Brainwave as a Service : comment éviter les recommandations d’audit

Brainwave as a Service : comment éviter les recommandations d’audit

Vérification & contrôle des droits d’accès : une problématique constante pour les PME & ETI

Pourquoi l’offre Brainwave as a Service 

En matière de vérification des droits d’accès et de contrôle des droits applicatifs, les PME & ETI font le plus souvent face à des manques de moyens et de ressources significatifs. Cela les empêche de répondre correctement à leurs exigences de contrôle et de mise en conformité. Notamment, la production de rapports de conformité sur les accès est ardue pour le plus grand nombre d’entreprises et les utilisateurs sont généralement insatisfaits des états issus des revues.

La solution ? Automatiser ces processus de contrôle et de vérification des accès afin de gagner en temps, en ressources et en productivité. Les entreprises de plus de 500 salariés sont en mesure d’implémenter des solutions puissantes en la matière, mais quelles outils sont à disposition des PME & ETI ?

Brainwave as a Service : une offre de service dédiée aux PME & ETI

L’objectif de cette offre est d’apporter un service d’automatisation aux besoins de contrôle et de vérification des droits d’accès aux entreprises de moins de 500 personnes (identités). Pour fournir un service adapté aux besoins de ces entreprises, il s’agit de fournir des rapports et tableaux de bords directement exploitables au format Excel, sans avoir implémenté une solution ni conduit de projet informatique.

Brainwave as a Service aide les entreprises à externaliser l’analyse des habilitations et la production de rapports de conformité, sur la base d’analyses et de rapports mensuels. Répondre avec précision aux questions suivantes avec facilité et par un monitoring continu est désormais possible : qui travaille dans l’entreprise ? Qui a accès aux infrastructures ? Qui a accès aux applications et données sensibles ?

Découvrez la présentation de Brainwave as a Service en vidéo : 

“Avec les contraintes réglementaires qui augmentent […] on se retrouve dans une situation où l’on doit régulièrement réaliser ces contrôles sur les droits applicatifs c’est-à-dire vérifier que les comptes d’accès soient bien légitimes, que les droits d’accès sont bien attribués aux bonnes personnes […] en particulier sur les systèmes cloud. On a un vrai problème aujourd’hui, comment (faire) réaliser ces contrôles.”

L’IAM est-il dépassé ? La nécessité d’étudier des solutions alternatives

L’IAM est-il dépassé ? La nécessité d’étudier des solutions alternatives

15 ans d’IAM: la fin d’une ère ?

Les projets de gestion des identités se sont multipliés depuis le début des années 2000 et la plupart des grandes entreprises en ont implémenté. Malheureusement, pour la plupart des organisations, un écart significatif est apparu entre leurs attentes quant à ces projets d’IAM, les bénéfices attendus et ce qu’ils en ont réellement obtenu, ou plutôt ce qu’ils ne sont pas parvenus à atteindre. De nombreux aspects de ces projets, initialement prévus, n’ont pas pu être implémentés ou demandaient, par la suite, des développements spécifiques empêchant les évolutions et montées de versions en raison de ces spécifications “maison”.

Les entreprises lançaient initialement des projets IAM afin de fournir une réponse efficace à leurs défis de conformité et de sécurité au travers de l’automatisation de la gestion des identités. Malheureusement, le résultat a été une attention particulière donnée à l’efficacité opérationnelle, tout en délaissant la maîtrise des risques à terme.

Aujourd’hui, la domination des projets d’IAM est de plus en plus remise en question avec domination is coming to an end avec l’évolution rapide des besoins métiers et de sécurité IT, notamment liés aux accès. Cette évolution rapide des besoins accélère le tempo, à un rythme bien plus important que celui de l’implémentation d’importants projets d’IAM traditionnels. Désillusion, architectures IT contraignantes héritées de ces projets, manque de définition des objectifs et périmètres, toutes font partie des raisons qui font que les solutions d’IAM seules ne suffisent plus.

