{"id":195,"date":"2017-11-03T11:08:38","date_gmt":"2017-11-03T15:08:38","guid":{"rendered":"http:\/\/itergy.com\/blog\/fr\/?p=195"},"modified":"2023-02-16T15:49:41","modified_gmt":"2023-02-16T20:49:41","slug":"active-directory-et-la-conformite-reglementaire-ce-quil-faut-savoir","status":"publish","type":"blog","link":"https:\/\/itergy.com\/fr\/blogue\/active-directory-et-la-conformite-reglementaire-ce-quil-faut-savoir\/","title":{"rendered":"Active Directory et la conformit\u00e9 r\u00e9glementaire : ce qu\u2019il faut savoir"},"content":{"rendered":"

Derni\u00e8re mi<\/b>se\u00a0<\/b>\u00e0\u00a0<\/b>jour le 3 Novembre 2017<\/b><\/p>\n

Active Directory (AD) fut lanc\u00e9 par Microsoft en tant que partie int\u00e9grante de Windows Server 2000, dans le but de fournir aux entreprises une solution s\u00e9curis\u00e9e pour stocker et prot\u00e9ger les informations sensibles et pour contr\u00f4ler l\u2019acc\u00e8s \u00e0 celles-ci.\u00a0 Quelques ann\u00e9es plus tard, le gouvernement des \u00c9tats-Unis a promulgu\u00e9 la loi Sarbanes-Oxley (SOX) afin d’am\u00e9liorer les informations financi\u00e8res des entreprises et de prot\u00e9ger les investisseurs contre les activit\u00e9s comptables frauduleuses des soci\u00e9t\u00e9s. Parce qu’Active Directory est le service r\u00e9pertoire le plus grand et le plus d\u00e9ploy\u00e9 dans le monde, il est consid\u00e9r\u00e9 comme une solution efficace pour la conformit\u00e9 SOX (et a une multitude d\u2019autres r\u00e8glementations), mais est-ce vraiment le cas?<\/p>\n

La r\u00e9ponse est oui\u2026 dans la mesure o\u00f9 un usage ad\u00e9quat en est fait. Cela dit, Active Directory, dans ses versions pour Windows Server 2012 et Windows 8, compte plus de 3500 param\u00e8tres g\u00e9rables en rapport avec les politiques de s\u00e9curit\u00e9. Comment savoir, alors, lesquels sont pertinents \u00e0 votre organisation?<\/p>\n

\u00c9valuation de la gestion des contr\u00f4les internes<\/h2>\n

L’article 404 de la SOX exige que les entreprises \u00e9tablissent une infrastructure pour prot\u00e9ger et pr\u00e9server les donn\u00e9es et les enregistrements de la destruction, perte, modification non autoris\u00e9e ou de toute autre mauvaise utilisation. Malheureusement, SOX n\u2019offre pas de r\u00e8gles d\u00e9finitives ou de listes de v\u00e9rification relativement aux types de contr\u00f4les que les soci\u00e9t\u00e9s doivent mettre en place pour assurer ce niveau de protection. Ainsi, les entreprises qui tentent de se conformer \u00e0 SOX sont parfois confront\u00e9es \u00e0 des d\u00e9fis de taille.<\/p>\n

Pour les entreprises qui font des affaires dans l’UE, vous devrez vous conformer \u00e0 la r\u00e9glementation g\u00e9n\u00e9rale sur la protection des donn\u00e9es (GDPR) qui entrera en vigueur le 25 mai 2018. GDPR change la donne pour mettre en \u0153uvre de nouvelles politiques et pratiques. Vous devrez revoir et ajuster vos responsables de la protection des donn\u00e9es.<\/p>\n

Qu\u2019arrive-t-il si une hy\u00e8ne sauvage et un auditeur interne sont embarr\u00e9s dans la m\u00eame pi\u00e8ce?\u00a0<\/strong>L\u2019hy\u00e8ne arr\u00eate de rire.<\/p>\n

