L’importance du contrôle d’accès en entreprise

Noémie naviguait sur Internet depuis un compte administrateur. Elle a cliqué sur un lien conçu spécifiquement pour l’attirer vers une page web infectée.
Un programme malveillant s’est alors installé sur sa machine et a pu, grâce à ses droits administrateurs, désactiver l’antivirus et accéder à l’ensemble des données de son service.

Chaque système d’exploitation possède différents droits permettant d’effectuer des actions différentes. Les droits d’administration permettent d’intervenir sur des fonctionnalités avancées (ex: désactiver l’anti virus, désactiver le parefeu etc…)

Le contrôle d’accès permet restreinte les possibilités des attaquants en cas de piratage informatique d’un compte utilisateur. Peu sensibilisés, les utilisateurs sont les principales cibles de social engineering, méthodes par lesquels les pirates abusent de la naïveté des utilisateurs pour obtenir des accès au système d’information.

Dans le but d’améliorer sensiblement la sécurité du système d’information, l’Agence Nationale de la sécurité des systèmes d’information ( ANSSI ) préconise d’appliquer une gestion du contrôle d’accès rigoureuse des utilisateurs et des prestataires.

Ces recommandations sont à appliquer sur l’ensemble des ressources du système d’information :

  • Ordinateurs et autres périphériques
  • Imprimantes et scanner
  • Serveur de fichier (NAS)
  • Equipements réseaux, routeur, switch, borne wifi etc…

 

 

Les principales recommandations

 

  • Pour une utilisation quotidienne d’un ordinateur, utilisez des comptes utilisateurs en réservant l’utilisation des droits administrateurs uniquement au service informatique
  • Identifiez précisément les différents utilisateurs de votre système d’information et accordez-leur uniquement l’accès dont ils ont besoins pour l’accomplissement de leur travail
  • Supprimez les comptes obsolètes (stagiaires, presse, contact, ancien employé etc…)
  • Assurer la traçabilité des actions sur l’ensemble des équipements de votre système d’information
  • Identifier nominativement tous les utilisateurs du système d’information par des mécanismes d’authentification
  • Garantir l’imputabilité des actions utilisateurs en s’assurant de pouvoir relier chaque action d’un utilisateur à entité authentifié

0 commentaires

0
Connecting
Please wait...
Envoyer un message

Nous ne sommes pas en ligne actuellement. Laissez-nous un message.

* Votre nom
* Email
* Posez-nous vos questions
Des questions ?

Besoin d'aide ? Gagnez du temps en posant vos questions à notre support.

* Email
* Votre message
Des questions ?
Feedback

Aidez-nous à nous améliorer ! N'hésitez pas à laisser votre avis.

Comment évaluez-vous notre support?

Pin It on Pinterest

Share This