Les organisations ont besoin d’autre chose aujourd’hui – de quelque chose de plus – pour assurer une gestion des identités efficace et sécurisée mais également afin d’implémenter une gouvernance des accès, une conformité continue et une réduction réelle des risques de sécurité qui continent de croître chaque année.

Dépasser les silos et connecter la gestion des accès et des identités au reste du système d’information est aujourd’hui essentiel. Parmi les recommandations-clés à appliquer, il s’agit de simplifier la conduite des projets et de s’assurer que les acteurs métiers et techniques travaillent ensemble au quotidien. Travailler en silos n’est plus possible. Les services et départements au sein des entreprises sont de plus en plus connectés. Toute organisation appartient désormais à un réseau plus important et se doit de communiquer sur tous les plans, sans silo en dépit du fait que la plupart des projets d’IAM traditionnels ont été basés sur des silos.

C’est pourquoi il est aussi difficile de faire évoluer les solutions d’IAM en place, et dans certains cas impossibles, car elle ne peuvent pas êtres connectées le plus souvent au reste du SI. Dans de nombreux cas, faire évoluer une solution d’IAM représente autant d’investissement que d’en implémenter une nouvelle.

De fait, il semble que rien n’ait changé au cours des dix à quinze dernières années. Il y a un réel besoin de réévaluer la manière dont les entreprises tirent parti de leurs programmes de gestion des identités, en termes de services, de technologies et d’organisation.

Comprendre pourquoi les projets d’IAM peuvent être un échec

En considérant une approche traditionnelle d’Identity and Access Management (IAM), un accent important est mis sur un ensemble de connecteurs, c’est-à-dire sur la gestion opérationnelle des accès et son automatisation. D’autres services IAM qui devraient être implémentés sont trop souvent considérés comme secondaires et ne sont jamais réellempent intégrés.

Les expériences des entreprises en matière de projets d’IAM présentent souvent de nombreuses similarités: de très longs projets, peu de visibilité sur l’adéquation de la solution finale aux besoins métiers des utilisateurs finaux, le retardement des dates limites fixées ou encore gonflement des budgets. La valeur du projet délivré ne correspond pas, le plus souvent, à ce qui était attendu. Pour la plupart des entreprises, le périmètre a été fortement réduit et peu de processus automatisés ont été implémentés et fonctionnent.

Un autre aspect important : les risques liés aux accès ne sont pas pris en charge par les solutions d’IAM mais représentent aujourd’hui des risques significatifs pour toute entreprise, compte-tenu des menaces externes et internes. De fait, les entreprises n’ont pas le choix et doivent maîtriser ces risques liés aux accès en implémentant une gouvernance des accès efficace, au-delà de leur seule gestion.

Connaître le système d’information dans son ensemble – ses utilisateurs, leurs fonctions, leurs droits d’accès et l’usage qu’ils en ont – est aujourd’hui nécessaire mais les solutions d’IAM ne peuvent y fournir de réponse.

Ce dont vous avez besoin pour réussir

Changer de solution d’IAM, tenter de faire évoluer votre solution pour s’accorder à vos besoins métiers ou étudier les alternatives possibles, toutes ces options requièrent d’appliquer de bonnes pratiques afin d’être sûr de choisir celle qui convient à votre entreprise.

Ce à quoi vous devez prêter attention : assurer une expérience utilisateur optimale, sécuriser des solutions scalables en accord avec l’évolution des besoins métiers, assurer une qualité de données suffisante ainsi que l’automatisation des processus de contrôle. De plus, avez-vous besoin tant que ça de provisoning pour assurer la gestion de vos identités et accès ?

Voici également 3 facteurs-clés de succès :

  • une plateforme unique pour centraliser et traiter l’ensemble des demandes utilisateurs
  • des outils techniques basés sur les standards en vigueur
  • des solutions transverses pour l’audit, le reporting et les contrôles

Ces 3 facteurs-clés vous permettront de briser les silos et de maîtriser l’ensemble des processus nécessaires : validation des workflows, provisioning ou encore reporting, audit et contrôles. Cela vous permettra d’opérer des processus transversaux et de briser 4 silos-clés : IT & logistique, IAM, données non-structurées et ERP.

