Automatisation du nettoyage des droits : analyse approfondie du ROI

automatisation

La mise en œuvre d’un modèle de moindre privilège peut être longue et coûteuse, mais elle n’en est pas moins essentielle à toute stratégie de sécurité des données. Le Moteur d’automatisation Varonis (Automation Engine) vous aide à automatiser le processus tout en l’accélérant considérablement.

Nous avons déjà abordé la possibilité d’automatiser les demandes d’accès aux données afin de générer un ROI (ndlr : Retour sur Investissement) particulièrement élevé en réduisant le nombre de tickets adressés au help desk. Nous avons également mentionné brièvement l’énorme travail nécessaire pour identifier et corriger l’accès global, une tâche qui peut contribuer à réduire de façon conséquente le risque de fuites de données et de violations de sécurité.

Mais quel est le travail effectué en coulisses ? Quelle est la quantité de travail et l’expertise nécessaires pour corriger des dossiers bénéficiant de droits excessifs et passer à un modèle de moindre privilège ? C’est ce que nous allons voir.

L’épidémie de l’accès global

La surexposition des données est une vulnérabilité courante. En fait, notre rapport 2017 sur les risques liés aux données révélait que 47 % des entreprises possèdent au moins 1 000 fichiers sensibles accessibles à tous les membres de l’entreprise. Le problème vient souvent de groupes d’accès globaux tels que Tous ou Utilisateur authentifiés.

À titre d’exemple, nous constatons souvent que le groupe Tous a accès en lecture et en écriture au dossier Légal.

Il n’y a pas un hacker qui ne sache comment trouver sur sa ligne de commandes les fichiers exposés à tous. Une fois qu’il prend le contrôle de l’un des comptes de l’entreprise, quel qu’il soit, il a libre accès à toutes les données du dossier Légal et à allez savoir quoi d’autre.

Dans la pratique, voilà ce qu’il peut être nécessaire de faire pour remédier à ce problème :

  • Créer un groupe Légal basé sur des rôles pour les membres de l’équipe juridique (s’il n’en existe pas encore)
  • Travailler avec les parties concernées pour valider les membres du groupe
  • Ajouter le groupe Légal à la liste de contrôle d’accès
  • Retirer le groupe Tous de la liste de contrôle d’accès de niveau supérieur
  • Attendre que les utilisateurs ne figurant pas dans le groupe Légal appellent pour dire qu’ils ne peuvent pas accéder à leurs données

En moyenne, six heures sont nécessaires pour localiser et retirer manuellement les groupes d’accès globaux, créer et appliquer les nouveaux groupes, puis les remplir avec les utilisateurs autorisés ayant besoin d’accéder aux données.

Le coût de la correction manuelle des droits

Combien possédez-vous d’équipes ? Combien votre système de stockage principal contient-il de dossiers ?

Quel que soit ce nombre, multipliez-le par 6 et vous obtiendrez une estimation brute du temps qu’il vous faudra pour débarrasser votre environnement de l’accès global.

Pour 1000 dossiers, cela correspond à 6000 heures de travail. L’équivalent de 250 jours, ou 50 semaines de travail. Cela représente une énorme charge de travail. C’est la raison pour laquelle la gestion des droits reste une tâche colossale. Procédons donc à une rapide analyse des coûts engendrés par cette situation.

Pour commencer, la gestion et la mise en œuvre du passage à un modèle de moindre privilège demanderont probablement de faire appel à plusieurs personnes dotées d’un niveau d’expertise plus ou moins élevé. Généralement, l’opération exige l’intervention de trois personnes : un responsable gagnant 100 $ nets de l’heure, un administrateur système à 50 $/heure et un technicien débutant à 25 $/heure.

Calcul : (2 000 * 100) + (2 000 * 50) + (2 000 * 25) = 350 000 $

Par conséquent, pour une équipe de trois personnes, le coût total du passage au moindre privilège pour 1 000 dossiers est de 350 000 $ sur 250 jours travaillés. Et ceci pour seulement 1 000 dossiers.

Combien votre système de stockage principal contient-il de dossiers ?

Quand l’activité est calme, la quantité de données professionnelles générées par une organisation de taille moyenne au XXIème siècle est ahurissante et dépasse de loin les 1 000 dossiers.

