Cible préférée dans les cyberattaques, les comptes utilisateurs sont la meilleure entrée dans le SI quand ils sont mal protégés.
Aujourd’hui DSI, RSSI le savent, le plus gros challenge c’est l’utilisateur. Ce facteur humain est très difficile à anticiper et à gérer.
La gestion des habilitations ou gestion des privilèges peut-être appliquée de façon itérative ou en suivant les étapes suivantes et en réalisant un vaste projet. Heureusement, il existe des solutions qui permettent d'automatiser une grande partie du travail.
Je vous donne un processus idéal pour réaliser une gestion des habilitations, mais soyez rassuré un projet assez simple, c'est déjà efficace. Il existe cependant des points essentiels qui font la gestion des privilèges comme le référentiel unique, une revue des habilitations ou l’alignement des droits que vous devrez respecter.
Certains secteurs sont plus surveillés que d’autres et ont une obligation de réaliser une gestion des privilèges. La banque par exemple, a pour obligation d’avoir un processus de contrôle des habilitations d’une personne. Cela doit être régulièrement réévalué, les identités doivent être tracées. Cette gestion agit comme une soupape de sécurité avec des instances de validation externe aux métiers surveillés et surtout pas d’auto-habilitation.
Mais avant tout, si vous souhaitez savoir ce que la CNIL dit au sujet de la gestion des habilitations c'est ici.
Une gestion des habilitations consiste à se poser ces questions :
- Qui sont mes utilisateurs (internes et externes) ?
- Quelles applications ont-ils ?
- Quels droits ont-ils ?
- Est-ce que ces droits sont-ils justifiés ?
- Est-ce que ces droits sont-ils toujours d’actualité ?
On peut résumer cela en ‘qui a quoi et pourquoi’ ?
1. Un référentiel unique d’utilisateurs
Avoir un annuaire des personnes physiques internes et externes est primordial. Pour réaliser ce référentiel unique d’utilisateurs il faut que les IT se rapprochent des RH pour réaliser ce fichier. Certains outils automatisent ce référentiel en synchronisant le SIRH avec l’AD.
Si vous le réalisez vous-même, assurez-vous de n’avoir oublié personne et de ne pas confondre collaborateurs et utilisateurs. Le fichier doit être correctement réalisé et à jour 😉
⚠️ Ne vous contentez pas de le faire une fois, une tape dans la main ouf et on passe à autre chose. Malheureusement, ce référentiel doit impérativement être tenu à jour.
2. Segmenter les utilisateurs
Une fois votre référentiel conçu, il faut segmenter les utilisateurs. Pour concevoir ces typologies, appuyez-vous sur la connaissance des managers pour mieux définir vos groupes. L’IT aura aussi son mot à dire pour temporiser certaines demandes d’accès ou d’applications. Vous pourrez utiliser la segmentation en RBAC qui est la plus populaire.
Ayez une surveillance accrue des utilisateurs externes, car ils peuvent facilement passer entre les mailles du filet. N’ayant pas une relation contractuelle avec l’entreprise, ils seront moins à même de connaître les règles et n’auront peut-être pas la même sensibilisation aux risques de cybersécurité.
3. Principe du moindre privilège
Ce point fait suite au précédent, il conviendra avec les managers de définir les besoins en termes d’applications pour chaque groupe d’utilisateurs et de maîtriser les droits d’accès. Le principe du moindre privilège étant de donner le minimum de droits et d’accès aux collaborateurs afin d’éviter tout débordement et de faciliter le suivi des accès. Ce point a été abordé de façon plus détaillée dans l’article sur la gestion des habilitations. Afin de réduire les risques liés à la sécurité, l'utilisateur reçoit ce qui lui est strictement nécessaire.
4. Définir qui valide les droits et les accès
Une règle stricte doit être appliquée, personne ne peut s’attribuer des droits et des accès. Interdiction formelle de s’auto-habiliter, il est donc nécessaire de définir un supérieur hiérarchique qui va valider la demande. La séparation des tâches implique qu'un utilisateur ne cumulera pas tous les droits sur une même tache : création, validation, supervision.
L’informatique n’a pas pour vocation de tout valider, les managers sont totalement à même de le faire. En revanche, ils doivent définir en partenariat avec l’IT ce qui peut-être accepté de ce qui doit être étudié en collaboration avec l’IT.
5. Suivre les mobilités
Attention aux mobilités en général, les processus d’arrivée sont bien en place mais un flou réside dans les mobilités internes. Pour les départs, c’est aussi chaotique, l’IT a du mal à avoir l’info en temps réel des départs.
La maitrise du cycle de vie des utilisateurs est un point crucial dans la gestion des habilitations. Si vous ne deviez en appliquer que quelques un, prenez celui-ci.
Un collaborateur évolue dans une entreprise, il ne reste souvent pas au moment poste sauf si la structure est petite. Dans le cas où une évolution est faisable, il faudrait veiller à ce que l’utilisateur ait toujours le bon alignement des droits.
6. Mettre en place un processus d’habilitation : formalisé et auditable
Un processus d’habilitation doit être mis en place et connu de tous afin qu’il puisse être appliqué. Il ne doit pas être trop contraignant, car évidemment dans ce cas, il sera contourné.