Est-ce vraiment possible ? De telles solutions cross-systèmes et cross-applications existent-elles ? En effet, certaines organisations étudient et implémentent actuellement des alternatives à l’approche IAM traditionnelle. 

Etudier les alternatives : un nouveau paradigme avec l’Identity Analytics

L’Identity Analytics est une technology adéquate et prouvée sur le marché pour soutenir cette approche. Les entreprises peuvent décider de plusieurs combinsaisons, en fonction de leurs besoins, de leur taille, de leur environnement IT.

Certaines entreprises étudient des alternatives au modèle IAM traditionnel telles que le remplacement d’une solution d’IAM par un méta-référentiel ou encore la combinaison d’une solution d’Identity Analytics – comme Brainwave GRC – avec un outil ITSM.

Habituellement, une solution d’Identity Access Management (IAM) ne permet pas de couvrir l’ensemble des besoins initiaux et met de côté la gouvernance des accès ainsi que la maîtrise des risques liés aux accès. Avec ces alternatives, certaines entreprises commencent à comprendre qu’il est possible de répondre à l’évolution de leurs besoins en gestion des identités et sécurité en-dehors des projets d’IAM traditionnels et coûteux.

Néanmoins, il ne s’agit pas ici de conclure que tous les projets d’IAM ont été des échecs – ce qui n’est pas la réalité – ou que le couple solution d’Identity Analytics et ITSM est la seule alternative.

L’IAM et l’Identity Analytics sont complémentaires et les entreprises doivent les intégrer ensemble afin d’atteindre leurs objectifs prioritaires :  réduire les risques opérationnels et assurer une maîtrise des risques efficace, en continu.

Témoignage client Crédit Logement pour Brainwave GRC

Témoignage client Crédit Logement pour Brainwave GRC

Témoignage client pour Brainwave GRC – Marie-Line Milheiro, Crédit Logement

 

Découvrez l’interview vidéo de Marie-Line Milheiro, Chef de Service Data et Qualité – Direction de l’Organisation, sur la mise en place et l’utilisation de la solution Brainwave Identity GRC pour Crédit Logement.

 

La valeur-ajoutée de la solution phare en Identity Analytics dévoilée dans cet interview vidéo. 

Brainwave GRC inclut par Gartner dans son Market Guide for SoD Controls Monitoring Tools

Brainwave GRC inclut par Gartner dans son Market Guide for SoD Controls Monitoring Tools

Brainwave GRC inclut par Gartner dans la dernière édition de son Market Guide for SoD Controls Monitoring Tools

 

Brainwave GRC, spécialiste de l’Identity Analytics et leader en matière de gouvernance des identités et d’analyse des accès aux données, a été identifié par Gartner dans son Market Guide for SoD Controls Monitoring Tools publié le 28 août 2017 (ref G00293793).

Le Market Guide sur les contrôles de séparation des tâches

Ce guide vise à identifier les enjeux liés aux contrôles de SoD au sein d’ERP et d’applications métiers qui induisent, par leur évolution, de nouveaux risques de séparation de tâches face auxquels les contrôles de SoD traditionnels ne suffisent plus. Les solutions proposant des contrôles de SoD et leur monitoring permettent aux entreprises de détecter, d’analyser et de réduire les risques associés aux conflits de séparation de tâches au sein de leurs systèmes. Comme l’indique Gartner, les contrôles de SoD doivent permettre de traiter les risques de fraude, de minimiser les violations de politiques de sécurité et de réduire les risques de manière globale par une gestion des conflits d’accès et d’habilitations.

Brainwave GRC, seul acteur français inclut

Seul acteur français à être identifié dans ce Market Guide, Brainwave GRC a notamment été cité comme disposant de capacités d’analyse de SoD pour les ERP suivants : SAP, Oracle et business suite, Peoplesoft et JD Edwards.

