Aujourd’hui, le risque lié à la sécurité de l’information n’est plus seulement le résultat de vulnérabilités de nature technologique. Le comportement des utilisateurs est devenu également une source de risque à part entière. Il peut arriver que les collaborateurs téléchargent des applications infectées, visitent des sites douteux par inadvertance, ou divulguent des données confidentielles à des fins malveillantes. Ces comportements représentent une menace pour la sécurité qui compliquent la tâche des équipes IT et des responsables de la sécurité. Comment garantir à tout moment que les usages sur les postes de travail sont bien conformes aux politiques de sécurité internes ?

La protection du système d’information contre les vulnérabilités et autres failles de sécurité commence par une gestion efficace et continue des correctifs et autres mises à jour logicielles, tâche rendue complexe en raison de la cohabitation de multiples applications et systèmes d’exploitation dans l’environnement IT.

Au-delà des menaces qu’ils font peser sur la sécurité du SI, les problèmes de non-respect des directives IT peuvent se révéler coûteux, nuire à l’image de l’entreprise et impacter la productivité des utilisateurs.

En voici deux exemples.

Violation des contrats de licence logiciels

L’utilisation de logiciels en entreprise est régie par des accords de licence complexes qui définissent qui a le droit d’utiliser le logiciel, dans quel contexte, sur quel type de matériel et si les usages concurrents sont permis.

Vu le nombre d’applications utilisées quotidiennement dans l’environnement professionnel, c’est mission quasi impossible de savoir exactement qui, à un instant T, utilise tel ou tel logiciel et de vérifier que les usages sont alignés avec les termes des contrats de licences. Un déficit de visibilité sur la nature des usages et sur la fréquence d’utilisation peut se traduire par des sanctions financières si un audit révèle un non-respect des termes contractuels.

Shadow IT

Le Shadow IT est également une source de situations de non-conformité avec les standards. Imaginons que quelques collaborateurs partagent des fichiers sur DropBox, alors que la politique de l’entreprise stipule que le partage de fichiers doit se faire sur un système sécurisé tel que SharePoint. Sans visibilité sur les usages réels, vous n’aurez aucun moyen d’identifier qui sont les collaborateurs en situation de non-conformité, même avec le meilleur plan de sécurité.

Rien d’étonnant à ce que les équipes IT déploient des efforts colossaux pour rassembler les preuves de l’efficacité de leurs mesures de sécurité. Et même dans les cas où elles identifient l’intégralité des infractions, les équipes IT ne sont pas en mesure de réagir aussi efficacement et aussi rapidement qu’elles le souhaiteraient pour y remédier. En dépit des menaces qui pèsent sur la conformité aux standards, il n’est pas envisageable de contraindre les utilisateurs à travailler dans un environnement trop rigide. Ce serait mettre en péril leur satisfaction et ralentir leur productivité. Il s’agit donc de trouver le juste équilibre entre la flexibilité donnée aux utilisateurs et la mise en place de moyens de contrôles efficaces.

Comment trouver le juste équilibre entre ces deux exigences ? Voici quelques pistes de réflexion :

  • Du côté du respect des politiques internes et externes 
    • Évaluez en continu les risques de non-conformité sur les postes de travail à travers une visibilité sur les usages.
    • Mettez en place des indicateurs de conformité pour suivre les tendances et détecter les déviances
    • Identifiez rapidement les postes de travail en situation de non- conformité et tenez-vous prêt à prendre des mesures correctives le plus vite possible.
    • Faites appel à la remédiation automatisée pour corriger les incidents sans pour autant perturber l’activité des collaborateurs
  • Du côté de l’expérience utilisateur 
    • Évaluez en permanence la qualité des services délivrés aux utilisateurs en collectant leur feedback
    • Identifiez les contrôles de sécurité installés sur les postes de travail qui sont susceptibles de dégrader la productivité de l’utilisateur
    • Ajustez et corrigez vos contrôles de sécurité au fil de l’eau

Gestion centralisée des postes de travail, avec résolution automatisée des incidents

La juxtaposition d’une multitude d’outils de sécurité très spécialisés n’offre pas une bonne vision d’ensemble des usages sur tous les postes de travail. Seule une solution qui collecte en temps réel les évènements sur les postes de travail, qui facilite la compréhension des retours utilisateurs et qui automatise la résolution des situations de non-conformité peut apporter les moyens de contrôle nécessaires à l’efficacité de la gestion de la conformité. pour au final mieux servir les intérêts de l’entreprise tout entière.

Related posts:

  1. L’Assurance Maladie relève le défi du contrôle de conformité de 50000 postes de travail pendant la crise sanitaire
  2. Un acteur de l’immobilier commercial uniformise les prérequis de connexion de 3500 postes et identifie les usages déviants
  3. Directeurs IT : ce qu’il faut savoir sur le RGPD
  4. Une grande administration française chiffre 20000 postes en 3 jours grâce à une campagne innovante