De plus en plus de sociétés et d’organismes publics sous-traitent tout ou partie de la gestion de leurs systèmes informatiques à des prestataires de services internes ou externes à l’entreprise. Ils confient ainsi la responsabilité du moteur de leur activité à des personnes clés à l’intérieur et à extérieur de l’entreprise. Selon une étude du Clusif parue en 2012 sur les entreprises de plus de 200 salariés et les Collectivités locales, plus de 80% ont une activité fortement dépendante de leur informatique, sa gestion est sous-traitée partiellement ou en totalité pour près de la moitié d’entre elles et en majorité, sans contrôle de sécurité. Enfin 20% n’ont aucune procédure de suppression de compte en cas de départ d’un salarié. Comment dormir sur ses deux oreilles ?

Il est en effet utile de rappeler qu’en ces périodes de détente et de fête pour nombre d’entre nous, d’autres jouent la réussite de leur année, avec une intense activité qui ne peut souffrir d’arrêts impromptus ou d’incidents non maîtrisés. D’autres ont également pour mission d’assurer une continuité d’activité pour l’ensemble des utilisateurs, tout en ayant à faire face à une baisse de main d’œuvre en ces périodes de vacances, ainsi qu’à un turn-over significatif en fin d’année. Il incombe donc aux dirigeants d’entreprise, aux directeurs informatiques et aux responsables de la sécurité des Systèmes d’Information de gérer ces risques avec la flexibilité nécessaire, et les moyens de contrôle adaptés. Ces moyens permettront d’adapter l’outil informatique pour faire face au turn-over, au recrutement de personnels temporaires ou à la prestation externe et pallier ainsi aux pics d’activité.

Dans tous les cas, on comprend aisément qu’ une attention particulière doit être portée au contrôle des accès des utilisateurs à privilèges, qu’ils soient internes ou externes, prestataires ou non, ainsi qu’à la gestion de leurs mots de passe, temporaires ou de longue durée, de manière simple et sans modification significative des processus de l’entreprise. Faire face à ce type de risques implique un surcoût sur le budget informatique normal, comment adapter le niveau de sécurité à ces exigences sans peser sur son budget ?

Contrôler la chaîne de confiance

Les utilisateurs à privilège sont ceux qui ont les droits d’accès les plus étendus dans le système d’information d’une organisation. Ils sont garants de son fonctionnement tout en portant la responsabilité de protéger les données des utilisateurs et des clients de l’entreprise. En faisant appel à des fournisseurs ou des prestataires, l’entreprise prend la responsabilité de confier les clés de son système d’information à des personnes intérieures et extérieures. Y a-t-il un moyen de contrôler cette activité ? Qui le fait ?

Et que dire des prestataires eux-mêmes ? Font-ils appel à des sous-traitants ou des personnels intérimaires ? Y a-t-il moyen de contrôler leur activité ? Le font-ils également ?

Pour vivre sereinement ces périodes de fêtes de fin d’année, il vaut mieux constituer une chaine de confiance autour d’un contrôle clair et plus efficace des accès et des autorisations. Etre détendu certes, mais rester vigilant, avec des règles claires.

Informations financières, comptes utilisateurs, numéros de cartes bancaires, informations de santé et données du patient, propriété intellectuelle, informations commerciales, données clients, les enjeux sont tels qu’ils nécessitent des moyens préventifs contre la fuite de données confidentielles et le risque informatique.

La gestion des utilisateurs à privilèges

« Les systèmes de contrôle des utilisateurs à privilège ou PUM –Privileged User Management- deviennent un composant essentiel dans la gouvernance des risques informatiques au même titre qu’un pare-feu. Les enjeux de qualité, de responsabilité et les risques financiers associés sont tels qu’un décideur, un directeur informatique ou un responsable de la sécurité informatique doit renforcer la surveillance des accès au SI, ainsi que des actions des prestataires externes. WALLIX (www.wallix.fr) préconise une solution logicielle qui s’adapte à l’organisation de l’entreprise en servant de point d’authentification centrale pour tous les utilisateurs à privilèges. Le Wallix AdminBastion permet de gérer les mots de passe et tracer l’ensemble des actions menées sur le système d’information. Elle offre également la possibilité de « monitorer » certaines opérations de maintenance sensibles. La gestion des comptes à privilège fait partie intégrante de la stratégie de protection du système vital de l’entreprise ».