Comment savoir qui a accès à quoi au sein de mon organisation ?
Aujourd’hui, une grande majorité des organisations a recours à la revue des droits d’accès ou revue des habilitations de sorte à respecter tant leur politique de sécurité interne que les exigences réglementaires externes relatives à la conformité de leurs droits d’accès (ISO 27001, ISO 27002, ISAE 3402, SOC 1 et 2, SOX, CMMC, HiTrust, Hipaa, CRBF, Solvency).
Mais la revue des droits d’accès n’est pas uniquement l’apanage de la sécurité et de la conformité des droits d’accès. Son exécution permet notamment de collecter un certain nombre d’informations précieuses sur les modalités d’accès des utilisateurs aux ressources de l’organisation.
De fait, nombre d’entreprises utilisent la revue des habilitations comme un moyen de cartographier les droits d’accès aux données, applications, fichiers partagés, serveurs et réseaux. Via l’exécution de campagnes de revues des droits d’accès, il leur est dès lors possible de savoir précisément qui accède à quoi au sein de l’organisation et suivant quelles modalités.
Les droits d’accès de mon organisation sont sujets à des changements : comment les identifier et les maîtriser ?
Nouvelles recrues, départs, mobilités internes : les mouvements fréquents de personnel au sein des organisations génèrent de nombreux changements relatifs aux droits d’accès. Il en est de même lorsque l’organisation fait appel à des prestataires ou collabore avec des partenaires et des distributeurs externes. L’ensemble de ces mouvements entraîne automatiquement l’attribution, la modification ou la suppression de droits d’accès.
Comment dans ce contexte suivre de près l’évolution perpétuelle des droits d’accès d’une organisation ? Le moyen le plus efficace pour monitorer et contrôler ces changements est de mener des campagnes de revue des droits d’accès appliquées à l’ensemble des identités qui accèdent aux actifs et aux ressources de l’entreprise.
Cette approche s’inscrit dans une logique de « Get Clean, Stay Clean » qui nous est chère au sein de Brainwave GRC. Une fois les données nettoyées et mises en qualité, il s’agit de maintenir le niveau de qualité atteint. Pour y parvenir, l’exécution régulière de contrôles appliqués aux droits d’accès en est la clé !
Pourquoi inclure la revue des habilitations dans ma stratégie de cybersécurité ?
Les menaces de cybersécurité qui planent sur les organisations aux quatre coins du globe se multiplient et se diversifient. Leur coût pour les entreprises est colossal.
Uber et T-Mobile en ont d’ailleurs récemment fait l’expérience : des données commerciales ont été perdues ou compromises, des systèmes financiers ont été infiltrés et démantelés, des systèmes et serveurs informatiques ont été partiellement ou entièrement mis hors service. Les attaques auxquelles ces deux géants ont été exposés ont occasionné des dépenses de plusieurs millions de dollars et ont nécessité des moyens humains conséquents pour rétablir et consolider la sécurisation de leurs actifs.
Outre la nécessité pour les organisations de supporter le coût de ces attaques, une question se pose pour toutes les entreprises qui en sont victimes : comment évaluer l’impact concret de ce type d’attaque sur leurs ressources ? L’exécution de campagnes de revues des droits d’accès périodiques et continues y contribue fortement : les organisations qui y ont recours sont à même d’estimer les conséquences précises d’une éventuelle attaque.
De fait, la revue des droits d’accès doit être considérée comme un élément constitutif de votre stratégie de cybersécurité : elle vous permet de savoir qui a accès à quoi et de conserver un historique et une traçabilité de ces informations.
Replay webinar
via le témoignage de l’un de nos clients !
Leader de l’analyse et du contrôle des droits d’accès et des identités, Brainwave GRC accompagne les organisations de façon qu’elles puissent identifier précisément qui a accès à quoi au sein de leurs systèmes d’informations.
Nous offrons aux entreprises la capacité de disposer d’une meilleure compréhension de leurs droits d’accès et de maîtriser les risques qui y sont associés tout en reprenant le contrôle des identités présentes dans les systèmes.
En ayant recours à Brainwave Identity Analytics, les organisations acquièrent entre autres la capacité de :
- recenser les collaborateurs répertoriés au sein des référentiels de ressources humaines (RH) disposant de droits d’accès aux actifs de l’entreprise.
- s’assurer que les droits d’accès aux applications, infrastructures et données qui sont octroyés sont légitimes et respectent les principes de moindre privilège et du besoin d’en connaître.
- détecter les droits d’accès restés actifs après le départ d’un collaborateur ou d’un prestataire.
