Orientations EBA/EIOPA et sécurisation des droits d’accès logiques : mise en pratique

Il y a près de deux ans, l’EBA (European Banking Authority) et l’EIOPA (European Insurance and Occupational Pensions Authority) définissaient leurs orientations en matière de gestion des risques liés aux technologies de l’information et de la communication (TIC) et à la sécurité, à destination des marchés de la finance et l’assurance. Si ces orientations ne constituent pas en soi des réglementations auxquelles sont soumises les acteurs de ces marchés, elles n’en restent pas moins primordiales et peuvent être considérées comme des bonnes pratiques (voir notre précédent article, disponible ici). 

En parcourant ces guidelines et plus spécifiquement la section dédiée à la sécurité logique, la revue des droits d’accès occupe une place importante. En effet, seule cette fonction de contrôle est évoquée.  Il ne nous en a pas fallu davantage pour y consacrer un article entier : en tant qu’experts de la revue des droits d’accès, quoi de plus naturel que de détailler avec vous les enjeux de la réalisation d’une campagne de recertification des droits d’accès appliquée à votre secteur d’activité, banques comme assurances !

Voyons donc ensemble dans quelle mesure la revue des droits d’accès permet de répondre aux enjeux de sécurisation des droits d’accès logiques tels que définis par l’EBA et l’EIOPA, et comment aboutir à des résultats satisfaisants. Bonnes pratiques, cas d’usage : retroussons-nous les manches pour en détailler ensemble les rouages !

Revue des droits d’accès : quelles bonnes pratiques pour adhérer aux guidelines définies par l’EBA et l’EIOPA ?

Il y a beaucoup à dire sur la revue des droits d’accès et nous tâcherons ici d’être synthétique. Pour creuser le sujet et parfaire vos connaissances en la matière, nous ne pouvons que vous inviter à consulter notre article dédié en cliquant ici.

Pour l’heure, concentrons-nous ici sur les bonnes pratiques qui entrent directement en résonance avec les orientations définies par l’EBA et l’EIOPA… Et paraissent ainsi essentielles à adopter !

Le principe de proportionnalité avant tout !

En premier lieu, il est probable que le périmètre des actifs informatiques (systèmes et comptes) à revoir soit très large. Une approche par les risques est fondamentale pour prioriser la revue et aboutir à un périmètre gérable. En effet, tous les comptes et droits d’accès ne présentent pas le même niveau de risque, d’où l’intérêt de réaliser une analyse et d’évaluer le degré de criticité de vos systèmes, comptes et droits d’accès afin d’aboutir à deux séries distinctes :

• Les comptes et droits d’accès qui doivent faire l’objet d’une révision immédiate. Il s’agit ici de répertorier les comptes à privilèges présentant des anomalies notables telles que le non-respect du principe de moindre privilège ou de séparation des tâches par exemple. Ou encore, d’identifier tous les comptes ou droits d’accès sujets à un changement récent qui n’a pas été documenté.

• Les comptes et droits d’accès dits standards, à revoir en seconde intention. Seront recensés ici les comptes et droits d’accès dont le niveau de sensibilité est moins élevé tels que :
  – les droits d’accès permettant de consulter des ressources en lecture seule,
  – tout droit d’accès aux systèmes considéré comme porteur d’un faible degré de risque. Autrement dit, ceux qui ne donnent accès à aucune information sensible (données personnelles ou données financières par exemple).

Sur la base de cette analyse de risque, il est possible d’opter pour des stratégies de révision distinctes en jouant sur la fréquencede vos campagnes et la typologie de revue choisie. Vous pouvez par exemple faire le choix de réaliser une revue incrémentale ou différentielle de vos droits d’accès et répartir la charge de travail sur une année complète en révisant un quart de ces droits d’accès par trimestre.

Choix des réviseurs, transmission des données : rien ne doit être laissé au hasard

À vous d’identifier les personnes qui seront chargées de réaliser votre revue des droits d’accès, et il s’agit là d’un aspect essentiel ! Le rôle des réviseurs est crucial du début à la fin de votre campagne, car ils sont les garants de sa réussite. Ils doivent donc être en mesure de prendre des décisions éclairées et seront par exemple amenés à demander la révocation de certains droits d’accès. Cette responsabilité est souvent confiée aux managers, car ils connaissent leurs équipes, peuvent identifier le rôle de chacun et sont en capacité  de juger de la pertinence des droits d’accès octroyés aux collaborateurs au regard de leurs fonctions, tout en ayant conscience du niveau de risque généré par chacun des droits cédés.

Par ailleurs, les managers identifiés pour effectuer la revue des droits d’accès doivent pouvoir se rendre disponibles. En effet, même si la planification de votre revue est minutieusement orchestrée et que vous disposez d’outils dédiés, la revue des habilitations reste un exercice qui prend du temps, qui ne doit pas être pris à la légère et qui doit être réalisé en respectant des deadlines précises.

