Une étude réalisée auprès de plus de 200 professionnels IT en charge du maintien de la conformité de leur entreprise de plus de 2 000 salariés, dans les secteurs de la santé, de la vente au détail et des services financiers, révèle qu’ils doutent quasiment tous de leur capacité à optimiser la gouvernance et à gérer le risque et la conformité.

Les obligations GRC (Gouvernance, Risque, Conformité) sont particulièrement difficiles à comprendre, encadrer et maintenir aujourd’hui, surtout dans les secteurs réglementés où les équipes chargées de la conformité et celles responsables de la sécurité fonctionnent souvent indépendamment l’une de l’autre.

Il est très difficile pour les services IT de maintenir la conformité de leurs environnements aux normes réglementaires établies par des organismes de contrôle externes, ainsi qu’aux règles internes et aux recommandations établies par la direction de l’organisation. Et les contrôles qu’imposent les agences de réglementation ne relèvent pas d’une approche ponctuelle, mise en œuvre une fois pour toutes.

Au contraire, ce sont des recommandations à minima, de normes fondées sur la sécurité le plus souvent, qu’il faut surveiller et ajuster en permanence pour que l’entreprise soit prête à faire face à tout moment aux tentatives de compromission de ses données, perpétrées en interne ou depuis l’extérieur.

Voici quelques résultats de cette étude que Dell Software a commandée à Dimensional Research :

o 83 % des sondés pensent que la sécurité de leur entreprise gagnerait au rapprochement et à la mise en commun des renseignements des équipes sécurité et conformité
o Moins de 50 % pensent que les employés qui ajoutent de nouvelles sources de données de conformité et de sécurité à l’environnement IT en informent les équipes chargées de la conformité et de la sécurité.

o Interrogés sur les causes numéro 1 et 2 de la difficulté à tenir les objectifs GRC, les sondés citent respectivement, l’insuffisance d’effectifs à 59 % et l’explosion des volumes de données à 49 %

• Les entreprises doutent de leur capacité à empêcher les accès non autorisés et les modifications de leurs données sensibles et craignent le risque de violation de leurs données.

o 93 % des sondés doutent de leur capacité à empêcher les modifications non autorisées
o 22 % craignent les accès non autorisés d’employés ou de consultants en interne
o 61 % craignent les accès non autorisés tant internes à l’entreprise qu’externes.

• Les entreprises doutent de leur capacité à recueillir l’ensemble des données dont elles ont besoin pour maintenir leur conformité aux normes réglementaires et beaucoup n’ont pas de processus cohérent de gestion des volumes de données réglementaires nécessaires.

o Moins de 50 % des sondés appliquent une approche proactive d’analyse et d’ajout des sources de données, et de suppression de celles devenues obsolètes, ce qui expose une grande part des entreprises qui se pensent conformes et protégées à davantage de risques pour leur sécurité

o Seuls 11 % des sondés sont très confiants dans la capacité de leur entreprise à capturer l’ensemble des données qu’il faut, en cas d’incident ou de violation de données, pour pouvoir mener des investigations et remonter jusqu’à l’origine de la faille
o Moins de 50 % des sondés ont mis en place un processus cohérent d’ajout de nouvelles sources de données réglementaires

Les entreprises doivent absolument élaborer une stratégie GRC globale pour se protéger contre les risques et les coûts d’une compromission de leurs données.

Pour qu’une stratégie GRC, de gouvernance, gestion des risques et maintien de la conformité, soit efficace, il faut que les équipes de sécurité et celles chargées de la conformité collaborent étroitement et qu’elles se partagent leurs informations. C’est ainsi que l’organisation pourra maintenir sa conformité en permanence, qu’elle saura se protéger au maximum contre les failles et les tentatives de violation, et qu’elle réagira au mieux en cas de compromission de ses données.

Dell Software recommande aux services IT des entreprises de mieux mesurer l’intérêt du rapprochement et de l’alignement des équipes conformité et sécurité et l’importance de mettre leurs informations réglementaires en commun. Cela vaut la peine d’analyser les sources de données collectées, régulièrement et de façon proactive, de se délester des sources devenues obsolètes, et de veiller à ce que les personnes habilitées aient les autorisations d’accès requises aux informations dont elles ont besoin.

