Orientations EBA/EIOPA et sécurisation des droits d’accès logiques : décryptage

EBA/EIOPA : quelles recommandations en matière de sécurité des technologies de l’information et de la communication (TIC) ?

En 2019, l’Autorité Bancaire Européenne (ABE) – ou the European Banking Authority (EBA) –  s’attache à décrire un certain nombre d’orientations concernant la gestion des risques liés aux technologies de l’information et de la communication (TIC) et à la sécurité. Ces dernières sont reprises dans la foulée par l’Autorité Européenne des Assurances et des Pensions Professionnelles (AEAPP), ou the European Insurance and Occupational Pensions Authority (EIOPA).

Si leur publication tout comme leur entrée en application s’inscrit dans un contexte relatif au vote de la Directive des Services de Paiement (DSP2), ces orientations visent un périmètre plus large puisqu’elles concernent l’ensemble des institutions financières : établissements de crédit, banques, assurances, fonds de pension, entreprises d’investissement sont concernées.

Contexte, périmètre, nature des orientations : voici au travers de cet article un aperçu des attentes formulées, agrémenté d’un focus sur la revue des droits d’accès, dispositif de contrôle mis en valeur au cœur de ces guidelines, et dont Brainwave GRC est expert.

Guidelines de l’EBA et de l’EIOPA : contexte et historique

Que sont l’EBA & l’EIOPA ?

L’EBA est une autorité indépendante de l’Union Européenne. Garante d’un niveau de réglementation et de surveillance prudentiel, efficace et cohérent dans l’ensemble du secteur bancaire européen, l’EBA a pour principales missions le maintien de la stabilité financière au sein de l’U.E et la garantie de l’intégrité, de l’efficience et du bon fonctionnement du secteur bancaire.
À ce titre, elle émet un certain nombre d’orientations visant à guider les acteurs du marché issus du secteur bancaire. Les orientations dont il est question y contribuent, et ont pour vocation d’aiguiller les institutions financières sur la marche à suivre pour garantir la bonne gestion des risques liés aux TIC.

Tout comme l’EBA, l’EIOPA est une autorité européenne indépendante. Si l’EIOPA est indépendante, elle doit néanmoins rendre des comptes au Parlement Européen, au Conseil de l’Union Européenne et à la Commission Européenne. En tant qu’agence de l’Union Européenne, elle accomplit des tâches juridiques, techniques ou scientifiques spécifiques et a vocation de conseil. Elle contribue de fait à l’élaboration de politiques et de lois éclairées aux niveaux européen et national.

Orientations de l’EBA et de l’EIOPA : quelques dates clés

Orientations EBA/EIOPA : quelles obligations réglementaires ?

Certes, les orientations proposées par l’EBA et l’EIOPA ne constituent pas en soi une réglementation, mais toute institution concernée doit pour autant s’y référer. Voyons pourquoi.

Orientations EBA : quelle marge de manœuvre pour les établissements financiers ?

Attardons-nous un instant sur le choix des mots en introduction du document, que vous pouvez découvrir en intégralité en cliquant ici :

« Les autorités compétentes, telles que définies à l’article 4, paragraphe 2, du règlement (UE) nº 1093/2010, auxquelles s’appliquent les orientations, devraient les respecter en les intégrant de manière appropriée dans leurs pratiques. »

En clair, les institutions financières sont invitées à faire tout leur possible pour se conformer aux lignes directrices. Plus qu’un simple guide, ces orientations concentrent un ensemble de recommandations auxquelles il est fortement conseillé d’adhérer.

Orientations EIOPA : une stratégie alignée, des objectifs précis

En réalité, les lignes directrices telles que définies par l’EIOPA sont très similaires à celles de l’EBA. À tel point que le chapitre sur la sécurité logique s’apparente à un « copié-collé » des lignes directrices de l’EBA. Vous pouvez, pour plus d’informations, les retrouver en cliquant ici.

