La revue des habilitations, ou re-certification, consiste à s’assurer que les droits d’accès informatiques des utilisateurs du Système d’information (SI) sont bien conformes à la politique de sécurité de l’entreprise. Cela revient à pouvoir répondre à la question : qui a accès à quoi ? Chaque acteur qui accède aux données de l’entreprise doit posséder un niveau d’habilitation adapté à sa situation et à ses missions. C’est un projet souvent perçu comme complexe, voir pénible pour l’entreprise au regard du nombre d’applications et d’utilisateurs toujours plus importants rattachés au SI. Pourtant, en appliquant quelques bonnes pratiques et en se dotant des bons outils, c’est un réel atout qui permettra de limiter considérablement les risques de failles de sécurité et d’être en conformité avec les réglementations en vigueur.
Les enjeux
Aujourd’hui toute entreprise, quelle que soit sa taille, doit faire face à des enjeux réglementaires en termes de SI toujours plus contraignants. De même, elle est confrontée à des risques informatiques (fuite de données sensibles, protection des données personnelles, ouverture de son SI avec des partenaires/fournisseurs etc.) de plus en plus avérés.
C’est dans ce contexte que s’inscrit la re-certification : au lieu d’une démarche contrainte et unitaire, elle permet de valider l’application des bonnes pratiques pour garantir que chaque utilisateur a les bons droits sur le Système d’Information via un processus de contrôle continu.
Les enjeux réglementaires
Qu’importe la localisation, la taille ou le secteur d’activité des entreprises, elles doivent constamment se conformer aux nouvelles normes et règlementations imposées par les institutions compétentes en charge de la régulation et du contrôle de leurs activités. Et ce, dans le but de limiter les risques et leurs conséquences sur l’activité économique de manière générale.
La revue des habilitations en particulier est incontournable et permet de contrôler et de prouver aux auditeurs la légitimité des droits accordés aux utilisateurs, ainsi que les procédures et actions en place pour réduire le risque opérationnel en cas d’erreur. En cas de non-conformité, de lourdes sanctions juridiques et/ou financières peuvent être appliquées à l’entreprise et ses dirigeants.
Focus : les Audits des Commissaires aux Comptes
Dans le cadre de leur mission, les commissaires aux comptes réalisent des audits informatiques qui ont vocation à confirmer que le système d’information fonctionne correctement et participe à l’intégrité des états financiers. L’objectif est de contrôler le fonctionnement des applications de l’entreprise et leur contribution à la qualité des processus, à la mise en œuvre d’un contrôle interne pertinent et à la maîtrise des risques de fraude. Pour cela, une analyse des habilitations est requise afin d’identifier les facteurs qui permettent d’augmenter ou de diminuer le besoin de protection d’une application, d’apprécier globalement ce besoin et de vérifier que les habilitations mises en place par l’entreprise sont adéquates.
Les enjeux sécuritaires
Si le catalyseur est souvent le volet réglementaire (de par son caractère obligatoire et répressif), il n’en reste pas moins qu’une gestion des habilitations défaillante représente une menace sérieuse pour la sécurité du système d’information et peut être lourde de conséquences pour une entreprise. En effet, le contrôle des droits d’accès est l’un des éléments indispensables qui protège le SI contre les dysfonctionnements liés au facteur humain, aux utilisations frauduleuses et à la perte ou au vol de données.
Les droits des utilisateurs ne sont pas figés une bonne fois pour toute. A son arrivée, un utilisateur obtient en général des droits d’accès par rapport à ses missions initiales. Mais ce dernier évolue dans l’entreprise : changement de mission, évolution de poste, de fonction, etc. Ses droits d’accès et champs d’habilitations doivent être maîtrisés afin d’éviter tout risque de vulnérabilités.
Quelques risques ‘classiques’ :
- Départ d’un utilisateur : maintien de ses droits d’accès aux ressources du SI, alors qu’il ne travaille plus dans l’entreprise, ce qui peut avoir un effet critique selon les conditions de son départ et de l’exposition du SI sur Internet.
- Changement de poste d’un utilisateur : maintien des droits d’accès relatifs à sa précédente fonction. Cela peut conduire à un cumul de droits, potentiellement incompatibles entre eux ou interdits par les règles du métier.
Passer en revue les habilitations de l’ensemble des utilisateurs permet de s’assurer que leurs droits sur les applications du système d’information sont conformes à ce qu’ils doivent être, de les certifier, ou - le cas échéant - de réaliser les opérations de remédiations en cas de non-conformité. Ce contrôle régulier des droits d’accès des utilisateurs du SI permet de garantir le respect de la politique de sécurité de l’entreprise et de limiter les risques opérationnels.
