La revue des habilitations est une étape essentielle dans la gestion des entreprises. Elle consiste à vérifier la conformité des comptes des utilisateurs avec les droits qui leur sont accordés en fonction de la politique de droits de l’entreprise.
La revue des habilitations revêt aussi un caractère obligatoire dans bien des cas et sécuritaire pour toutes les entreprises.
Cependant, cette tâche peut être fastidieuse et chronophage pour les équipes informatiques, qui doivent parcourir des centaines, voire des milliers de comptes utilisateur. L'automatisation de cette tâche pourrait apporter une solution efficace pour les entreprises.
Dans les précédents articles traitant de la gestion des habilitations, j’ai abordé le sujet de l’automatisation sans le détailler.
Les risques liés à la non-réalisation d'une revue des habilitations.
Une gestion des habilitations en 10 points.
Gestion des habilitations - Revue des habilitations
La gestion des habilitations, souvent appelée gestion des droits ou gestion des accès, est un aspect crucial de la sécurité informatique et de la gestion des systèmes d'information. Elle consiste à contrôler et à réguler les accès aux ressources informatiques, en veillant à ce que chaque utilisateur dispose uniquement des droits nécessaires pour effectuer ses tâches.
La revue des habilitations, c'est une action longue et fastidieuse dans laquelle, une personne de l’informatique doit recenser l’ensemble des collaborateurs et des utilisateurs afin de n’en former qu’une liste qui sera le référentiel unique d’utilisateurs. Puis de recenser l’ensemble des applications et des comptes et de les lier aux utilisateurs dans le but de créer un référentiel de comptes.
Enfin, de nettoyer ces fichiers des anomalies diverses telles que les utilisateurs partis avec des comptes actifs, des droits accordés qui ne sont pas conformes à la politique de l’entreprise.
Cependant, le temps de réaliser ce long travail de collecte et de recoupement, des mouvements ont lieu dans l’entreprise et l’information est déjà caduque et à refaire.
Cette revue des comptes s’effectue dans un cadre législatif bien souvent mais l’aspect sécuritaire est bien plus important.
Le constat, c’est que peu de services de la DSI ont le courage de réalisation une revue des comptes régulière et les erreurs s’accumulent, entraînant par la même des failles de sécurité.
La revue des comptes manuelle
Avec l'expansion de l'utilisation des applications et logiciels, il devient de plus en plus difficile de gérer les identités et les accès de tous les utilisateurs du système.
La multiplication des comptes, les outils SaaS et On-premise, rendent difficile la consolidation et l'unification des données.
- Recenser les collaborateurs RH
L’information sera à aller chercher au sein du SIRH ou fichier RH faisant foi comme source de vérité RH. Il ne faudra pas oublier les collaborateurs en périphérie qui n’ont pas de contrats de travail avec l’entreprise, mais qui sont au sein de l’entreprise avec des comptes et des accès.
- Consolider les utilisateurs
Il faudra sortir une liste des utilisateurs pour la réconcilier avec la liste complète des collaborateurs (avec et sans contrats).
Il sera important de garder les utilisateurs partis afin de pouvoir par la suite corriger tous comptes actifs reliés ou non à ces utilisateurs.
- Nettoyer ces fichiers
Il est important d'examiner régulièrement les comptes inactifs ou qui ont été créés, mais jamais utilisés. Les comptes d'utilisateurs qui ne sont plus nécessaires doivent être supprimés pour éviter les risques d'intrusion.
- Vérifier les droits pour chaque compte
Il faudra veiller à ce que les politiques de droits soient appliquées pour tous les comptes utilisateurs.
- Documenter
Enfin, il est recommandé de documenter toutes les revues de comptes effectuées, y compris les anomalies identifiées et les mesures prises pour les corriger. Cette documentation peut être utile en cas de contrôle réglementaire ou d'audit interne.
La réalisation d'une revue des comptes informatiques manuelle requiert une méthode rigoureuse, une bonne organisation et une attention particulière aux détails.
Souvent réalisée à l’aide d’un fichier Excel, cette méthode peu chère est très chronophage et surtout peu fiable, car elle nécessite une rigueur absolue et comme je l’ai signifié auparavant, des mouvements ont lieu en même temps qu’elle est réalisée.
N’y a-t-il pas une solution d’automatisation pour réaliser cette revue des habilitations ?