Enfin, les données transmises aux réviseurs doivent être à jour et compréhensibles. Quelle que soit leur expérience de la revue, l’interprétation des données est toujours plus fastidieuse pour ces derniers si vous ne prenez pas le temps de leur présenter des informations claires, d’enrichir les données en les contextualisant. Aussi, les réviseurs ne doivent en aucun cas être contraints de retourner à la pêche aux informations dans les systèmes d’information pour comprendre la signification de l’identifiant d’un groupe ou d’une permission de compte. Tout doit être accessible et limpide dès le premier coup d’œil, afin de favoriser leur implication ainsi qu’une prise de décision rapide et pertinente.

Durée, fréquence, étapes à respecter : un alignement parfait

Pour déterminer la durée de votre campagne de recertification des droits d’accès, il est nécessaire de tenir compte de la fréquence à laquelle vous souhaitez la réaliser, tout en respectant chaque étape d’exécution :

1. la planification de la campagne
2. la révision des droits d’accès
3. la consolidation des résultats
4. le processus de correction (la révocation de certains droits d’accès par exemple)

À l’issue de ces quatre étapes, vous pourrez en toute logique attester de la conformité de vos droits d’accès et/ou d’un niveau de sécurisation de vos droits d’accès satisfaisant au regard de votre objectif de départ.

Le respect de ces étapes est fondamental : si votre seconde campagne débute avant que vous ayez pu achever la première, l’exercice perd tout son sens. Vous n’aurez alors probablement pas le temps de déclencher les actions de correction relatives aux droits d’accès revus. Les risques seront toujours présents et les réviseurs se rendront rapidement compte que leurs efforts n’ont eu aucun impact s’ils constatent que leurs demandes de révocation de droits ne sont pas prises en compte.

Principe de Consistency and Accuracy

Cohérence, exhaustivité, traçabilité : le principe de Consistency and Accuracy (C&A) doit être appliqué durant votre revue des droits d’accès. En effet, lorsque vous réalisez votre recertification des droits d’accès, une chaîne de traitement des données se construit. Les données d’accès provenant des applications et des systèmes d’information (Active Directory, système financier, système de messagerie, etc.), une fois corrélées et traitées, sont consignées dans des listes envoyées aux réviseurs, puis sont à nouveau consolidées. Cela permet de savoir quel périmètre a été revu, par qui et quelles décisions ont été prises. Le principe de C&A repose sur l’idée suivante : toutes les données relatives au périmètre défini seront revues, aucune information ne sera égarée en route et l’ensemble des données ne sera révisé qu’une seule et unique fois.  Autrement dit, il s’agit d’être en mesure de s’assurer de la cohérence et de l’exhaustivité de l’exercice.  Dans le même temps, vous êtes en mesure de démontrer aux auditeurs la fiabilité et l’intégrité des données au regard du périmètre des droits d’accès à revoir.

En l’occurrence, l’adhésion à ce principe peut être un véritable challenge lorsque plusieurs centaines de réviseurs sont sollicités au cours de votre campagne, et que des dizaines de systèmes d’information à revoir. Pour autant, le relever est indispensable.

 Le processus de correction, une étape fondamentale à ne pas oublier

Au-delà de la mise en conformité de vos droits d’accès et de la nécessité d’adhérer aux guidelines émises par l’EBA et l’EIOPA, il est primordial de garder à l’esprit l’objectif final qui est visé. Au travers de l’ensemble des mesures et contrôles de sécurité, il s’agit avant tout d’améliorer au fil du temps la situation de vos systèmes en identifiant les risques liés à vos droits d’accès et en déclenchant des actions correctives de façon à les réduire. Votre mise en conformité est ainsi garantie, grâce à la mise en place d’un cycle d’amélioration continue. Le processus de correction n’est donc jamais un détail : il fait partie intégrante du processus de revue des droits d’accès utilisateur.

Revue des droits d’accès : un exemple de cas d’usage

La revue des droits d’accès est souvent vécue comme une tâche pénible et laborieuse par les organisations. Pour répondre aux difficultés rencontrées par ses clients, Brainwave GRC développe depuis plus de dix ans des outils et un accompagnement spécifique. Au travers de ce cas d’usage, voyons comment il est possible d’optimiser l’expérience autour de la revue afin de rendre l’exercice plus agréable, et surtout plus efficient ! 

Revue des droits d’accès : quelles attentes, quels enjeux côté client ?

Le cas d’usage exposé ici s’appuie sur le retour d’expérience de l’un de nos clients, une institution financière européenne. Lors de nos premiers échanges, cette organisation effectuait d’ores et déjà la revue de ses droits d’accès à l’aide d’outils dédiés. Mais ceux-ci, développés en interne, étaient coûteux en maintenance, peu souples, complexes à mettre en place et ne couvraient qu’un sous-ensemble de systèmes identifiés comme sensibles. Les attentes de notre client étaient les suivantes : 

• Améliorer la posture de sécurité globale.
• Disposer d’un outil qui permette de couvrir l’ensemble des systèmes de l’organisation.
• Profiter de l’adoption de notre technologie pour optimiser l’adhésion au modèle en trois lignes de défense.
• Mettre sur pied un processus de recertification des droits d’accès plus collaboratif compte tenu du très grand nombre d’interlocuteurs impliqués et du volume considérable de données à traiter.
• Être en mesure de savoir à tout moment qui a accès à quoi.

