Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le contrôle des habilitations nécessite au préalable de sensibiliser les acteurs

octobre 2012 par Emmanuelle Lamandé

Le contrôle des habilitations est aujourd’hui rentré dans les mœurs en entreprise. Toutefois, pour obtenir des résultats probants, il nécessite le respect d’un certain nombre de points de vigilance. Comme nous l’expliquent Brainwave, Solucom et l’AP-HP, le périmètre du contrôle doit, en premier lieu, être clairement défini. L’entreprise doit également déterminer au préalable « pourquoi » elle veut réaliser tel ou tel contrôle, et « comment » elle souhaite le faire. Enfin, il implique la sensibilisation et la responsabilisation des acteurs qui seront au cœur des contrôles.

Sébastien Faivre, Directeur Associé de Brainwave

La gestion des identités et des habilitations n’est pas quelque chose de nouveau, constate Emmanuel Cosperec, Manager au sein de la Practice Sécurité et Risk Management de Solucom. Le plus souvent, elle se traduit pour les entreprises à donner des droits aux utilisateurs, ou encore à contrôler les accès des utilisateurs quand ils accèdent aux ressources.

Toutefois, il observe une véritable évolution au cours des dix dernières années. Début 2000, la gestion des identités c’était avant tout l’IT qui mettait en place l’automatisation et l’industrialisation des tâches. Puis, l’IT a souhaité rationaliser les demandes. Les métiers n’étaient alors que de simples contributeurs. Ils se sont peu à peu, au fil des ans, appropriés les enjeux et ont imposé leurs exigences. Toutefois, cette phase fut marquée de nombreuses désillusions. Aujourd’hui, ce sont les métiers qui sont aux manettes.

La gestion des habilitations est née de l’émergence de nouveaux besoins forgés par les enjeux business, avec notamment : des attentes plus précises et expertes de la part des métiers, une sensibilité nouvelle dans la gestion de l’accès aux ressources bureautiques et collaboratives, ainsi qu’un besoin de pilotage et de contrôle souvent dans une approche de maîtrise des risques… Tout cela dans un contexte de changements structurants : évolution des usages, ruptures technologiques (avec le Cloud Computing, le Big Data…), explosion des réglementations et évolution en matière de cybercriminalité et de fraude. Tout le monde a aujourd’hui pris conscience des besoins de protection de l’information, et le contrôle des habilitations est dorénavant définitivement rentré dans les mœurs, explique-t-il. Mais comment traiter ce sujet efficacement dans la cacophonie ambiante ? En effet, la terminologie dans le domaine explose, au point de ne parfois plus très bien savoir de quoi l’on parle…

Pour Emmanuel Cosperec, le contrôle des habilitations et des accès doit être pensé dans une démarche globale de gestion des identités et des accès.

L’IAM s’articule autour de trois facteurs clés :
 Les opérations : gestion des demandes de droit, synchronisation, provisioning, etc. ;
 Les accès : SSO, authentification forte… ;
 Le pilotage et le contrôle : il s’agit ici d’en assurer le suivi ;
 Le tout dans une démarche de gouvernance : enjeux, objectifs, moyens, fondamentaux à respecter, etc.

Mobiliser et responsabiliser les personnes qui vont faire les contrôles est une priorité

Certaines bonnes pratiques doivent, en outre, être respectées en matière d’audit et de contrôle des habilitations. Il recommande, en premier lieu, de soigner la définition du périmètre du contrôle en se posant les bonnes questions :

 POURQUOI ? Pour quelles raisons veut-on réaliser tel ou tel contrôle ? Quels sont les risques si je ne le fais pas ? Pour lui, une approche de contrôle doit être basée sur les risques et leur priorisation. Cette approche doit se faire en collaboration entre l’IT et les métiers, et doit être animée sur le long terme.

 COMMENT ? Quelle organisation de contrôle ? Comment j’implique les métiers ? Quelle démarche de contrôle ? Quels outils et comment les utiliser ? Il remarque que très souvent on retrouve des organisations de contrôle par silo alors qu’il faudrait mettre en place une couche de contrôle transverse dans l’entreprise. Deuxièmement, il conseille de s’inscrire dans une démarche participative avec les différents acteurs, au travers d’une bonne dose de communication et de sensibilisation. Il faut faire prendre conscience aux métiers le pourquoi du contrôle en valorisant les enjeux et les intérêts pour les acteurs. Il recommande aussi de mettre l’utilisateur au centre du dispositif, c’est-à-dire la personne qui sera en charge des contrôles. La solution doit être pensée en se mettant à la place de l’utilisateur. Enfin, il faut savoir concilier les contrôles a priori et a posteriori, mais aussi manuels et automatiques, afin de gagner en efficacité et de limiter les coûts. Concernant la partie outillage, il conseille de faire attention à ne pas sous-estimer les différences entre les offres des éditeurs (en termes de richesse, d’ergonomie, de coût et de simplicité d’usage). En outre, il est essentiel de savoir passer de la théorie à la pratique.

Selon lui, la priorité c’est de mobiliser et responsabiliser les personnes qui vont faire les contrôles, via la sensibilisation. Les personnes doivent comprendre pourquoi elles font ça. Il faut également leur donner les moyens d’agir : soigner la qualité opérationnelle des contrôles, conjuguer richesse fonctionnelle et simplicité d’usage à travers des processus et des outillages, mais aussi mettre à disposition un accompagnement et un support ad hoc. Enfin, le tout doit être piloté dans une démarche d’amélioration continue.

