Optimiser votre retour sur investissements : maintien d’un modèle de moindre privilège

modèle de moindre privilège

La gestion des droits peut être coûteuse. Pour une entreprise de 1000 employés, la surcharge de travail associée aux tickets de demande de droits coûte jusqu’à 180 000 dollars/an. L’automatisation du contrôle d’accès avec DataPrivilege peut permettre d’économiser 105 000 dollars par an, voire plus, et réduire les risques. Le détail du calcul est donné plus loin.

Une des conditions essentielles à la mise en œuvre d’un plan de sécurité des données dans le climat actuel où des fuites de données se produisent tous les jours, est la mise en œuvre et le maintien d’un modèle de moindre privilège dans votre entreprise.

Selon le principe de moindre privilège, les utilisateurs ne doivent avoir accès qu’aux ressources dont ils ont besoin pour faire leur travail. Qu’est-ce que ça veut dire ? L’équipe marketing, par exemple, ne devrait probablement pas avoir accès aux données financières et liées aux ressources humaines de l’entreprise. Si vous saviez le nombre de fois où c’est pourtant le cas, vous n’en reviendriez pas.

Un modèle de moindre privilège peut limiter considérablement les dommages que peut causer une personne interne mais, plus important encore, il empêche les hackers de se déplacer de manière latérale dans l’organisation à partir d’un seul compte piraté.

Sans moindre privilège, les hackers ont toutes les chances de pouvoir passer d’une partition à l’autre, s’emparant ainsi du plus de données privées qu’ils le peuvent. D’autre part, si (et quand) ce modèle de moindre privilège est mis en œuvre, le hacker a seulement accès aux ressources auxquelles le compte piraté peut accéder.

L’inconvénient ? Mettre en place des droits de moindre privilège n’est pas une mince affaire. Vous devez analyser les listes de contrôle d’accès, établir des correspondances avec des utilisateurs et groupes dans Active Directory et corriger des problèmes tels que l’accès global, qui devrait être un signal d’alerte important. Les hackers sont à l’affût des problèmes courants tels que des comptes de service dotés de droits excessifs, des héritages de droits brisés et des mots de passe admin faibles.

Lorsque vous aurez résolu les problèmes les plus évidents, vous devrez impliquer les propriétaires des données d’entreprise pour déterminer si les droits en cours sont légitimes et, dans le cas contraire, les révoquer.

Nous avons aidé des milliers d’entreprises à adopter un modèle de moindre privilège et, pour effectuer l’opération manuellement, cela prend en moyenne 6 heures par dossier à une personne.

Combien coûte l’application manuelle d’un modèle de moindre privilège ?

La mise en œuvre d’un modèle de moindre privilège est un investissement considérable, tant sur le plan financier que des ressources, de la maintenance et de la main d’œuvre. Une fois le modèle en place, le service d’assistance informatique se charge généralement de son maintien.

D’après les données du secteur datant de 2016, un appel au service d’assistance coûte en moyenne 15,56 dollars à l’entreprise. Ce prix semble raisonnable pour un appel rapide. Par exemple, si un utilisateur appelle pour demander à accéder à une partition, le service informatique doit contacter le responsable de cette personne (ou une autre personne de la chaîne d’approbation), puis accepter ou refuser la demande. Après enquête auprès de nos clients, cette procédure prend en moyenne 20 minutes sur une journée de travail du service d’assistance.

À votre avis, combien de fois par mois le service d’assistance reçoit-il ce type d’appels ? 50? 100? 1 000? Certains de nos clients traitent jusqu’à 7 000 demandes de modifications des droits en un mois – tout cela pour des raisons de sécurité des données et pour maintenir un modèle de moindre privilège.

Voici un tableau rapide correspondant à ce scénario : le nombre d'(appels au service d’assistance/mois) * (coût par appel), pour toute l’année.

Nombre de cas par mois Coût par cas Coût par mois Coût par an
100 15 $1 500 $18 000
500 15 $7 500 $90 000
1 000 15 $15 000 $180 000
2 500 15 $37 500 $450 000
5 000 15 $75 000 $900 000
7 000 15 $105 000 $1 260 000

Vous avez bien lu. Sans moyen pour rationaliser ce traitement des demandes d’accès, le maintien à jour de ces droits pourrait, à lui seul, coûter plus d’un million de dollars à notre client.

Si vous connaissez le coût par demande de votre service d’assistance ainsi que le nombre de modifications AD que vous traitez chaque mois, vous pouvez faire le même calcul pour votre entreprise. Demandez-vous également quel intérêt vous avez à le faire.

Outre le coût financier, vous devez prendre en compte le facteur humain.