Ainsi que l’indique Gartner, des contrôles de séparation de tâches efficients peuvent réduire de 60% les risques de fraude interne par une détection en amont des faiblesses de processus internes au sein des applications métiers stratégiques.
Pour autant, l’analyse des risques de séparation de tâches et le monitoring des contrôles sont difficiles à implémenter sans une solution spécifique du marché. Gartner prédit à ce titre prêt de deux tiers des entreprises concernées auront fait l’acquisition d’une solution de contrôle de SoD dédiée à horizon 2020.

 

Notre ambition chez Brainwave GRC est d’offrir à nos clients toujours plus de fonctionnalités pour leur permettre d’identifier les risques de fraude et de non-conformité. A ce titre, nous sommes fiers d’avoir été inclus dans ce Market Guide dont les conclusions confirment l’importance de ces enjeux pour nos clients. Notre vision est que la cyber-sécurité applicative ne peut désormais plus faire l’impasse sur les risques métiers. L’approche traditionnelle en silo : Cyber-sécurité d’un côté, analyse des risques métiers de l’autre ne correspond plus à la réalité des menaces internes ou externes. Les attaquants s’intéressent maintenant aux actifs les plus précieux de l’entreprise, à ce titre, les problématiques de SoD dans les processus financiers et les chaines d’approvisionnement sont des cibles privilégiées. Au travers de Brainwave GRC, nos clients ont une vision unique de la situation, remise dans son contexte organisationnel, avec une approche d’analyse des risques par processus. C’est un avantage indéniable dès lors que l’on cherche à communiquer sur les risques au plus près des personnes en charge.

Sébastien Faivre, CTO et co-fondateur de Brainwave GRC

 

Les fonctionnalités de contrôles de séparation de tâches (SoD) sont disponibles dans la solution Brainwave Identity GRC et s’ajoutent aux autres fonctionnalités de la solution : Cartographie des droits et des accès effectués, contrôles de sécurité, gouvernance des données, gouvernance des accès tels que les revues de droits.

Un exemple de cas client peut être téléchargé sur le site web Brainwave GRC : http://bit.ly/2yxlDxn

 

Disclaimer
Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings. Gartner research publications consist of the opinions of Gartner’s research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.

REPRENDRE LE CONTRÔLE D’ACTIVE DIRECTORY : BRAINWAVE GRC LANCE AD BOOSTER CLOUD EDITION

REPRENDRE LE CONTRÔLE D’ACTIVE DIRECTORY : BRAINWAVE GRC LANCE AD BOOSTER CLOUD EDITION

Brainwave GRC, éditeur de logiciel Français spécialisé dans la Gouvernance des Identités et des Accès, lance “AD Booster Cloud edition”, une version SAAS de son logiciel Identity GRC pour aider les entreprises à contrôler le contenu d’Active Directory.

Aujourd’hui, Active Directory est utilisé par une majorité d’entreprises et demeure un élément central des systèmes d’information comme porte d’entrée à un grand ensemble d’applications et de données de l’entreprise. De fait, que l’entreprise fasse face à des enjeux de modernisation, une ouverture vers les services Cloud en encore des changements organisationnels, Active Directory demeure la clé de voûte de toute transformation digitale. Les données sont stockées à la fois dans le cloud et sur site et votre Active Directory en est souvent la porte d’entrée.

Par son importance, Active Directory est une cible privilégiée pour des personnes malveillantes, qu’elle soient internes ou externes à l’entreprise. Une problématique de gestion d’Active Directory crée des failles de sécurité importantes qui peuvent donner lieu à des fuites de données venant de l’interne. Ces risques de sécurité représentent également une porte d’entrée rêvée pour les hackers, notamment si ceux-ci ciblent des comptes à privilèges.

De plus, le modèle d’habilitations d’un AD est complexe et évolue quotidiennement, au rythme de l’utilisation que l’entreprise en a. Il est donc souvent très difficile de garder un niveau de sécurité suffisant en continu sans être outillé par une solution appropriée.

Brainwave GRC lance son offre cloud pour Active Directory afin de fournir aux entreprises une solution clé-en-main d’audit et de sécurisation en continu d’Active Directory. Avec cette solution, vous pouvez visualiser, contextualiser, et analyser en mode Saas les risques de sécurité et les problèmes de qualité au sein de l’ensemble de vos domaines Active Directory ainsi qu’éditer rapports et tableaux de bords.

