilisateurs ont trop d’accès, ainsi que les cas où ils ont obtenu un accès qu’ils n’utilisent pas.
Mettre en place des autorisations basées sur les rôles
En outre, vous voudrez définir vos autorisations en fonction des rôles (contrôle d’accès basé sur les rôles, RBAC) afin que les autorisations accordées à l’avenir soient aussi limitées que possible à ce dont chaque utilisateur a besoin.
Le message principal est que si vous voulez être en mesure de démontrer votre conformité avec les réglementations, vous devez passer d’une approche réactive des autorisations des utilisateurs à une méthodologie proactive, basée sur la gouvernance et les processus, conçue pour gérer en permanence les accès attribués.
Les meilleures pratiques pour éviter des violations de la conformité
Procéder à des audits de conformité internes
D’après mon expérience des audits de conformité, il est préférable de commencer en interne. Une fois que vous avez affecté des tâches pour chaque contrôle au personnel approprié de l’entreprise et que celui-ci vous fait savoir qu’il a terminé la configuration ou l’inventaire du contrôle, commencez votre propre audit.
Il est important de comprendre qu’aucun projet de réglementation en matière de conformité ne peut être mené à bien par le service informatique seul, chaque partie de l’entreprise doit être impliquée.
En procédant à votre propre audit interne, vous découvrirez des domaines dans lesquels vous pensiez être en conformité avec chaque contrôle mais ne l’êtes pas en réalité. Assurez-vous de régler cela avant l’arrivée des auditeurs externes.
Former votre personnel
Vous aurez également besoin de programmes de formation pour tous les employés, avec un apprentissage plus approfondi pour le personnel occupant des fonctions particulièrement sensibles, ou ceux qui manipulent beaucoup de données PII par exemple.
Élaborer une évaluation des risques de non-conformité
En outre, élaborez une évaluation des risques de conformité pour votre organisation, identifiez les risques associés aux réglementations auxquelles vous devez vous conformer et suivez les changements qui y sont apportés. Élaborez et mettez en œuvre des politiques et des procédures qui s’alignent sur les activités de l’entreprise ainsi que sur les différentes réglementations auxquelles vous êtes soumis.
Surveiller les violations de la conformité
Utilisez la technologie pour le contrôle de la conformité et l’établissement de rapports. Microsoft, par exemple, propose un outil complet appelé Compliance Manager.
Cybersecurity Report 2025
Une analyse approfondie du paysage des menaces de Microsoft 365 sur la base d’informations provenant de plus de 55,6 milliards d’emails
Comment 365 Permission Manager aide à éviter les violations de la conformité
365 Permission Manager automatise les audits réguliers et vous permet de créer des modèles pour différents types de sites SharePoint, afin que les bonnes autorisations soient attribuées à chaque fois qu’un nouveau site est créé. Vous pouvez également appliquer ces modèles à des sites existants et travailler sur la liste des choses « À faire » qui en résulte pour les partages excessifs existants.
Le risque de partage excessif de documents en interne est réel, surtout avec Microsoft 365 Copilot qui utilise des données pour générer des réponses que l’utilisateur lui-même n’aurait probablement pas cherchées, mais le partage de documents en externe constitue sans doute un risque plus important.
Les paramètres par défaut de SharePoint et de OneDrive for business permettent de partager très facilement des documents avec « n’importe qui », ce qui doit être géré du point de vue de la sécurité et de la conformité.
La possibilité d’utiliser les politiques intégrées (Public, Evergreen, Confidential, Sensitive) ou les politiques personnalisées pour les sites SharePoint nouveaux et existants afin de configurer l’accès (interne et externe) comme il se doit supprime une grande partie du travail manuel et permet d’utiliser l’automatisation pour prévenir les violations de la conformité.
Les permissions SharePoint sont complexes et souffrent de leur âge (plus de 20 ans) avec la possibilité d’autorisations cachées et d’imbrication de groupes, ce qui rend presque impossible l’audit manuel d’autorisations efficaces.
Prenez le contrôle des permissions avec 365 Permission Manager
La gestion manuelle des autorisations augmente le risque de violation de la conformité. 365 Permission Manager d’Hornetsecurity automatise la gestion des autorisations, réduisant ainsi les risques de sécurité et garantissant la conformité.
- Des audits et ajustements d’autorisations automatisés ;
- Une visibilité claire concernant l’accès des utilisateurs ;
- Faire correspondre les autorisations avec les exigences de conformité.
Protégez votre entreprise contre les violations de la conformité—programmez une démo dès aujourd’hui !
Conclusion
Être RSSI (ou toute personne responsable d’audits de conformité) est aujourd’hui un métier exigeant, où de nombreux aspects liés à la sécurité requièrent votre attention, et la prévention des violations de la conformité n’en est qu’un. Néanmoins, nous espérons avoir démontré l’importance d’une gestion proactive des autorisations, essentielle, et comment 365 Permission Manager peut vous y aider.
Foire aux questions
Qu’est-ce qu’une gestion des permissions proactive ?
La gestion proactive des autorisations implique de gérer en permanence l’accès des utilisateurs pour garantir la conformité aux réglementations et améliorer la cybersécurité, plutôt que d’attendre que les audits de conformité identifient les problèmes.
Pourquoi l’accès avec le minimum de privilèges est-il important ?
L’accès avec le minimum de privilèges réduit les risques en garantissant que les utilisateurs ne disposent que des autorisations nécessaires pour leur poste actuel, réduisant ainsi les risques de violations de la conformité et de failles de sécurité.
Comment 365 Permission Manager peut-il aider ?
365 Permission Manager automatise les audits d’autorisation, fournit des modèles pour les autorisations de site SharePoint et améliore la visibilité sur l’accès des utilisateurs pour garantir la conformité réglementaire.
