Les risques dans leur globalitéPartenaires
 |  |
 |  |
 |  |
 | |
    L’urgence est à la flexibilitéMardi 19 Octobre 2010
Gérer coûte bien moins cher que résoudre les problèmes, assure Jay Roxe, Marketing Director, Identity et Security, Novell° Malgré plus d’une décennie d’efforts, l’entreprise est encore et toujours la proie de failles de sécurité, de constats d’audit réglementaires négatifs et de coûts liés aux atteintes portées aux données. Pourquoi selon vous?
«Parce que la plupart des entreprises restent concentrées sur les incidents de sécurité et de conformité qui se produisent au quotidien. Le Ponemon Institute évalue le coût de la violation des données à 204 USD par enregistrement. Multipliez ce coût par des milliers, voire des centaines de milliers d’enregistrements... Ce sont des sommes astronomiques qui s’envolent!»
° Personne ne peut nier que la sécurité et la conformité sont onéreuses et délicates à obtenir et à maintenir... Tout serait si sombre?
«Non! une bonne approche de la gestion de la conformité et des risques est moins coûteuse que les mesures prises pour régler ces problèmes aujourd’hui... Pensez à l’accroissement des risques de sécurité, aux coûts de gestion, au nombre de constats d’audits négatifs qu’entraîneront des incidents s’ils se multiplient; ils peuvent englober les politiques de mot de passe, le provisionnement, les droits d’accès, les configurations système, les politiques de gestion des journaux, ainsi que de nombreux autres contrôles sécuritaires et réglementaires. C’est comme cela que de très petites insuffisances réglementaires se muent en problèmes systémiques.»
° Si les entreprises sont déjà confrontées à ces types de défis en matière de gouvernance et de gestion des risques, comment, le moment venu, réduire les risques et administrer les architectures dynamiques qui dépendront plus encore de la virtua
«Une seule voie: construire une infrastructure de gouvernance unifiée et flexible pour atténuer les risques et réduire les coûts tout en préparant l’entreprise à une dépendance encore plus lourde vis-à-vis de la virtualisation et, dans la foulée, du cloud.
«Il s’agira, dans un premier temps, de recenser l’ensemble des processus et contrôles de gestion du risque de l’entreprise, puis de vérifier qu’ils sont clairement définis et documentés. Ce sera sans doute long, voire pénible, compte tenu des centaines, voire des milliers de points de contrôles. Mais cela en vaut la peine... «Une fois l’inventaire effectué, il convient de simplifier et consolider les contrôles réglementaires partout où c’est possible; mapper ensuite ces contrôles sur les systèmes et données de l’entreprise. Plutôt que de déployer un ensemble de contrôles totalement distincts en fonction de réglementations et de normes, il est préférable de déterminer les contrôles communs et d’unifier ces politiques au sein d’une infrastructure unique capable de répondre à toutes les exigences réglementaires et de politique de sécurité interne. Enfin, pour surveiller de manière continue l’efficacité des politiques et contrôles mis en place, on utilisera des outils spécifiques. Cela concernera la surveillance des journaux, des rapports de gestion des identités et des accès, la gestion des informations et événements de sécurité, entre autres applications de sécurité et de conformité.» ° Combien de contrôles redondants peut-on trouver?
«Beaucoup... selon le nombre de réglementations et de domaines d’activité de l’entreprise. Aussi, n’appliquez pas de politiques de mots de passe distinctes: mieux vaut se limiter à une seule politique de mot de passe pouvant être appliquée de façon homogène à travers l’entreprise. Même remarque pour le provisionnement du workflow, l’établissement des droits d’accès, la gestion et la surveillance des journaux des événements, et pour la plupart des autres politiques.
«Dès lors, si une nouvelle obligation réglementaire fait son apparition -demande de saisie d’un mot de passe d’une certaine longueur, par exemple- il suffit de mettre à jour cette politique plutôt que de remanier cinq politiques séparées, chacune avec sa propre couche de supervision et de gouvernance.» ° Avec la virtualisation, la sécurité et la conformité sont considérablement modifiées. Comment les politiques sont-elles «mappées» sur les machines virtuelles correspondantes? Comment le basculement d’une charge de travail virtualisée entre d
«Nul doute qu’une infrastructure unifiée et flexible de gestion des risques et de la conformité aidera les entreprises à gérer la conformité et la sécurité de ces charges de travail virtualisées bien plus intelligemment.
«Il en va de même pour le passage au cloud computing. Ce travail entrepris permettra de vérifier la mise en place effective de systèmes de contrôle d’accès appropriés à travers les systèmes informatiques physiques, virtuels et ‘on the cloud’. Il sera possible de vérifier que les bons journaux sont gérés, que les contrôles de confidentialité des données sont en place, et que d’autres politiques de sécurité sont appliquées, et cela que le travail ait lieu dans le datacenter principal, sur un système virtuel installé dans un bureau distant, ou dans les installations d’un fournisseur de services sur le cloud, n’importe où dans le monde.» |
Unified Communications-as-a-Service
|
|
|
|