Avez-vous entendu la blague sur l\u2019auditeur interne vraiment int\u00e9ressant?\u00a0<\/strong>Non, moi non plus.<\/p>\n

Bon, assez de blagues sur les auditeurs. Nous les connaissons bien, nous en avons ri plus qu\u2019\u00e0 notre tour, et nous avons tous surv\u00e9cu aux audits.<\/p>\n

La conformit\u00e9 \u00e0 SOX repose essentiellement sur l\u2019\u00e9valuation d\u2019un v\u00e9rificateur quant \u00e0 la capacit\u00e9 d\u2019une entreprise \u00e0 restreindre ou \u00e0 surveiller les changements dans l\u2019environnement de TI ainsi que les personnes qui ont acc\u00e8s aux ressources g\u00e9rant les donn\u00e9es financi\u00e8res. Bien que les entreprises doivent d\u00e9finir et mettre en place la plupart des contr\u00f4les bien avant l\u2019audit, il est impossible de pr\u00e9voir exactement ce que l\u2019auditeur examinera. Ainsi, ce n\u2019est qu\u2019apr\u00e8s\u00a0<\/em>l\u2019audit, en v\u00e9rifiant le rapport SOX du v\u00e9rificateur, que la plupart des soci\u00e9t\u00e9s comprennent bien les choses<\/p>\n

Une entreprise peut tout de m\u00eame glaner quelques directives g\u00e9n\u00e9rales bas\u00e9es sur les types de donn\u00e9es que les rapports SOX citent couramment comme devant faire l\u2019objet d\u2019un contr\u00f4le.<\/p>\n

Quels contr\u00f4les sont disponibles dans Active Directory?<\/h2>\n

Voici les types de donn\u00e9es que les entreprises ont \u00e9t\u00e9 mandat\u00e9es de contr\u00f4ler, en vertu de diff\u00e9rents rapports SOX\u00a0:<\/p>\n

    \n
  • Structure du domaine<\/li>\n
  • Politique des comptes de domaine<\/li>\n
  • Param\u00e8tre de la politique du contr\u00f4leur de domaine<\/li>\n
  • Objets des politiques de groupes<\/li>\n
  • Valeurs des cl\u00e9s du registre<\/li>\n
  • Comptes d\u2019utilisateurs d\u00e9finis dans le domaine<\/li>\n
  • Groupes locaux du domaine et leurs membres<\/li>\n
  • Groupes globaux du domaine et leurs membres<\/li>\n
  • Groupes universels du domaine et leurs membres<\/li>\n
  • Mots de passe de \u00ab\u00a0n\u00a0\u00bb jours ou plus<\/li>\n
  • \u00c9checs de tentatives d\u2019ouverture de session d\u00e9passant \u00ab\u00a0n\u00a0\u00bb<\/li>\n
  • Comptes avec dates expir\u00e9es<\/li>\n
  • Comptes d\u00e9sactiv\u00e9s<\/li>\n
  • Comptes verrouill\u00e9s<\/li>\n
  • Droits et privil\u00e8ges<\/li>\n
  • Domaines avec un lien de confiance<\/li>\n
  • Serveurs et postes de travail<\/li>\n
  • Contr\u00f4leurs de domaine dans le domaine<\/li>\n
  • Services et pilotes sur la machine<\/li>\n
  • Disques logiques<\/li>\n
  • Partages de r\u00e9seau<\/li>\n<\/ul>\n

    C\u2019est beaucoup de donn\u00e9es! Parmi les \u00e9l\u00e9ments \u00e9num\u00e9r\u00e9s, comment faites-vous pour d\u00e9terminer ceux sur lesquels votre entreprise doit se concentrer pour assurer la protection de ses donn\u00e9es et survivre \u00e0 un audit SOX?<\/p>\n

    Quels contr\u00f4les Active Directory s’appliquent \u00e0 votre entreprise?<\/h2>\n

