Répondre à un audit de sécurité
Le contexte
Olivier est DSI chez HealthData, une entreprise qui traite des données de santé. Un auditeur externe vient vérifier la conformité ISO 27001 et RGPD. Il demande de prouver : qui a accès à quoi, comment les accès sont contrôlés, comment les départs sont gérés, et si les mots de passe respectent les bonnes pratiques.
Le problème sans SmartLink
- Les droits d'accès sont dispersés sur chaque application
- Aucun outil centralisé pour produire un inventaire complet
- Impossible de prouver que les accès des anciens collaborateurs ont été révoqués
- La politique de mots de passe est théorique — pas de moyen de vérifier son application
- L'audit prend des semaines de collecte manuelle d'informations
Avec SmartLink
Étape 1 — Inventaire des accès (immédiat)
Olivier ouvre le tableau de bord SmartLink. L'auditeur peut voir :
- La liste complète des utilisateurs et leur statut
- Les applications référencées et les dossiers de sécurité
- Qui a accès à quoi, organisé par dossier et par équipe
Étape 2 — Politiques de sécurité (vérifiable)
Olivier présente les politiques d'accès configurées :
- Les Device Access Policies définissent les conditions d'accès par application
- L'anti-phishing est activé globalement
- Les niveaux de sécurité VaultysID sont imposés pour les applications sensibles
Étape 3 — Traçabilité des événements (prouvable)
SmartLink fournit un historique des événements :
- Ajout et retrait de collaborateurs
- Modifications des droits d'accès
- Détection de Shadow IT et actions correctives
- Notifications SCIM (provisioning/deprovisioning)
Étape 4 — Gestion des mots de passe (démontrable)
Olivier montre que :
- Les mots de passe sont stockés dans un coffre-fort chiffré
- Les utilisateurs ne connaissent pas les mots de passe des applications critiques
- L'authentification se fait via VaultysID (sans mot de passe) ou SSO
Ce que ça change
| Sans SmartLink | Avec SmartLink |
|---|---|
| Semaines de collecte d'informations | Données disponibles immédiatement |
| Preuves difficiles à fournir | Historique complet et exportable |
| Politiques théoriques | Politiques appliquées et vérifiables |
| Audit stressant et coûteux | Audit fluide et documenté |
Fonctionnalités utilisées
- 📊 Tableau de bord — Vue d'ensemble des utilisateurs, applications et sécurité
- 🛡️ Politiques d'accès — Règles d'accès vérifiables
- 🔒 Anti-phishing — Protection contre le phishing
- 📬 Messages et événements — Historique des actions et notifications
- 🔗 SCIM — Provisioning et traçabilité des utilisateurs