La similitude des documents produits par l’EBA et l’EIOPA a notamment pour but d’éviter les incohérences entre les secteurs de la banque et de l’assurance. L’EIOPA choisit donc de s’appuyer sur les guidelines fournies par l’EBA pour les rendre applicables par toutes les institutions. Dans les orientations transmises, l’EIOPA clarifie d’ailleurs sa démarche et fait preuve de transparence quant à ses attentes minimales. Les acteurs du marché sont ainsi invités à : 

• Mettre en application un socle de mesures standard en matière d’information et de cybersécurité.
• Déployer une fonction de contrôle indépendante et objective, dissociée des opérations TIC.

Quelles sont les principales directives ?

Au total, huit sections distinctes sont détaillées au sein des guidelines :

• Proportionnalité 
• Gouvernance et stratégie 
• Cadre de gestion des risques liés aux TIC et à la sécurité. 
• Sécurité de l’information
• Gestion des opérations de TIC
• Gestion des projets de TIC et du changement
• Gestion de la continuité des activités
• Gestion des relations avec les utilisateurs de services de paiement

Ces directives se basent sur des cadres et des normes existants et d’ores et déjà applicables ou utilisés par un certain nombre d’organisations (Cobit, ISO 2700x, ou les ITGC pour les organisations américaines par exemple). 

Pour l’heure, portons notre attention sur la section dédiée à la sécurité de l’information, et décryptons ensemble les orientations données par l’EBA concernant la sécurisation des droits d’accès logiques.

Sécurité de l’information et sécurité logique, que faut-il retenir ?

Si les orientations définies par l’EBA et l’EIOPA traitent de la sécurité des technologies de l’information et de la communication (TIC), le focus est ici naturellement porté sur la quatrième section énoncée, qui traite plus spécifiquement de la sécurité de l’information. Découvrons ici le détail des chapitres qui composent cette section.

Quelles sont les priorités fixées en matière de sécurité de l’information ?

La section dédiée à la sécurité de l’information se compose de sept sous-parties, majoritairement orientées vers la sécurité organisationnelle et formulées de la façon qui suit : 

• Politique relative à la sécurité de l’information
• Sécurité logique
• Sécurité physique
• Sécurité des opérations de TIC
• Surveillance de la sécurité
• Examens, évaluation et tests en matière de sécurité de l’information
• Formation et sensibilisation en matière de sécurité de l’information

Le périmètre couvert est une nouvelle fois relativement large, à l’instar des directives principales énoncées plus haut. Aussi, la question des solutions pour faire face aux cyber menaces ne fait pas l’objet d’un focus particulier. Les orientations données ne font pas état par exemple de la nécessité pour les organisations de mettre en œuvre un mécanisme de détection des intrusions, de lutter contre les logiciels malveillants, ou encore de faire l’usage d’un antivirus. En réalité, ce sont ici des principes très généraux qui sont abordés, des principes de sécurité qui doivent être appliqués au sein des organisations. Prenons ici  le temps de détailler  les attentes directement reliées à la question de la sécurité logique.

Quelles sont les exigences minimales attendues en termes de sécurité logique ?

L’EBA détaille ses exigences minimales sous la forme de sept principes de sécurité.

Principes du besoin d’en connaître, du moindre privilège et de séparation des fonctions.

Les principes du besoin d’en connaître et du moindre privilège reposent sur l’idée que les droits d’accès octroyés à chaque collaborateur doivent être limités à l’étendue de ses missions. Il s’agit de s’assurer de la cohérence entre la fonction occupée par chacun des collaborateurs, les responsabilités et tâches qui leur incombent, et le niveau réel des autorisations qui leur sont délivrées. En effet, nul besoin de disposer d’un accès administrateur si un accès en lecture seule à une ressource s’avère par exemple suffisant. 

Le principe de séparation des tâches quant à lui attire l’attention sur le fait que certains droits d’accès, certaines autorisations ne peuvent être compatibles entre eux, affectés à la même personne. Le cas échéant, le risque de fraude, de vol d’informations et de cyber menace est alors important. Pour éviter cela, il est donc nécessaire de documenter les situations dans lesquelles certaines autorisations d’accès sont incompatibles, et s’assurer qu’aucun conflit de ce type n’est détecté au sein de l’organisation.

