Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Revue des habilitations : vers une sécurité renforcée en impliquant le management à l’exercice

octobre 2014 par Sébastien Faivre, Directeur Associé, Brainwave

La mise au planning de la revue des habilitations au sein des entreprises représente, pour certains responsables informatique ou risk-managers, la tâche la plus pénible qu’ils aient à gérer dans l’année. Véritable casse-tête, cette revue est cependant un réel atout pour les entreprises dans un monde où les risques sont de plus en plus élevés.

En effet, elle permet de savoir si les droits d’accès d’une personne sur une application sont conformes à la politique de gestion des habilitations mise en place. Sans cette cartographie précise, l’entreprise s’expose à des failles de sécurité importantes et donc à d’éventuels risques de fraudes et/ou de pertes et vols de données…

Je vous l’accorde, la revue des habilitations n’est pas une sinécure, loin de là… voire même cela peut s’avérer être un horrible cauchemar. Quand on sait qu’en moyenne une entreprise de 3 000 personnes peut avoir 400 applications IT référencées, que chaque personne peut avoir en moyenne 8 comptes d’accès à différentes applications et que chaque compte d’accès a entre 1 à 50 droits d’accès… on peut imaginer la tâche herculéenne qui attend le responsable en charge des revues !

Certains, par manque de temps et d’implication de la part des responsables métier, pourraient prendre des raccourcis et fournir des revues partielles. Un tel choix aurait malheureusement de graves conséquences sur l’entreprise. Il est donc préférable de procéder à la mise en place d’un plan d’actions pour mener à bien ce projet, mais également de réfléchir aux formats des outils à fournir aux différentes personnes impliquées dans ces validations.

La sensibilisation, la pierre angulaire d’une revue des habilitations efficace

Réaliser une revue des habilitations, c’est impliquer des responsables de départements pour qui la gestion des droits d’accès, et plus largement la sécurité informatique, sont plus des empêcheurs de tourner en rond que des accélérateurs de business. En effet, la validation des accès pour un manager d’une équipe de 30 personnes est chronophage, surtout si ce dernier n’y voit pas son intérêt.

C’est pourquoi, il est indispensable de les sensibiliser (quels enjeux business pour l’entreprise et pour leur département ?), repositionner l’exercice dans un contexte plus global et surtout leur simplifier la tâche en précisant les zones à risques : droits critiques, comptes d’accès non utilisés, droit d’accès en violation des contraintes de sécurité…

Autre élément important : fournir aux responsables de départements des aides à la décision. Difficile pour un directeur marketing ou financier de connaître toutes les applications disponibles, voire de connaître en détail tous les membres de celle-ci. La mise à disposition de documentations (succinctes) sur les applications, le contexte utilisateur (nom complet, statut, localisation…) leur permettra de valider les revues en toute connaissance de causes.

Trop de revues, tue les revues !

Au vu du rôle que jouent les revues dans le business de l’entreprise, certains pourraient pêcher par excès de zèle et faire perdre tout le caractère stratégique de ces processus. En effet, à vouloir mettre en place des revues de manière trop fréquente, les risques de signature à l’aveugle peuvent augmenter.

Une revue annuelle complète, suivie de revues trimestrielles, voire mensuelles, focalisées sur les changements uniquement peuvent suffire pour maintenir un bon niveau de qualité dans les référentiels. La revue annuelle sera très exhaustive à la différence des suivantes, qui pourront, quant à elles, ne faire apparaître que les situations relevées comme atypiques ou encore les changements de missions ou d’affectations notifiées.

Enfin pour donner envie… il faut soigner le support

Demander à un manager de viser (correctement) des lignes et des lignes de tableaux Excel est un vrai défi pour beaucoup de responsables en charge des revues des habilitations.

En leur proposant un environnement soigné et convivial, comme des tableaux de bord ergonomiques, les chances que ces outils soient correctement complétés et validés augmentent et participe à l’implication des managers.

En appliquant ces quelques conseils auprès des responsables métier, on peut espérer que demain ces derniers seront plus sensibilisés à ces problématique et prendront conscience que cette étape de validation est un élément fondamental dans la protection des données de leur entreprise.


Voir les articles précédents

    

Voir les articles suivants