 

Grâce à cette solution, toute entreprise peut contrôler en continu l’évolution de ses référentiels AD et identifier toute anomalie, de manière préventive et réactive. La solution fournit une visibilité à 360° d’AD :

  • Cartographie des comptes et des groupes
  • Rapprochement des comptes avec leurs propriétaires en croisant les données AD avec les informations RH (personnes et organisations)
  • Identification et documentation des comptes à privilèges
  • Analyse des groupes de sécurité
  • Mise en évidence des problèmes de sécurité liés aux comptes (droits excessifs, dormants, résiduels, dont le mot de passe ne change jamais, …) et aux groupes (groupes quasi publics, groupes cycliques, …)
  • Mise en évidence des changements survenus de date à date
  • Analyse des politiques de mot de passe
  • Identification des comptes disposant de droits d’administration locaux
  • Analyse des privilèges accordés au sein d’Active Directory au travers d’ACLs (qui peut réinitialiser des mots de passe, qui peut modifier des membres de groupes, …)

 

La solution cloud Brainwave GRC pour Active Directory est accessible en souscription, est immédiatement opérationnelle et ne requiert pas de connecter son SI avec Brainwave GRC.

Avec la transformation Digitale, il est devenu indispensable de contrôler finement Active Directory. toute erreur de paramétrage peut en effet avoir des conséquences lourdes en termes de sécurité, un compte resté actif par erreur pouvant par exemple toujours donner accès à des applications Cloud asservies au référentiel AD.

Si les RSSI ont pris depuis longtemps la mesure de ce risque et opèrent des contrôles de sécurité sur ce référentiel, force est de constater que ces contrôles sont laborieux à effectuer et, de fait, se limitent souvent à des analyses en surface par manque de temps ou de moyens.

Avec AD Booster Cloud edition, notre objectif est d’aider les RSSI à améliorer leur efficacité opérationnelle. La solution leur permet en effet de se concentrer sur le pilotage et l’analyse des résultats plutôt que de se battre avec des extractions de données. Le modèle tarifaire, en mode souscription, et l’approche SAAS apportent un retour sur investissement immédiat et sont adaptés à toutes les tailles d’entreprise, y compris les ETI.”

précise Sébastien Faivre, Directeur Général de Brainwave GRC.

Les résultats du BAROMÈTRE RGPD du 1er trimestre 2017 sont là

Les résultats du BAROMÈTRE RGPD du 1er trimestre 2017 sont là

La machine est lancée, mais le chemin sera long vers la conformité des entreprises…

Pour ce premier baromètre, plus de 100 entreprises hexagonales, tant du secteur privé que public, ont répondu de façon anonyme au premier questionnaire élaboré en collaboration avec Global Security Mag et Brainwave avec le concours de l’AFCDP et du CLUSIF.

Si la majorité des répondants maîtrisent bien les enjeux du RGPD, il n’en va pas de même au niveau global de leurs entreprises. D’ailleurs, au final peu d’entre eux pensent que leurs organisations seront en conformité le 25 mai 2018.

Il est donc urgent que les entreprises prennent dès à présent des mesures, en particulier de sensibilisation interne, pour tendre vers la conformité au RGPD.

En préambule, on note que l’indice de compréhension individuelle du RGPD est assez fort au niveau des répondants. Avec un indice de 62 sur une échelle de 100, c’est-à-dire supérieur à la moyenne, les répondants semblent être les premiers concernés par le RGPD au sein de leur organisation. De ce fait ils en comprennent bien les tenants et aboutissants. Dans le même temps, ils évaluent le degré de compréhension globale de leur entreprise à 35 sur 100.

Cet indice témoigne d’une bonne compréhension individuelle des répondants face à une méconnaissance collective du règlement européen dans leur organisation…

 

Voir le suite de l’article : Les résultats du BAROMÈTRE RGPD du 1er trimestre 2017 sont là