Non seulement le nettoyage des droits prend du temps, mais en plus il n’est pas sans risque. Que se passera-t-il si vous faites par accident une erreur sur une application critique ayant besoin d’accéder en écriture au dossier que vous venez de corriger ?

Et comment corriger l’accès global rapidement et en toute sécurité ?

Un gain d’efficacité de 3 600 % avec DatAdvantage

Lorsque tout le monde a accès aux données, il est très difficile de déterminer qui parmi tous les utilisateurs a réellement besoin d’accéder aux fichiers. Mais en sachant qui exactement accède aux données, il devient possible de limiter l’accès avec une précision chirurgicale et sans se casser la tête.

DatAdvantage surveille et analyse en permanence l’accès aux données et établit une correspondance entre cette activité et les listes de contrôle d’accès afin d’identifier quels utilisateurs seraient impactés en cas de suppression de l’accès global. Vous pouvez effectuer une simulation dans un bac à sable et valider les modifications une fois que vous êtes satisfait du résultat simulé.

Dès lors, vous pouvez corriger en toute sécurité l’accès à l’ensemble des données à haut risque, sans mettre en danger la productivité. Le problème est résolu sans que personne ne soit gêné.

Avec DatAdvantage, moins de 10 minutes par dossier suffisent pour corriger les droits du groupe d’accès global.

Soit un gain d’efficacité de 3 600 % !

En outre, vous pouvez diminuer les ressources nécessaires pour maintenir et gérer ces droits et ramener l’effectif de l’équipe à une seule personne.

Le nouveau calcul est alors le suivant :

((10 minutes * 1 000 dossiers) / 60 min) * 25 $ + coût du logiciel = 4 166 $ en 166 heures !

La tâche a changé radicalement : d’investissement important, elle s’est transformée en un petit projet mené sur un mois nécessitant une modeste dépense initiale liée à l’achat du logiciel.

Un ROI impressionnant avec Automation Engine

Un nombre incalculable de clients Varonis sont parvenus à corriger leur accès global et d’autres problèmes complexes de droits en utilisant seulement DatAdvantage, mais beaucoup ont commencé à nous demander s’il était possible de corriger ces problèmes automatiquement.

C’est là qu’Automation Engine de Varonis entre en scène. Si une petite équipe parvient à corriger des centaines de dossiers par jour avec DatAdvantage, Automation Engine permet quant à lui d’en corriger des milliers.

Une fois configuré, Automation Engine retirera en toute sécurité les groupes d’accès globaux en les remplaçant par des groupes à finalité unique, en y insérant à chaque fois les utilisateurs concernés. Grâce à la souplesse des options de configuration, vous pouvez corriger les problèmes tactiques dossier par dossier, ou procéder à des corrections globales.

L’avenir est dans l’automatisation

Le fait que des groupes d’accès globaux aient accès à vos données sensibles, c’est comme si vous laissiez la porte de votre coffre-fort ouverte et indiquiez « SERVEZ-VOUS ! » en lettres lumineuses géantes devant votre bâtiment. Adopter un modèle de moindre privilège permet de gagner du temps, d’économiser des ressources et de verrouiller la porte du coffre-fort à double tour.

À ce stade, vous devez encore garder un œil sur les incohérences au niveau des listes de contrôle d’accès, à savoir les droits censés avoir été hérités mais qui différent de leurs parents. Il suffit qu’un seul dossier contenant des données sensibles présente une incohérence au niveau de la liste de contrôle d’accès pour que vous puissiez être confronté à un grave problème de sécurité. Pour ne rien arranger, en l’absence d’automatisation, la correction des incohérences au niveau des listes de contrôle d’accès est elle aussi longue et fastidieuse.

Non seulement Automation Engine évite tout tâtonnement, mais il permet aussi à votre équipe de se consacrer à des tâches plus stimulantes et intéressantes. Vous pourrez corriger automatiquement les incohérences des listes de contrôle d’accès au niveau des dossiers, d’une hiérarchie ou même de tout un serveur – et éliminer les incohérences au niveau des droits des fichiers.

Prêt à faire le point de votre situation ?
Bénéficiez d’une évaluation gratuite des risques et nous vous montrerons où se trouvent ces groupes d’accès globaux et à quel point vos données sont vulnérables.

Vous préférez voir directement Automation Engine à l’œuvre ? Cliquez ici pour obtenir une démo.