Une revue des comptes est ainsi nécessaire à réaliser. Il est difficile de l’externaliser, car elle demande des connaissances et la participation des services RH et informatique, mais aussi des managers.
Elle est, comme on l’a vu, inévitable parce qu'il en va de la sécurité de l’entreprise.
Qui va gérer ça ?
En priorité, c’est le RSSI puis le propriétaire du SI qui va gérer cette revue des comptes. Puis, il faudra intégrer le gestionnaire des applications (attribution) et le management.
Les managers sont incontournables pour la validation des habilitations. Ce sont eux, qui, en relation avec le service IT, ont défini des droits et qui seront à même de valider ou non les accès et les droits de leur équipe.
L’automatisation intelligente prend ainsi tout son sens : elle saura analyser les anomalies et les faire ressortir. Dans ce cas, votre revue des comptes, passerait d’un mois de travail à quelques jours.
Une solution d’IAM dans ce cas remporte plusieurs avantages :
- Gain de temps pour les équipes informatiques qui ne passent plus un mois à réaliser cette revue, ce qui dégage du temps pour d’autres projets.
- Amélioration de la qualité de la revue des comptes et diminution du risque d’erreur.
- Centralisation des données pour une meilleure visibilité et prise de décisions.
- Gestion en masse des actions.
- Mise en lumière des anomalies.
- Centralisation des différentes sources RH pour les collaborateurs avec et sans contrats.
Vous souhaitez recevoir notre livre blanc sur la gestion des identités et des accès ?
Automatiser en interne
Les équipes informatiques peuvent développer leurs propres outils d'automatisation de la revue des comptes informatiques en utilisant des langages de programmation tels que Python, Java ou Ruby. Les avantages de cette option sont la personnalisation des outils aux besoins spécifiques de l'entreprise et la possibilité de les adapter en fonction de l'évolution des besoins.
Un développement d'outils en interne prend du temps et mobilise des ressources importantes. De plus, les équipes de développement doivent être compétentes en matière de sécurité informatique et de conformité réglementaire pour garantir l'efficacité de ces outils.
Et pour vous dissuader encore de choisir cette solution, l’entreprise devient extrêmement dépendante d’une technologie souvent maison et d’un collaborateur qui seul, en a la connaissance.
Automatiser avec une solution d’IAM
Une solution d’IAM facilite et accélère la mise en œuvre, la fiabilité des outils et la mise à disposition de fonctionnalités avancées telles que la surveillance continue de la conformité réglementaire.
De plus, une solution d’IAM, en SaaS, permet d’avoir une version toujours à jour et des évolutions pertinentes en fonction de l’évolution des besoins des clients.
Si j’ai aussi précisément défini la réalisation d’une revue des comptes manuelle, c’est parce que l’IAM automatise l’ensemble de ces étapes.
Reste à la charge des utilisateurs de la solution, la validation des accès et des droits de chaque utilisateur, en général effectuée par les managers.
Il faudra bien définir en amont les applications qui vont être concernées. L’IAM vous facilite le travail, puisque vous retrouvez sur chaque utilisateur la liste des applications sur lesquelles il a un compte. Ensuite, vous retrouvez dans la solution d’IAM, la liste de tous les managers. Ces derniers vont avoir la liste des collaborateurs qu’ils managent avec la liste des logiciels et applications qui leur sont rattachés.
Sans solution d’IAM, vous devrez lister toutes les applications qui sont utilisées par les utilisateurs avec le risque d’en oublier. Vous devrez avoir une liste des managers, la liste des collaborateurs pour chaque manager, la liste des applications de chaque utilisateur pour chaque manager… C’est presque un puits sans fond.
Puis, vous devrez envoyer chaque fichier à chaque manager en passant par du publipostage.
La finalité d’une revue des habilitations
Outre l’aspect réglementaire qu’on a déjà abordé, la revue des comptes permet surtout de sécuriser son système d’information.
Cela permet de réaligner les droits de vos utilisateurs et de nettoyer votre SI, donc de ne pas accorder trop d’accès et par conséquent de limiter les intrusions sur des comptes administrateurs.
Cela vous permet aussi de nettoyer votre fichier utilisateur : doublons, comptes orphelins qui sont autant de risques d’intrusion avec ransomwares.
C’est aussi un accélérateur de décisions. Quand vous avez un référentiel à jour et propre de votre SI, les décisions sont plus faciles et rapides à prendre, pour les ressources humaines et pour l’informatique.