    Utilisez les crit\u00e8res ci-dessous et les questions qui s\u2019y rattachent pour d\u00e9terminer quels contr\u00f4les correspondent le mieux \u00e0 votre entreprise<\/p>\n

      \n
    • Confidentialit\u00e9\u00a0:<\/strong>\u00a0Utilisez-vous des technologies de cryptage? D\u00e9ployez-vous des services de certificat? Avez-vous une politique de mots de passe complexe? Maintenez-vous des m\u00e9canismes d\u2019authentification patrimoniaux pour les applications, comme NTLM? Faites-vous confiance aux entit\u00e9s \u00e9trang\u00e8res que vous n\u2019avez pas \u00e9valu\u00e9es depuis, disons, trois mois?<\/li>\n
    • Int\u00e9grit\u00e9\u00a0:<\/strong>\u00a0Vos donn\u00e9es sont-elles en ligne et sont-elles r\u00e9pliqu\u00e9es correctement? Qui peut \u00e9crire vos donn\u00e9es? Qui peut les voler? Votre AD est-il en bonne sant\u00e9? Comment faites-vous un bilan de sant\u00e9 de votre environnement Active Directory? Qui peut supprimer les journaux d\u2019audits? Combien de comptes de fournisseurs avec des droits \u00e9lev\u00e9s poss\u00e9dez-vous?<\/li>\n
    • Disponibilit\u00e9\u00a0:<\/strong>\u00a0SOX exige que les personnes autoris\u00e9es aient acc\u00e8s aux donn\u00e9es financi\u00e8res. Avec quelle rapidit\u00e9 pouvez-vous recueillir ces donn\u00e9es? Utilisez-vous un processus \u00e9prouv\u00e9 de r\u00e9cup\u00e9ration de domaine ou de for\u00eat? Si oui, est-il document\u00e9? Le testez-vous trimestriellement?<\/li>\n
    • Contr\u00f4le des acc\u00e8s\u00a0:\u00a0<\/strong>Les administrateurs peuvent contr\u00f4ler l\u2019acc\u00e8s des usagers aux ressources partag\u00e9es \u00e0 des fins de s\u00e9curit\u00e9. Dans Active Directory, le contr\u00f4le des acc\u00e8s est g\u00e9r\u00e9 au niveau des objets, en attribuant \u00e0 ceux-ci diff\u00e9rents niveaux d\u2019acc\u00e8s, ou autorisations (Contr\u00f4le total, \u00c9criture, Lecture, aucun acc\u00e8s). Ces niveaux sont attribu\u00e9s \u00e0 diff\u00e9rents utilisateurs et d\u00e9terminent comment ceux-ci peuvent interagir avec les objets Active Directory. Par d\u00e9faut, les autorisations sur les objets dans Active Directory sont d\u00e9finies sur le param\u00e8tre de s\u00e9curit\u00e9 le plus \u00e9lev\u00e9. Si votre entreprise utilise Active Directory depuis que le service a fait son apparition il y a une quinzaine d\u2019ann\u00e9es, il y a sans doute eu des changements importants dans votre organisation en ce qui concerne le personnel, les responsabilit\u00e9s, etc. \u00c0 quand remonte la derni\u00e8re fois o\u00f9 vous avez pass\u00e9 en revue le contr\u00f4le de vos acc\u00e8s?<\/li>\n
    • Audits et journalisation\u00a0: <\/strong>Deux \u00e9l\u00e9ments essentiels des contr\u00f4les de TI sont les audits et la journalisation d\u2019\u00e9v\u00e9nements dans des syst\u00e8mes traitant les donn\u00e9es sensibles. Il est important de vous assurer que votre syst\u00e8me journalise les activit\u00e9s pertinentes, comme les pannes, les red\u00e9marrages ou les \u00e9v\u00e9nements inhabituels. Que faites-vous avec vos fichiers de journalisation? Vous les \u00e9crasez? Vous les centralisez? Et pendant combien de temps les gardez-vous?<\/li>\n
    • Gestion du changement\u00a0: <\/strong>La gestion du changement constitue un \u00e9l\u00e9ment essentiel de Sarbanes-Oxley puisque cette loi exige que les entreprises avisent la Securities and Exchange Commission (SEC) de tout changement mat\u00e9riel apport\u00e9 aux processus gouvernant la circulation des donn\u00e9es financi\u00e8res (il n\u2019est pas clair si cette exigence est appliqu\u00e9e avec rigueur). Si vous ne disposez pas d\u2019un processus de gestion du changement bien d\u00e9fini, comment pouvez-vous assurer votre conformit\u00e9 \u00e0 cet aspect de SOX? Comment pouvez-vous assurer, sur une base continue, la disponibilit\u00e9, la confidentialit\u00e9, l\u2019int\u00e9grit\u00e9 et les audits d\u2019Active Directory?<\/li>\n<\/ul>\n