- répertorier les comptes à privilèges, qui donnent accès aux ressources les plus critiques de l’entreprise.
- mettre en évidence les comptes orphelins ou encore les comptes dormants.
Via la collecte, la mise en qualité et la corrélation de toutes les données présentes au sein des systèmes d’information relatives aux droits d’accès et aux identités, via l’automatisation des campagnes de revues, Brainwave Identity Analytics permet à toutes les parties prenantes de l’exercice de la revue (propriétaires d’applications, de référentiels, de systèmes, réviseurs) de reconstruire la chaîne des accès en un temps record et de faire du cauchemar de la revue manuelle un lointain souvenir. En parallèle, notre équipe sensibilise également les organisations aux bonnes pratiques à observer pour optimiser le déroulement de leurs campagnes.
Revue des droits d’accès : les 10 règles d’or à mettre en pratique
Phase I : Préparation de la revue des droits d’accès
1. Mettre sur pied une stratégie claire
Objectif visé, type de revue, fréquence d’exécution, délais impartis, stratégie de remédiation : prendre en compte l’ensemble de ces paramètres en amont du lancement de votre campagne vous permettra de la cadrer et d’identifier les éventuels points bloquants.
2. Définir le périmètre à revoir
Détection des accès à privilèges, des droits d’accès ayant été modifiés, des écarts et anomalies : délimiter le périmètre à revoir vous permettra de gagner un temps précieux ! Ne revoyez que les droits d’accès pertinents au vu de l’objectif que vous vous êtes fixé.
3. Détecter les éventuelles incohérences au sein de votre campagne
Vérifiez le principe de « Consistency and Accuracy » : la campagne que vous vous apprêtez à mener doit être cohérente, exhaustive et doit correspondre parfaitement au périmètre défini au regard de l’objectif visé.
4. Informer les responsables métiers des enjeux de la campagne
Veillez à communiquer avec les responsables de la revue : énoncez clairement les objectifs et les tâches qui incombent à chacun, assurez-vous que la mission qui leur est confiée est comprise et soulignez l’importance de leur rôle dans l’exercice. Leur implication est décisive et garante de l’efficience de la campagne menée.
Phase II : Lancement de la campagne de revue des droits d’accès
5. Prêter attention à la qualité des données.
Assurez-vous que les données soient à jour, compréhensibles et facilement interprétables par les équipes métiers concernées. Ainsi, leur prise de décision sera facilitée et sera d’autant plus pertinente.
6. Faire de la revue des accès utilisateurs un exercice agréable.
Dites adieu aux feuilles de calcul : offrez à vos équipes une expérience de revue plus conviviale et ergonomique à l’aide d’une solution dédiée. Si les informations sont lisibles et aisées à interpréter, la validation des données n’en sera que simplifiée. Votre campagne aura ainsi toutes les chances d’être correctement exécutée.
7. Associer une méthodologie claire à un outil d’automatisation.
Automatisez et rationalisez vos campagnes à l’aide d’une solution d’automatisation. Les processus seront simplifiés, le pilotage des campagnes sera facilité pour vos équipes et vous gagnerez un temps précieux. Par ailleurs, vous pérennisez l’exercice : quelques clics suffiront à lancer vos campagnes de revues ultérieures.
8. Fournir des éléments de décision.
Facilitez l’accès des réviseurs aux détails des comptes et des applications, aux anomalies détectées et à l’historique des décisions prises au fil du temps. Grâce à ces informations complémentaires, la qualité des décisions prises sera améliorée.
Phase III : Collecte des résultats à transmettre aux auditeurs et déclenchement des actions correctives
9. S’assurer que les campagnes de revues soient suivies de corrections
La planification et l’exécution des actions correctives relatives aux droits d’accès sont nécessaires pour démontrer la conformité. Qui plus est, l’effort des équipes sera reconnu s’il est suivi d’effets et l’exercice de la revue sera perçu comme utile et bénéfique par tous.
10. Estimer le temps consacré à votre revue des droits d’accès utilisateurs
Faites le point : combien de temps a été consacré à votre dernière campagne ? Les délais fixés ont-ils été respectés ? L’objectif est-il rempli ?
Dans tous les cas, si vous percevez toujours la revue des droits d’accès comme un exercice long et pénible, il est toujours utile de questionner votre approche et de songer à vous équiper d’un outil dédié… Comme Brainwave Identity Analytics !
La revue des droits d’accès avec Brainwave Identity Analytics, comment ça marche ?
