Active Directory et la conformité réglementaire : ce qu’il faut savoir

Dernière mise à jour le 3 Novembre 2017

Active Directory (AD) fut lancé par Microsoft en tant que partie intégrante de Windows Server 2000, dans le but de fournir aux entreprises une solution sécurisée pour stocker et protéger les informations sensibles et pour contrôler l’accès à celles-ci.  Quelques années plus tard, le gouvernement des États-Unis a promulgué la loi Sarbanes-Oxley (SOX) afin d’améliorer les informations financières des entreprises et de protéger les investisseurs contre les activités comptables frauduleuses des sociétés. Parce qu’Active Directory est le service répertoire le plus grand et le plus déployé dans le monde, il est considéré comme une solution efficace pour la conformité SOX (et a une multitude d’autres règlementations), mais est-ce vraiment le cas?

La réponse est oui… dans la mesure où un usage adéquat en est fait. Cela dit, Active Directory, dans ses versions pour Windows Server 2012 et Windows 8, compte plus de 3500 paramètres gérables en rapport avec les politiques de sécurité. Comment savoir, alors, lesquels sont pertinents à votre organisation?

Évaluation de la gestion des contrôles internes

L’article 404 de la SOX exige que les entreprises établissent une infrastructure pour protéger et préserver les données et les enregistrements de la destruction, perte, modification non autorisée ou de toute autre mauvaise utilisation. Malheureusement, SOX n’offre pas de règles définitives ou de listes de vérification relativement aux types de contrôles que les sociétés doivent mettre en place pour assurer ce niveau de protection. Ainsi, les entreprises qui tentent de se conformer à SOX sont parfois confrontées à des défis de taille.

Pour les entreprises qui font des affaires dans l’UE, vous devrez vous conformer à la réglementation générale sur la protection des données (GDPR) qui entrera en vigueur le 25 mai 2018. GDPR change la donne pour mettre en œuvre de nouvelles politiques et pratiques. Vous devrez revoir et ajuster vos responsables de la protection des données.

Qu’arrive-t-il si une hyène sauvage et un auditeur interne sont embarrés dans la même pièce? L’hyène arrête de rire.

Avez-vous entendu la blague sur l’auditeur interne vraiment intéressant? Non, moi non plus.

Bon, assez de blagues sur les auditeurs. Nous les connaissons bien, nous en avons ri plus qu’à notre tour, et nous avons tous survécu aux audits.

La conformité à SOX repose essentiellement sur l’évaluation d’un vérificateur quant à la capacité d’une entreprise à restreindre ou à surveiller les changements dans l’environnement de TI ainsi que les personnes qui ont accès aux ressources gérant les données financières. Bien que les entreprises doivent définir et mettre en place la plupart des contrôles bien avant l’audit, il est impossible de prévoir exactement ce que l’auditeur examinera. Ainsi, ce n’est qu’après l’audit, en vérifiant le rapport SOX du vérificateur, que la plupart des sociétés comprennent bien les choses

Une entreprise peut tout de même glaner quelques directives générales basées sur les types de données que les rapports SOX citent couramment comme devant faire l’objet d’un contrôle.

Quels contrôles sont disponibles dans Active Directory?

Voici les types de données que les entreprises ont été mandatées de contrôler, en vertu de différents rapports SOX :

  • Structure du domaine
  • Politique des comptes de domaine
  • Paramètre de la politique du contrôleur de domaine
  • Objets des politiques de groupes
  • Valeurs des clés du registre
  • Comptes d’utilisateurs définis dans le domaine
  • Groupes locaux du domaine et leurs membres
  • Groupes globaux du domaine et leurs membres
  • Groupes universels du domaine et leurs membres
  • Mots de passe de « n » jours ou plus
  • Échecs de tentatives d’ouverture de session dépassant « n »
  • Comptes avec dates expirées
  • Comptes désactivés
  • Comptes verrouillés
  • Droits et privilèges
  • Domaines avec un lien de confiance
  • Serveurs et postes de travail
  • Contrôleurs de domaine dans le domaine
  • Services et pilotes sur la machine
  • Disques logiques
  • Partages de réseau

C’est beaucoup de données! Parmi les éléments énumérés, comment faites-vous pour déterminer ceux sur lesquels votre entreprise doit se concentrer pour assurer la protection de ses données et survivre à un audit SOX?

Quels contrôles Active Directory s’appliquent à votre entreprise?

