Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

3 façons d’utiliser la solution Identity & Access Management software à des fins d’audit

mars 2014 par Paul BAAS, directeur France de Tools4ever

Réglementations de conformité HIPAA, Basel II, Sarbanes Oxley et la liste est encore longue ! A l’heure actuelle, les organisations doivent se conformer à différents standards, législations et réglementations. Ces évaluations font référence aux fameux audits et tôt ou tard votre organisation y sera confrontée.

Dans le cadre d’un audit et en votre qualité de responsable informatique ou de RSSI vous devrez démontrer que votre dispositif informatique est entièrement sous contrôle. Vous devrez entre autres choses :
- 1. être à même d’expliquer, et ce, à tout moment, quelles sont les tâches dévolues à chaque collaborateur au sein de votre réseau et à quel moment ces actions ont été effectuées sur le réseau (autorisations et reporting). Par exemple, vous devrez être en mesure d’indiquer quels sont les employés qui sont autorisés à approuver et à payer les factures et de dire également qui a réinitialisé le mot de passe de tel ou tel collaborateur à un moment donné.
- 2. Mettre en place une politique d’authentification forte des mots de passe.

Les solutions IAM (Identity & Access Management) vous permettent en outre de vous conformer aux standards de conformité juridiques et réglementaires, à savoir :

- 1. Qui peut faire quoi ?

Le RBAC (Role Based Access Control ou Contrôle des accès basé sur les rôles) est un dispositif permettant de mettre en place la gestion des droits d’accès au sein d’une organisation et de pouvoir répondre à des questions du type ‘qui dispose des autorisations pour effectuer telle ou telle action au sein du réseau ?’ et surtout ‘qui n’est pas habilité à les effectuer’. Le RBAC n’assigne pas des droits d’accès à des personnes physiques, mais à des fonctions RBAC précises, lesquelles tiennent ensuite compte du service, du poste, de l’emplacement et du centre de coûts de chaque collaborateur. Le RBAC réduit considérablement les risques d’erreur, car les actions effectuées au niveau du réseau et les changements à proprement dit ne peuvent être réalisés que par du personnel habilité en fonction de son poste ou de son titre dans la hiérarchie de l’entreprise.
Bon nombre d’organisations ont déjà recours au dispositif RBAC à un stade plus ou moins avancé : découverte, projet, mise en œuvre, en cours de phase ou en cours. Tools4ever s’occupe de plusieurs dizaines d’organisations pour l’installation d’une matrice RBAC dédiée aux droits d’accès. Ce processus est généralement très lourd à mettre en place, complexe et onéreux. Grâce à une solution de ce type il est désormais possible d’automatiser quasi intégralement le processus d’enrichissement de la matrice de gestion des droits d’accès RBAC.

Grâce à une solution de type UMRA, les rôles structurels (la façon dont les employés sont configurés au sein du système RH, notamment en ce qui concerne leur titre, leur service et leur centre de coût) sont synchronisés avec les rôles techniques (applicatifs et structurels) en place au sein de l’entreprise. Certains éditeurs sont à même d’aider les organisations à synchroniser leur système RH avec leur réseau et d’analyser les autorisations en place pour chaque fonction/rôle de l’organisation. Cela permet à l’organisation de décider quels attributs RH seront utilisés pour chaque rôle/fonction de l’organisation.

Le résultat final de ce rapprochement de données pourrait être que 90% d’une fonction ayant cours au sein d’une organisation (ex : fonction d’infirmière au sein du service cardiologie) induit des droits d’accès particuliers. La logique voudrait que l’on affecte automatiquement à tous les (nouveaux) employés occupant cette fonction les mêmes droits d’accès. En effet, en laissant le taux d’occupation définir l’attribution des droits d’accès, une première étape pourrait consister à alimenter la matrice RBAC de façon extrêmement simple, de sorte que vous obtiendrez des gains de temps et financiers considérables.

- 2. Une politique d’authentification forte des mots de passe

Une grande majorité de législations et de réglementations requièrent la mise en place d’une politique d’authentification forte des mots de passe (autorisation forte). Pour parvenir à ce résultat, il est possible d’activer les règles de complexité dans Windows Active Directory. Cependant, vous devez d’abord vous interroger quant à la pertinence de ce degré de complexité au sein de votre entreprise, cette décision étant susceptible d’avoir une incidence non négligeable sur vos utilisateurs finaux.