Les métiers au cœur de la démarche
Si la revue des droits d’accès est un projet coordonné par la DSI, elle implique surtout les métiers, responsables des données aux yeux de l’entreprise. Chaque département a la connaissance fonctionnelle des applications dont il dispose et des processus associés. La responsabilité de définir les permissions d’accès aux données ne peut revenir aux seules personnes techniquement capables de le réaliser. Les responsables des données doivent pouvoir surveiller et ordonner les habilitations. Les contrôles d’accès aux données seront ainsi évolutifs et en adéquation avec les initiatives métier.
En revanche, définir l’accès approprié aux ressources les plus critiques de l’entreprise revient à des employés qui n’ont pas toujours connaissance du contexte de la donnée, de sa valeur et de ce qui constitue une utilisation appropriée. C’est aux équipes informatiques de fédérer et sensibiliser les responsables métiers (les responsables fonctionnels/applicatifs) à la sécurité et à la maîtrise du risque opérationnel.
Bonnes pratiques
Définir un périmètre pertinent et raisonnable
Une campagne de revue des habilitations se découpe généralement en trois phases :
- L’organisation de la campagne : définition du périmètre à couvrir, des applications et des utilisateurs concernés, de la fréquence de la campagne, des acteurs responsables
- Le suivi et le pilotage de la campagne : suivi des réponses, relances, redirections vers de nouveaux acteurs
- La clôture de la campagne et la génération des preuves
Sachant qu’une revue de l’intégralité des habilitations peut concerner des centaines de milliers de droits pour une entreprise de taille moyenne, la phase d’organisation est déterminante pour la réussite du projet.
Pour rendre le projet atteignable, digeste et compréhensible, une démarche par lotissement est certainement plus pertinente. Il est nécessaire de définir avec chaque responsable métier la liste des applications qui les concernent. Ils devront ensuite répertorier, avec les membres de leur équipe, les données sensibles auxquelles ils ont accès au sein de leur périmètre, et transposer les risques à éviter. Il sera alors possible de définir des règles par métier permettant de savoir qui doit accéder à ce périmètre.
Une fois l’ensemble des périmètres des responsables métiers (RH, financier, métier etc.) traités, la DSI a la charge de la gestion technique des droits d’accès dans les applications métiers.
De cette manière, les campagnes peuvent être organisées de façon globale ou sur un périmètre précis. En dehors des audits réglementaires, il est souvent plus judicieux de partir sur des campagnes ciblées sur un métier en particulier.
Sensibiliser, former et accompagner les responsables métiers impliqués
C’est au responsable de département qu’incombe en général la vérification des droits applicatifs et des ressources matérielles autorisées (téléphone portable, badge d’accès aux locaux, token d’authentification, etc.) pour chaque personne de son équipe.
Pour être efficace, une revue doit donc gagner l’adhésion des métiers, pour qui la sécurité n’est pas toujours la priorité. Pour cela, il faut leur simplifier la tâche au maximum en leur proposant des solutions adaptées et ergonomiques. Par exemple l’utilisation de fichiers Excel volumineux, sources d’erreurs et de complexité, n’est clairement pas la solution à privilégier, pour des raisons évidentes d’ergonomie et de traçabilité. Un effort devra également être porté sur la sensibilisation à la sécurité afin que les collaborateurs prennent conscience que cette étape de validation des droits est un élément fondamental dans la protection des données de leur entreprise.
La communication sera un levier clé pour la bonne adhésion de tous les services. Il est primordial pour le gestionnaire de la recertification de bien expliquer les enjeux de la démarche, de son intérêt.
Industrialiser la revue d’habilitation
La revue des habilitations peut s’avérer complexe et particulièrement laborieuse lorsqu’elle est effectuée manuellement. Afin de répondre aux besoins d’analyse de manière quasi immédiate et fiable, il est préférable d’industrialiser ce processus en s’appuyant sur les bons outils et une méthodologie rigoureuse.
Une solution adaptée permettra de disposer d’une vue centralisée des droits, d’avancer de façon itérative (selon la criticité des applications ciblées, les impératifs métiers ou réglementaires, etc.), d’assurer un historique des revues effectuées et de garantir la traçabilité des actions menées, éléments indispensables de la conformité. Il sera alors simple et rapide de présenter les preuves nécessaires en cas d’audit.
Une fois la re-certification effectuée, un outil complet s’intégrera avec les solutions d’IAM de l’entreprise afin de lancer les processus de remédiation permettant de corriger les anomalies remontées.
C’est en industrialisant les revues d’habilitations que l’entreprise réduira grandement le risque d’erreur et s’assurera un contrôle régulier au plus proche de la réalité. Les processus de contrôle seront simples et fluides et la charge associée considérablement réduite.
Auteur : Olivier Morel, Directeur Général Adjoint d’Ilex International.