D’après le tableau ci-dessus, si vous effectuez environ 1 000 modifications AD par mois, vous arrivez à un coût de base de 180 000 dollars par an pour les appels au service d’assistance, chacun d’eux durant 20 minutes, pour un total de 333 heures de main d’œuvre par mois simplement pour gérer ces demandes. Cela équivaut à deux postes à temps plein de 40 heures par semaine, chargés exclusivement des demandes de droits. Si une équipe travaillait non-stop pendant la semaine et le week-end, cela équivaudrait presque à deux semaines d’heures de travail.

Et c’est juste la moyenne.

Dans une entreprise de plus grande taille, ces 7 000 mises à jour AD correspondent à peu près à 2 310 heures de travail par mois. Cela équivaut à 14 personnes travaillant à plein temps au maintien des droits de moindre privilège chaque mois !

Un meilleur moyen de gérer les droits

DataPrivilege soulage le service d’assistance et donne la possibilité aux propriétaires de données – les personnes qui *savent* vraiment qui doit accéder à ces informations – d’accorder ou retirer des droits d’accès pour leurs propres partitions.

La suppression et l’attribution de droits deviennent aussi simples que le fait de répondre à un e-mail : chaque propriétaire de données effectuera l’opération uniquement pour ses partitions, et non pour tout le domaine.

Nous sommes probablement tous d’accord sur le fait que confier la gestion de l’accès au dossier « Finances entreprise » au service d’assistance informatique est une mauvaise idée. Par contre, attribuer au Contrôleur ou au Chef comptable la responsabilité de l’accès à ce dossier est une excellente idée – vous pouvez être fier d’y avoir pensé !

DataPrivilege automatisera aussi la vérification des droits et créera des rapports d’audit et de conformité. Nous proposons des API qui peuvent s’intégrer à vos systèmes IAM ou ITSM. Et, bien entendu, DataPrivilege s’intègrera à tous vos autres logiciels Varonis.

Attendez, combien cela va-t-il me coûter ?

Prenons l’exemple d’une moyenne entreprise comptant 1 000 utilisateurs et environ 1 000 modifications AD. Comme nous l’avons déjà dit, ces 1 000 modifications AD par mois pourraient coûter 180 000 dollars par an, et 333 heures de travail pour la gestion des droits. En utilisant DataPrivilege pour aider à gérer les droits, vous libèrerez non seulement des ressources, mais en plus l’entreprise économisera 105 000 dollars par an.

Et bien sûr, les employés de votre service d’assistance gagneront en efficacité et en souplesse du fait qu’ils n’auront plus à gérer les droits. Vos propriétaires de données sont en charge de leurs données – et vos auditeurs n’ont pas de souci à se faire concernant l’accès aux données sensibles. DataPrivilege est rentabilisé en un an – et vous avez réduit de manière durable la charge de travail permanente associée à la gestion des droits, tout en renforçant la sécurité de votre entreprise.

Retournons à notre entreprise de 10 000 utilisateurs qui traite 7 000 mises à jour AD par mois. Cela lui coûterait 1,26 million de dollars par an en service d’assistance et 2 310 heures de travail par mois. En utilisant DataPrivilege au cours de cette première année, vous économisez 960 000 dollars – et vous réduisez considérablement les heures de main d’œuvre nécessaires pour gérer ces droits ! Ça, c’est juste pour la première année.

À partir de la deuxième année, vous économisez plus d’un million de dollars.

Quelles missions votre service d’assistance pourrait-il mener à bien s’il n’avait pas ces 7 000 modifications AD à effectuer chaque mois ? Pourrait-il améliorer la productivité du reste de l’entreprise en répondant plus rapidement aux demandes urgentes ? Pourriez-vous réaffecter du personnel et déplacer des ressources dans d’autres services ?

C’est une blague ?

Non.

Ces chiffres sont réels. Mais ne perdez pas de vue qu’ils sont spécifiques au maintien d’un modèle de moindre privilège. Pour en arriver là, il vous faut (et vous devez vraiment le faire) mettre en place les droits les moins permissifs.

Et bien sûr, vous devez mettre dans la balance tout cet investissement d’un côté et de l’autre le coût associé au fait de ne rien faire et les risques qui vont avec. À votre avis, combien va coûter au final sa fuite de données à Equifax ?

Le Wall Street Journal table sur « plusieurs milliards ».

OK, et après ?

Il y a plusieurs façons de s’y prendre pour commencer à utiliser DataPrivilege et Varonis. Un des moyens les plus simples est de demander une évaluation gratuite des risques.

Nos ingénieurs analyseront votre situation actuelle en matière de sécurité des données – notamment les accès du groupe global et les données surexposées – et vous obtiendrez un rapport détaillé accompagné de recommandations concernant vos principales vulnérabilités et la façon de les gérer. Sinon, vous pouvez regarder directement une démo de DataPrivilege.

La mise en place et le maintien d’un modèle de moindre privilège est une des étapes les plus importantes pour protéger vos données sensibles – cela diminue le risque que vos données sensibles soient surexposées, divulguées ou volées – et DataPrivilege vous y aidera.