Les règles de complexité des mots de passe définies par défaut dans Windows Active Directory se révèlent souvent insuffisantes. Les administrateurs système ont en effet souvent besoin d’une solution plus flexible permettant notamment de définir pour chaque collaborateur, quelles règles s’appliquent et à quel moment. Dans de tels cas de figure, la majeure partie des éditeurs spécialisés a prévu une solution de type PCM (Password Complexity Manager). Grâce à PCM, il est possible de mettre en place différents niveaux de sécurité en fonction des différents types d’utilisateurs finaux d’après leurs attributions et leurs fonctions au sein de l’entreprise.

Comme mentionné auparavant, mettre en place une politique d’authentification forte des mots de passe induit des implications majeures pour les utilisateurs finaux, ainsi que pour l’organisation dans son ensemble. Les utilisateurs finaux auront en effet à se souvenir de mots de passe encore plus complexes et force est de reconnaître que la plupart d’entre eux auront des difficultés à s’en souvenir, de sorte que le support informatique sera voué à recevoir davantage de demandes de réinitialisation de mots de passe.

En vue de réduire le nombre d’appels liés aux demandes de réinitialisation de mots de passe, nous avons développé la solution SSRPM (Self-Service Reset Password Management), permettant aux utilisateurs finaux de réinitialiser leur mot de passe eux-mêmes en répondant à une série de questions simples prédéfinies.

Une politique de mot de passe plus stricte a également une incidence sur la productivité des employés. Ils devront se souvenir de mots de passe plus complexes pour l’ensemble de leurs applications et seront insatisfaits de cette situation. Pour cette raison, de nombreuses organisations soucieuses du bien-être de leurs collaborateurs choisissent de déployer une solution de SSO.

Une solution de SSO ( Single Sign On) permet aux utilisateurs finaux de se connecter une seule fois ; suite à cette authentification unique ils sont ensuite connectés à l’ensemble de leurs applications et ressources du réseau de l’entreprise, sans avoir à se reconnecter. SSO fonctionne comme un logiciel complémentaire prenant en charge l’ensemble des procédures d’authentification et permettant de saisir automatiquement les identifiants nécessaires (connexion automatique). SSO garantit également en plus de l’Active Directory, l’utilisation d’un mot de passe fort pour l’ensemble des applications sensibles de l’entreprise.

Les organisations n’ayant pas recours au SSO, mais souhaitant néanmoins s’assurer que leurs utilisateurs finaux sont moins contrariés par ce dispositif de politique plus stricte, peuvent néanmoins recourir à la solution PSM (Password Synchronization Manager), une solution particulièrement adaptée. Elle permet en effet aux utilisateurs finaux d’utiliser un seul mot de passe pour chaque système ou application. Lors de la réinitialisation du mot de passe d’un utilisateur dans l’Active Directory, PSM garantit que l’ensemble des systèmes et des applications reliés reçoivent et utilisent le nouveau mot de passe.

Authentification à deux facteurs
Lorsque mettre en place une politique de mot de passe forte s’avère insuffisant (ex : parce que les utilisateurs finaux finissent par écrire leur mot de passe), il est possible de recourir à l’authentification forte (à deux facteurs). Plutôt que de saisir leur identifiant et leur mot de passe, les utilisateurs vont s’authentifier grâce à un badge et un code PIN. Dans cette configuration, l’identifiant de la carte est lié aux identifiants de l’Active directory de l’utilisateur.

Il est également possible de mettre en place une authentification forte sans devoir acquérir de matériel supplémentaire. Dans ce cas précis, le recours à un smartphone peut s’avérer fort utile. En effet, les smartphones proposent différentes possibilités d’authentification, comme par exemple, la reconnaissance faciale (à l’aide d’une caméra), la reconnaissance vocale (avec un enregistreur), ainsi que la géolocalisation (via un GPS). Ce type d’authentification bon marché est la dernière tendance en matière d’authentification.

- 3. Des enregistrements automatiques des connexions pour la traçabilité

Les solutions développées actuellement permettent une traçabilité des procédures internes à des fins d’audit. En effet, pour chaque action, le système enregistre et consigne automatiquement qui a effectué telle ou telle action de gestion à un moment donné. De cette façon, l’organisation peut contrôler l’historique des actions effectuées à tout moment et procéder à des études à posteriori. Une consignation saine constitue en effet un prérequis indispensable dans le cadre d’un audit réussi.




Voir les articles précédents

    

Voir les articles suivants