Par exemple, un nouvel arrivant doit impérativement être intégré dans un des groupes définis au-préalable, tout changement de poste doit être accompagné d’un changement de groupe, ou bien des nouvelles attributions de droits ou d’applications doivent être discutés entre les managers et l’IT. Vous trouverez le processus qui convient à vos collaborateurs et votre entreprise.
Ce processus doit être clair afin qu’il puisse être auditable et remit en question si besoin est.
7. Hiérarchiser, prioriser
Il ne faudra pas porter la même attention avec la même intensité sur l’ensemble des applications. C’est pour cela qu’il faut segmenter les ressources selon leur degré de sensibilité sur la sécurité de l’entreprise. Ce travail est long et fastidieux mais nécessaire.
On pourra aussi appliquer cette règle sur les différents métiers au sein de l’entreprise en faisant une analyse des risques pour gérer les informations sensibles.
Lorsqu’on se lance dans la gestion des privilèges, on a tendance à vouloir tout faire parfaitement et dans sa globalité. C’est une erreur, il est préférable de surveiller dans un 1er temps les applications et les groupes les plus sensibles. Il est possible de réajuster par la suite et de déployer progressivement en définissant d’autres groupes.
Bien sûr, si vous le pouvez, définissez l’ensemble de vos groupes en une seule fois, ce sera de toute façon plus facile. Mais si vous n’arrivez pas à le faire, prenez les utilisateurs les plus sensibles et mettez en place une gestion des habilitations sur ce groupe ‘test’.
Vous souhaitez recevoir notre livre blanc sur la gestion des identités et des accès ?
8. Traçabilité
La gestion des privilèges, c'est aussi connaître qui a quoi.
Selon la manière dont vous dirigez votre stratégie, vous pouvez connaître cette information facilement si vous utilisez une solution d’IAM (gestion des identités et des accès) ou selon un fichier Excel si vous travaillez là-dessus.
Quoi qu’il en soit, vous devez connaître l’ensemble des habilitations d’une personne pour réaliser des audits, pour assurer la sécurité au sein de votre entreprise ou pour faciliter les échanges avec elle.
La traçabilité des privilèges signifie : un identifiant unique qui sera rattaché à un utilisateur.
Vous pouvez aussi être amené à suivre les différentes connexions d’un utilisateur et donc tracer ses accès. Cela vous permettra de contrôler la bonne gestion des accès.
9. Contrôle et remise en question
Un plan de gestion des habilitations n’est pas figé, il doit être remis en question et évoluer avec le temps. Les ressources de l’entreprise évoluent et les utilisateurs aussi, le contexte extérieur joue aussi un rôle fondamental comme nous avons pu le voir avec la crise sanitaire.
Comme nous l’avons vu dans le point 7, les groupes peuvent évoluer, donc n’hésitez pas à revoir votre stratégie régulièrement. Les métiers aussi évoluent, il faut s’adapter.
Malheureusement, cette gestion implique aussi du contrôle et des sanctions en cas de non-respect des règles établies dans l’entreprise. Le contrôle doit être mis en place en amont pour valider ou réévaluer les habilitations et en aval pour suivre les accès.
Un utilisateur malveillant devra être sanctionné au risque de mettre en péril la sécurité de l’entreprise.
En revanche, le contrôle doit être en adéquation avec le risque encouru. Cela ne sert à rien de mettre une grosse pression sur un utilisateur ayant peu d’accès et de droits.
10. Sensibiliser et convaincre
Pour que le plan établi puisse fonctionner, il doit être accepté de tous. Si l’IT impose, les managers résisteront. Les managers, les utilisateurs sont une variable humaine, c’est-à-dire imprévisible.
La part de formation, sensibilisation et rappel doit faire partie du quotidien dans une gestion des habilitations.
Il convient aussi de se pencher sur le service IT, la direction et les RH qui sont des éléments essentiels dans la réussite du projet. Le référentiel unique d’utilisateur doit se réaliser en partenariat avec les RH. La direction valide et finance ce projet, elle doit aussi être convaincue de la nécessité pour la sécurité de l’entreprise et le gain de temps sur la gestion des utilisateurs.
Une gestion des privilèges bien dirigée apporte une relation apaisée entre l’IT et les managers. L’information circule mieux, chacun y trouve son compte. L’IT a connaissance des arrivées et des départs ainsi que des besoins des utilisateurs et peut donc mieux gérer son IT. Les managers arrivent plus facilement à transmettre leurs besoins et ils obtiennent les bons accès pour leurs collaborateurs.
Quelques conseils pour faciliter votre gestion :
Ces 10 points sont un idéal pour réaliser une gestion des privilèges, apportez de la souplesse dans votre processus, sinon vous allez vite abandonner.
Attention ⚠️ : on ne remet pas toute l’organisation en question, on réorganise.
Définissez un processus de surveillance pour vos applications. Cela va prendre du temps pour intégrer toutes vos applications dans votre outil de gestion. Dès lors qu’une nouvelle application est en place dans votre entreprise, appliquez les processus d’habilitations, de cette manière, vous n’aurez pas à y revenir une seconde fois.
En résumé la traçabilité des accès + le contrôle des habilitations = une gestion réussie.
