Dans un système informatique, la mise en place d’une politique de sécurité et des dispositifs de gouvernance ne suffisent pas pour garantir un bon niveau de sécurité et une réponse aux besoins de gestion des risques relatifs aux métiers.
Ainsi pour maintenir le niveau de sécurité à un niveau acceptable, il est important de mettre en place une stratégie de contrôle qui va intégrer l’ensemble des facteurs qui entre en jeu dans la structure de l’entreprise, dans le métier, et le contrôle d’accès.
Sur ce plan de contrôle, on retrouve un ensemble de processus d’audit et de validation de droits d’accès. Le processus d’audit des droits d’accès est une manière d’avoir des photographies permanentes des accès courants. L’action d’audit est souvent très ponctuelle dans l’entreprise or cette action peut ou doit être associée à l’action de monitorage des droits d’accès et d’une action de validation permanente.
De ce fait, l’audit des droits d’accès peut être défini comme étant des actions d’analyse des droits d’accès et de leurs validations. Il aboutit généralement à un constat qui révèle la cohé- rence des droits d’accès vis-à-vis de la politique de sécurité.
En général, le processus de cette validation d’un droit d’accès est une procédure administrative et fait appel à des composants de l’entreprise qui ne sont pas dans le métier de la sécurité informatique. Ce processus est décrit souvent sous la forme d’un protocole.
La mise en place d’un processus de validation doit prendre en compte certains paramètres dont les plus importants sont :
– L’identification des référentielles des sources de données personnelles aux différentes populations (interne, externe, clients, visiteurs, etc.) et ces référentielles doivent être très fiable.
– La définition des règles de séparation des pouvoirs en conformité avec le règlement du secteur d’activité.
– L’identification et la formalisation de la gestion du cycle de vie des droits d’accès (arrivée, départ, mutation d’une entité).
– Engagement fort de la direction et du ménagement dans l’élaboration du processus de validation.
Dans la gestion des identités le CLUSIF démontre que ce processus de validation est établi sous forme de workflow. De plus, on y fait l’illustration du cas de référencement d’un nouvel utilisateur qui arrive dans une entreprise. Les actions identifiées sont :
– embauche dans une entrepise ⇒ Référencement dans le systeme de gestion de la paye. – attribution d’un bureau ⇒ Référencement dans la base du service logistique,
– attribution d’un numéro de téléphone ⇒ Réferencement dans la base théléphonique, – attribution d’un ordinateur, d’un identifiant et d’un mot de passe ⇒ Réferecement dans
le systeme bureautique.
– attribution d’un badge pour accès au locaux ⇒ Réferencement dans le système de gestion des badges,
– droits d’accès sur une application ⇒ Réferencement dans la base de l’application. – etc.
L’ajout d’un nouvel utilisateur montre qu’un worklfow de validation des droits d’accès doit prendre en compte le plan organisationnel d’entreprise. Il est donc important de disposer d’une bonne description de tous les utilisateurs, de leurs tâches et de leurs unités d’affectation au sein de l’entreprise.
Pour accompagner les entreprises dans la gestion du contrôle d’accès, des normes ont été créées. Nous pouvons citer :
– La norme ISO/CEI 27002 [8] est une norme publiée en 2005 par l’ISO4. On y présente un ensemble de mesures ou des règles de bonnes pratiques destinées ont la sécurité informatique. Dans le chapitre 11, la version ISO/27002 :2005 et le chapitre 9 de la version ISO/27002 :2013, ISO donne les mesures pour le contrôle d’accès sur les systèmes d’information. Ainsi, la manière d’assurer la protection des systèmes réseau, de détecter les activités non autorisées y est décrite et, également des conseils d’utilisation d’appareil mobile y sont fournis.
Cette norme indique également les différents niveaux de responsabilité des utilisateurs et comment ils doivent, en conséquence, gérer leurs informations d’authentification. Les bases sont fournies aux administrateurs pour écrire des politiques de sécurité dédiés au contrôle d’accès.
– Cobit5 [9] est une norme proposée par l’ISACA6 pour fournir une orientation aux entre- prises et aux institutions gouvernementales dans la gestion de la sécurité informatique, la gestion des risques, le pilotage d’activités d’audits, etc. Cobit propose également des mesures pour évaluer la gestion et l’audite du contrôle d’accès.
– La TCSEC7 [10] est une norme qui a été définie par le département de la défense des États-Unis pour fournir un cadre d’évaluation des systèmes informatiques. Cette norme donne également la description des différentes implémentations des modèles de contrôle d’accès.
Le pragmatisme militaires fait que la structure de cette norme est sous la forme d’une liste de critères, de définitions et de hiérarchisation de l’information. On y trouve également des outils d’analyse et d’évaluation.
On constate que l’adoption d’une norme permet aux entreprises d’avoir un cadre de référence de bonnes pratiques, mais cela ne permet pas d’automatiser la gestion du contrôle d’accès. Les administrateurs de sécurité ont besoin d’outils pour les aider dans leurs tâches.
Il existe plusieurs entreprises œuvrant dans la sécurité informatique qui propose des outils de gestion des droits d’accès sous un label plus générique qui est la gestion des identités et des habilitations. Dans la section qui suit, nous en présentons quelques uns qui peuvent être d’une aide précieuse pour les administrateurs de sécurité informatique.