Outre son implémentation rapide, Brainwave Identity Analytics comporte un atout majeur : de l’ingestion agnostique de données (via Active Directory, les fichiers RH, applications, bases de données, dossiers partagés, fichiers plats, etc.) à leur corrélation et leur mise en perspective sous la forme d’une représentation cartographique, tout est automatisé !
En un coup d’œil, vous savez qui a accès à quoi, pourquoi, quand et comment. Vous avez de la visibilité sur chaque identité répertoriée et chaque droit d’accès, compte, groupe à laquelle elle est associée.
Revue des droits d’accès utilisateurs : l’adoption d’une approche Get clean, stay clean
Outre la visibilité détenue sur les identités et leurs droits d’accès, exploiter le potentiel de Brainwave Identity Analytics pour l’exécution de vos revues des droits d’accès est une excellente opportunité de nettoyer et mettre en qualité vos données.
Accès dormants, comptes orphelins, comptes restés actifs après le départ d’un collaborateur : profitez de l’exécution de vos campagnes pour faire un grand ménage, révoquer les droits d’accès qui doivent l’être et mettre à jour les informations dont vous disposez pour toutes les identités en présence.
Avec Brainwave Identity Analytics, tout risque relatif au non-respect du principe de séparation des tâches (SoD) basé sur une matrice de conflits est recensé et corrigé. Les données peuvent ainsi être :
- intégrées et mise à jour au sein de votre système d’IAM ou d’IGA,
- partagées avec les chefs de service et les responsables informatiques pour validation,
- transmises au responsable des ressources humaines afin qu’il mette à jour si nécessaire les informations relatives à chaque collaborateur de l’organisation.
Une fois cette étape de mise en qualité et consolidation des données achevée (get clean) via l’exécution de votre campagne de revue des droits d’accès, il s’agit désormais de maintenir ce niveau de qualité des données au fil du temps (stay clean). Poursuivez votre lecture pour découvrir comment y parvenir !
La revue des droits d’accès à l’épreuve de l’audit
Au-delà de la capacité de Brainwave Identity Analytics à faire la lumière sur vos droits d’accès, le recours à notre solution est un excellent moyen de préserver la qualité de vos données.
Notre technologie repose sur une approche photographique. Une fois vos données ingérées, Brainwave Identity Analytics les restitue et vous permet de reconstruire la chaîne des accès et identités à un instant donné. Vous disposez ainsi d’une visibilité à 360° des accès et des identités de votre organisation et avez la possibilité d’automatiser la production de rapports horodatés. Qu’il s’agisse de préparer votre prochaine campagne de revue des droits d’accès, de répondre aux questions des auditeurs internes et externes ou de garder un œil sur la situation à la suite d’une demande interné liée à un changement organisationnel (départ ou arrivée de collaborateurs, mobilité interne, etc.), vous disposez de tous les éléments nécessaires.
De la même manière, vous pouvez aisément réaliser un comparatif en rapprochant les rapports de revues dont vous disposez. Plus rien ne vous échappe : la mise en évidence des anomalies et des incohérences est facilitée, les risques liés au non-respect des politiques de sécurité internes sont rapidement identifiés. L’identification et la réduction des risques associés aux droits d’accès est facilitée, vous êtes en mesure de démontrer la conformité et de garder le contrôle des accès aux ressources de l’organisation.
Enfin, vous pourrez lors de vos prochaines campagnes vous concentrer sur le périmètre que vous considérez comme prioritaire en ne revoyant que les droits d’accès concernées. Réduction des risques, conformité des droits d’accès : pilotez et configurez vos campagnes suivant l’enjeu visé !
Dans le cas où vous souhaitez maintenir votre attention sur le périmètre revu lors de votre précédente campagne, profitez pleinement des bénéfices que procurent l’automatisation : vous n’avez plus qu’à lancer votre campagne sur la base des périmètres définis précédemment et répéter l’opération autant de fois que nécessaire.
Revue des droits d’accès : cap sur l’automatisation
Une chose est sûre : que vous souhaitiez savoir précisément qui a accès à quoi au sein de votre organisation, maîtriser les risques associés aux droits d’accès ou démontrer leur conformité, l’automatisation de vos campagnes de revues des droits d’accès est un formidable atout. Outre le gain de temps occasionné, l’utilisation de Brainwave Identity Analytics vous permet d’optimiser considérablement l’exécution de vos campagnes et de répondre aux contraintes auxquelles votre organisation est soumise.
Envie de faire un premier pas vers l’automatisation ? Contactez-nous, faites-nous part de vos besoins et programmons une démo pour vous faire découvrir en détail les fonctionnalités de Brainwave Identity Analytics !