Utilisez les critères ci-dessous et les questions qui s’y rattachent pour déterminer quels contrôles correspondent le mieux à votre entreprise

  • Confidentialité : Utilisez-vous des technologies de cryptage? Déployez-vous des services de certificat? Avez-vous une politique de mots de passe complexe? Maintenez-vous des mécanismes d’authentification patrimoniaux pour les applications, comme NTLM? Faites-vous confiance aux entités étrangères que vous n’avez pas évaluées depuis, disons, trois mois?
  • Intégrité : Vos données sont-elles en ligne et sont-elles répliquées correctement? Qui peut écrire vos données? Qui peut les voler? Votre AD est-il en bonne santé? Comment faites-vous un bilan de santé de votre environnement Active Directory? Qui peut supprimer les journaux d’audits? Combien de comptes de fournisseurs avec des droits élevés possédez-vous?
  • Disponibilité : SOX exige que les personnes autorisées aient accès aux données financières. Avec quelle rapidité pouvez-vous recueillir ces données? Utilisez-vous un processus éprouvé de récupération de domaine ou de forêt? Si oui, est-il documenté? Le testez-vous trimestriellement?
  • Contrôle des accès : Les administrateurs peuvent contrôler l’accès des usagers aux ressources partagées à des fins de sécurité. Dans Active Directory, le contrôle des accès est géré au niveau des objets, en attribuant à ceux-ci différents niveaux d’accès, ou autorisations (Contrôle total, Écriture, Lecture, aucun accès). Ces niveaux sont attribués à différents utilisateurs et déterminent comment ceux-ci peuvent interagir avec les objets Active Directory. Par défaut, les autorisations sur les objets dans Active Directory sont définies sur le paramètre de sécurité le plus élevé. Si votre entreprise utilise Active Directory depuis que le service a fait son apparition il y a une quinzaine d’années, il y a sans doute eu des changements importants dans votre organisation en ce qui concerne le personnel, les responsabilités, etc. À quand remonte la dernière fois où vous avez passé en revue le contrôle de vos accès?
  • Audits et journalisation : Deux éléments essentiels des contrôles de TI sont les audits et la journalisation d’événements dans des systèmes traitant les données sensibles. Il est important de vous assurer que votre système journalise les activités pertinentes, comme les pannes, les redémarrages ou les événements inhabituels. Que faites-vous avec vos fichiers de journalisation? Vous les écrasez? Vous les centralisez? Et pendant combien de temps les gardez-vous?
  • Gestion du changement : La gestion du changement constitue un élément essentiel de Sarbanes-Oxley puisque cette loi exige que les entreprises avisent la Securities and Exchange Commission (SEC) de tout changement matériel apporté aux processus gouvernant la circulation des données financières (il n’est pas clair si cette exigence est appliquée avec rigueur). Si vous ne disposez pas d’un processus de gestion du changement bien défini, comment pouvez-vous assurer votre conformité à cet aspect de SOX? Comment pouvez-vous assurer, sur une base continue, la disponibilité, la confidentialité, l’intégrité et les audits d’Active Directory?

Conformité : ce qu’il faut retenir

C’est vous — et non pas les vérificateurs ou législateurs — qui contrôlez l’exposition de votre entreprise au risque. En définissant les contrôles appropriés dans Active Directory, vous réduisez cette exposition, maintenant et dans le futur.

Bien que SOX ou GDRP ne soit pas fourni avec des listes de contrôle de conformité, vous pouvez vous référer à d’autres sources pour obtenir de l’aide. Par exemple, jetez un œil à vos anciens audits, surtout les rapports de non-conformité. Les vérificateurs ne fournissent pas de listes de mesures correctives, mais ils vous donneront des informations pertinentes sur leurs attentes. Leurs rapports et leur rétroaction vous seront utiles lorsque vous préparerez une stratégie en vue de votre prochain audit.

À mesure que vous instaurez des contrôles stratégiques et tactiques, demandez-vous de quelle façon vous pouvez-vous assurer que ces contrôles et processus connexes deviennent permanents au sein de votre organisation. Il n’est pas très utile de mettre en place de nouveaux contrôles sans aussi y intégrer des processus et procédures pour assurer que votre organisation conserve et adapte ces contrôles au fil du temps. Bien sûr, vous souhaitez passer l’audit, mais vous devez aussi mettre en place un système qui répond, voire qui dépasse, vos besoins futurs en matière de protection.


TAGS:

    Contactez un expert