      Conformit\u00e9\u00a0: ce qu\u2019il faut retenir<\/h2>\n

      C\u2019est vous \u2014 et non pas les v\u00e9rificateurs ou l\u00e9gislateurs \u2014 qui contr\u00f4lez l\u2019exposition de votre entreprise au risque. En d\u00e9finissant les contr\u00f4les appropri\u00e9s dans Active Directory, vous r\u00e9duisez cette exposition, maintenant et dans le futur.<\/p>\n

      Bien que SOX ou GDRP ne soit pas fourni avec des listes de contr\u00f4le de conformit\u00e9, vous pouvez vous r\u00e9f\u00e9rer \u00e0 d’autres sources pour obtenir de l’aide. Par exemple, jetez un \u0153il \u00e0 vos anciens audits, surtout les rapports de non-conformit\u00e9. Les v\u00e9rificateurs ne fournissent pas de listes de mesures correctives, mais ils vous donneront des informations pertinentes sur leurs attentes. Leurs rapports et leur r\u00e9troaction vous seront utiles lorsque vous pr\u00e9parerez une strat\u00e9gie en vue de votre prochain audit.<\/p>\n

      \u00c0 mesure que vous instaurez des contr\u00f4les strat\u00e9giques et tactiques, demandez-vous de quelle fa\u00e7on vous pouvez-vous assurer que ces contr\u00f4les et processus connexes deviennent permanents au sein de votre organisation. Il n\u2019est pas tr\u00e8s utile de mettre en place de nouveaux contr\u00f4les sans aussi y int\u00e9grer des processus et proc\u00e9dures pour assurer que votre organisation conserve et adapte ces contr\u00f4les au fil du temps. Bien s\u00fbr, vous souhaitez passer l\u2019audit, mais vous devez aussi mettre en place un syst\u00e8me qui r\u00e9pond, voire qui d\u00e9passe, vos besoins futurs en mati\u00e8re de protection.<\/p>\n","protected":false},"author":31,"featured_media":197,"parent":0,"menu_order":0,"template":"","blog_tag":[96,98,139,175,147,148,102,142,143],"class_list":["post-195","blog","type-blog","status-publish","has-post-thumbnail","hentry","blog_tag-active-directory","blog_tag-cloud","blog_tag-conformite","blog_tag-gdpr-fr","blog_tag-gestion-active-directory","blog_tag-gestion-des-acces-et-des-identites","blog_tag-microsoft","blog_tag-securite","blog_tag-strategie"],"acf":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/blog\/195","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/blog"}],"about":[{"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/types\/blog"}],"author":[{"embeddable":true,"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/users\/31"}],"version-history":[{"count":2,"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/blog\/195\/revisions"}],"predecessor-version":[{"id":22547,"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/blog\/195\/revisions\/22547"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/media\/197"}],"wp:attachment":[{"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/media?parent=195"}],"wp:term":[{"taxonomy":"blog_tag","embeddable":true,"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/blog_tag?post=195"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}