N’oubliez pas qu’il est plus important encore de bloquer les autorisations d’accès que de les accorder. Vous avez tout intérêt à gérer efficacement les droits d’accès et à partager des données sans pour autant donner accès à l’application qui les collecte, ni à l’infrastructure sous-jacente. Vous pouvez autoriser des salariés à consulter des données sans leur dire comment elles ont été obtenues. Enfin, n’oubliez pas les comptes privilégiés.

Ces comptes, permettant d’accéder aux applications stratégiques et à des renseignements sensibles, de cartes bancaires ou d’historiques de patients, sont les plus recherchés, en interne et depuis l’extérieur. Il est essentiel de bien comprendre ce que sont les comptes privilégiés et les dangers auxquels s’expose une entreprise qui néglige l’administration rigoureuse et cohérente des contrôles d’accès et des règles de confidentialité.

Les solutions Dell Software renforcent la confiance des entreprises dans leur capacité à protéger leurs données sensibles et à se défendre contre les tentatives d’infraction.

Les solutions de mise en conformité et de gestion des identités et des accès (Identity and Access Management, IAM) de Dell Software aident les entreprises à se maintenir constamment en conformité et à mieux se protéger en conférant aux dirigeants le contrôle des autorisations d’accès aux données sensibles accordées aux salariés en interne, aux utilisateurs externes et aux titulaires de comptes privilégiés.

Les solutions de Dell aident les services IT à avoir entière confiance dans les processus de gestion de leurs multiples sources de données réglementaires, de délivrance des autorisations et des conditions d’accès à tous leurs systèmes et aux données utiles au quotidien, de même que dans leur capacité à se maintenir continuellement en conformité.

• Dell ChangeAuditor est une solution de maintien de la conformité qui aide les services IT et les agents de sécurité et de conformité à auditer, alerter et rendre compte en temps réel de l’activité des utilisateurs et des administrateurs ainsi que des changements de configuration et des applications à l’échelle de l’environnement Microsoft de l’entreprise, ce depuis une console centrale, de façon à pouvoir démontrer aux auditeurs et aux responsables en interne que les règles de conformité et de sécurité sont bien appliquées dans toute l’organisation.

• Dell One Identity Manager rationalise la gouvernance des accès, pour mieux protéger l’organisation, en conférant aux dirigeants le contrôle des autorisations d’accès aux données sensibles, et automatise les processus d’approbation des demandes d’accès et d’attestation/recertification, ce qui allège la charge de travail des services IT.

• Dell One Identity Privileged Password Manager veille à ce que les accès administrateur soient appropriés et correctement approuvés et que l’activité soit systématiquement suivie et auditée.
• Dell One Identity Cloud Access Manager encadre les règles d’accès aux ressources Web en prévision d’audits et applique une même politique de sécurité unifiée à tous les utilisateurs (internes, distants, mobiles, et aux partenaires/clients)

• Dell Recovery Manager for Active Directory permet aux services IT de maintenir la disponibilité maximum d’Active Directory et de prévenir les risques de perte de productivité du fait d’erreurs humaines ou de défaillances matérielles/logicielles
 

Tim Sedlack, Chef de Produit, en charge des solutions GRC de Dell Software :

« Trop souvent, des entreprises déplorent des failles de sécurité et de conformité qui auraient pu et dû être comblées. Les professionnels des secteurs réglementés, comme la santé, la distribution et la finance, ont un long chemin à parcourir pour tenir leurs objectifs de gouvernance, de gestion des risques et de maintien de la conformité. Les réponses à notre étude démontrent qu’ils sont préoccupés par ces questions.

Effectivement, échouer à un audit peut coûter très cher. Mais avec l’aide des solutions de conformité et de gestion des accès et des identités de Dell Software, ainsi qu’en suivant nos meilleures pratiques de maintien de la conformité, les services IT peuvent réunir les conditions de sécurité et de mise en conformité qui feront que leur entreprise sera systématiquement prête pour n’importe quel audit. »