Imputabilité des utilisateurs

Est-on certain que tous les comptes et les droits d’accès sont bien accordés à des personnes réelles, des collaborateurs en particulier ? Le principe d’imputabilité des utilisateurs est précisément dédié à cette question : il s’agit ici de bannir l’usage de comptes génériques ou partagés sans traçabilité, en s’assurant que tous les comptes et les droits d’accès de l’organisation sont attribués à des collaborateurs distincts, des identités précises.

Méthodes d’authentification

Définition de mots de passe complexes, authentification forte via l’authentification à plusieurs facteurs (MFA : Multi-Factor Authentication) : un certain nombre de mesures sont à privilégier de façon à adhérer aux politiques et procédures de contrôle d’accès auxquelles les organisations sont soumises. L’ajustement de ces mesures doit être proportionnel au degré de risque associé aux systèmes de TIC et aux informations auxquelles chaque collaborateur a accès.  

Gestion des accès

La gestion des accès permet de s’assurer que l’octroi et le retrait des accès sont correctement gérés en temps voulu : lorsqu’un nouveau collaborateur arrive, l’organisation doit être en mesure de lui accorder les accès dont il a besoin. A l’inverse, lorsque quelqu’un quitte l’organisation, ses accès doivent être révoqués en temps utile.

Droits d’accès privilégiés

Parce qu’ils donnent accès à des ressources particulièrement sensibles et requièrent un niveau d’autorisation plus élevé, les droits d’accès privilégiés et comptes à privilèges impliquent le déploiement d’un processus de gestion spécifique, de façon à mieux les protéger. Ces accès à haut privilège doivent tous être identifiés, correctement attribués, de même que leur utilisation doit faire l’objet d’un suivi dans le temps et ainsi être sécurisés.

Enregistrement des activités des utilisateurs

Afin d’éviter la modification et la suppression intempestive ou non autorisée de données et d’actifs sensibles, il convient d’enregistrer et de réaliser un suivi de toutes les activités des utilisateurs, et d’en conserver un historique selon une période relative au niveau de criticité des ressources concernées.

De l’intérêt d’avoir recours à l’exécution de campagnes de revues des droits d’accès

Contrairement aux six premières guidelines énoncées, la revue des droits d’accès ne relève pas d’un principe de sécurité ou d’un processus opérationnel. En réalité, il s’agit d’une fonction de contrôle à mettre en place. Si son exécution peut paraître fastidieuse, ce  mécanisme de revue des droits d’accès doit être considéré comme un exercice incontournable, comme en témoigne l’EBA : 

“Renouvellement des accès : les droits d’accès devraient périodiquement être réexaminés afin de veiller à ce que les utilisateurs ne possèdent pas de privilèges excessifs et à ce que les droits d’accès soient retirés dès lors qu’ils ne sont plus requis.” 

Au-delà du fait qu’il s’agisse de l’unique contrôle de sécurité effectivement listé dans les guidelines, il s’avère que la revue des droits d’accès s’adapte très facilement à tout type de situation, et notamment :

• lorsque l’on souhaite s’assurer que les processus opérationnels déployés (gestion des comptes, gestion des droits d’accès) ne présentent aucun risque et sont conformes. 
• quelle que soit la taille de l’organisation et quels que soient les systèmes et applications exploités (en local ou dans le cloud). Il s’agit d’un dispositif particulièrement flexible.
• lorsque l’on souhaite mettre en place un modèle en trois lignes de défense, modèle largement employé par les institutions financières. 

De fait, la revue des droits d’accès s’impose comme l’un des moyens d’adhérer aux guidelines de l’EBA et l’EIOPA en matière de sécurité des droits d’accès logiques. Encore faut-il être en mesure d’en maîtriser les enjeux et l’exécution.