Le contrôle, ce sont des moyens d’une part, mais aussi beaucoup de sensibilisation. Il est possible de le faire avec des résultats probants, mais pour cela il faut, avant tout, se poser les bonnes questions (pourquoi et comment je le fais ?). Toutefois, il ne faut pas perdre de vue que le contrôle n’exclut pas la confiance. Enfin, le projet doit s’inscrire dans une démarche d’amélioration continue : pensez « petites victoires » et cycles courts, conclut-il.

Brainwave Identity GRC ou la gestion de la conformité des habilitations

Créée début 2010 par Éric Bacher, Sébastien Faivre et Cyril Gollain, la société Brainwave est spécialisée dans la gestion de la conformité des habilitations. Sa solution Brainwave Identity GRC est une solution de cartographie et de contrôle des habilitations du SI. Elle permet, comme l’explique Sébastien Faivre, Directeur Associé de Brainwave, l’audit des droits d’accès des utilisateurs sur l’ensemble des systèmes, applications et données du SI afin de vérifier le respect de la politique de sécurité et des contraintes réglementaires ou sectorielles applicables.

L’entreprise peut ainsi savoir qui travaille dans l’entreprise (salariés, comme personnes extérieures à l’entreprise), connaître l’ensemble de leur accès au SI, mais aussi s’assurer que ces accès sont cohérents avec leurs activités au sein de l’entreprise. Il s’agit donc de définir la cohérence et la légitimité des accès.

Brainwave Identity GRC intègre une suite d’audit prépackagée pour les environnements les plus fréquemment rencontrés en entreprise : audit des habilitations Microsoft (Active Directory, Sharepoint, Exchange, Serveurs de fichiers…), habilitations SAP, RACF, etc.

Audit des habilitations SAP : l’AP-HP témoigne

L’AP-HP (Assistance Publique - Hôpitaux de Paris) comprend 37 hôpitaux regroupés en 12 groupes hospitaliers, explique Didier Perret, RSSI de l’AP-HP. Le groupe compte près de 90 000 employés répartis en 3 catégories (personnel médical, personnel paramédical et personnel d’appui). L’AP-HP dispose d’un SI complexe, avec près de 200 applications par hôpital, dont le tiers environ est spécifique à chaque site. Parmi elles, on retrouve de nombreuses applications médicales et métiers.

Un projet de refonte du SI a été lancé en 2004, avec la mise en place d’un système SAP. La migration s’est terminée au début de l’année dernière. Toutefois, en raison de l’augmentation des réglementations suite à certains scandales médicaux, l’AP-HP souhaitait également renforcer la traçabilité et le contrôle interne, avec un focus particulier sur les logiciels SAP et RH-Access. Le groupe désirait aussi s’inscrire dans une démarche de protection des données à caractère personnel. C’est dans cette optique que l’AP-HP a conjointement fait appel à Brainwave et Solucom, afin d’auditer les habilitations SAP.

Un cycle de contrôle des habilitations SAP s’articule autour de trois processus clés, souligne Didier Perret : la définition d’un référentiel de GRC, une réalisation des contrôles de manière itérative, mais aussi l’identification des risques clés et des actions correctives à mettre en œuvre.

La mission s’est déroulée en plusieurs étapes, avec notamment :
 Le lancement du cycle ;
 L’entretien fonctionnel pour collecter les règles de GRC ;
 Une formalisation des règles à contrôler ;
 L’entretien technique et les spécifications des extractions attendues ;
 Une configuration des règles de GRC dans l’outil Brainwave ;
 L’import des données dans l’outil ;
 Une confrontation des résultats et un ajustement si nécessaire, en collaboration avec Brainwave.

La démarche a intégré un contrôle sur 3 niveaux : l’identité des utilisateurs (organisation, métiers…), l’affectation des rôles aux utilisateurs et la constitution des rôles/transactions. 5 angles d’analyse ont été choisis, avec au total 22 familles de contrôles effectués :
 la qualité des données ;
 l’utilisateur des licences : il s’agit, par exemple, de référencer les comptes toujours actifs alors que l’utilisateur est parti ;
 la gestion des comptes, notamment privilégiés : liste des utilisateurs avec des comptes à privilèges élevés ;
 la vérification de la cohérence des habilitations SAP accordées avec les fonctions des personnes ;
 les règles de séparation des tâches : liste des rôles présentant des transactions incompatibles ;
 Enfin, l’application des décrets.

Pour Didier Perret, la mission, qui aura duré près de 4 mois, est un succès. Elle a permis à l’AP-HP une d’avoir une bonne vision du déploiement de SAP sur tous les hôpitaux, et d’établir une cartographie des personnes et de leurs habilitations. L’outil, qu’il estime assez facile d’utilisation, a permis la réalisation de nombreux contrôles, l’identification des problèmes de qualité des données, ou encore l’identification des risques associés aux droits incompatibles effectivement possédés. La mission a nécessité environ 40 jours/homme de prestation. Parmi les points d’attention, il conseille toutefois de procéder par itérations courtes, mais aussi de sensibiliser les gens et les acteurs opérationnels en amont.


Voir les articles précédents

    

Voir les articles suivants