Revue des droits d’accès : quelle stratégie mettre en place pour y répondre ?

Pour satisfaire les attentes de notre client, nous avons procédé par étapes.

#1 : la réalisation d’un >inventaire des droits d’accès

Nous avons commencé par mettre en place, avec le logiciel Brainwave Identity GRC un inventaire en continu de tous les droits d’accès utilisateurs pour l’ensemble des systèmes de l’organisation pour disposer d’une visibilité exhaustive des droits d’accès, identifier les utilisateurs et les comptes auxquels ils ont accès, ainsi que les autorisations attribuées à chacun de ces comptes.

#2 : la mise en place de campagnes de revue distinctes

Sur la base de cet inventaire, nous avons configuré plusieurs campagnes de revue en ajustant la stratégie (fréquence, type de revue) de chacune d’entre elles suivant les ressources à examiner, le degré de sensibilité des données et les applications ciblées.

 #3 : l’identification des parties prenantes de la campagne et la répartition des tâches

Initialement, les chefs de département étaient désignés en interne pour la validation des données. Les départements réunissant un nombre considérable d’équipes et d’interlocuteurs, la charge de travail qui leur était assignée  s’avérait trop importante. Pour y remédier, nous avons activé dans le logiciel un système de délégation : de nouveaux interlocuteurs ont donc été identifiés par les chefs de département afin de répartir la charge de travail. Cette opération a été rendue possible grâce à l’outil que nous leur avons proposé. Des centaines de collaborateurs ont ainsi pu prendre part à la campagne de recertification en travaillant sur différents systèmes et ensembles, différents types de données d’accès, tout en s’appuyant sur un seul et même outil.

#4 : le cadencement des actions correctives

Il a enfin été convenu que les actions correctives seraient appliquées à l’issue de chaque revue individuelle réalisée, et non pas une fois la campagne clôturée. L’objectif étant de déclencher les processus de correction au plus vite, afin que chaque problème soit résolu en temps utile et que le niveau de risque associé aux droits d’accès soit immédiatement réduit.

 Pour quels résultats ?

Grâce à la stratégie mise en place, notre client réalise aujourd’hui plus de 1000 revues par an. Plus de 150 000 comptes, 50 000 autorisations d’accès aux systèmes, applications et aux données non structurées sont ainsi examinés, soit des millions de droits d’accès chaque année. Un historique de deux ans de revue est conservé dans l’inventaire réalisé via notre logiciel, ce qui leur permet de disposer d’une traçabilité complète indiquant précisément :

• qui a accès à quoi,
• qui a réalisé la révision de chacun des droits d’accès,
• quelles décisions ont été prises à l’issue des différentes revues menées.

Au cours des cinq dernières années, les campagnes se sont succédées sans qu’une intervention ne soit nécessaire pour reconfigurer les modalités de revue. Le dispositif mis en place fonctionne parfaitement et répond aux attentes de notre client. 

Enfin, l’accompagnement proposé a pu être déployé sans pour autant bouleverser le fonctionnement des différents outils de gestion des identités et des accès (IGA) d’ores et déjà exploités au sein de l’organisation dans le cadre de la gestion des comptes, des opérations de provisionning et deprovisionning des comptes, du cycle de vie des identités ou encore des contrôles d’accès. 

La revue des droits d’accès a ainsi pu s’opérer en parallèle, à l’instar de ce qu’elle est : une fonction de contrôle ! 

Adhérer aux guidelines de l’EBA et de l’EIOPA : l’exercice de la revue, un incontournable !

Vous l’aurez compris : si l’EBA et l’EIOPA focalisent leur attention sur la revue des habilitations, c’est précisément parce que ce dispositif de contrôle comporte de multiples avantages en matière de sécurité logique. L’exécution régulière de campagnes de revue favorise au sein de votre organisation :

• la sécurisation et la protection des ressources.
• le respect de la politique de sécurité en vigueur.
• la mise en conformité des droits d’accès attribués aux collaborateurs.

Si malgré les bénéfices qu’elle génère, la revue des droits d’accès peut être perçue comme une tâche longue et complexe, ne vous laissez pas intimider pour autant ! Méthodologies, solutions dédiées : de nombreux outils et process vous permettent aujourd’hui d’automatiser les campagnes et d’en optimiser l’exécution. 

Acteur du secteur de la finance ou des assurances : penchez-vous sur le sujet et mettez toutes les chances de votre côté pour relever le défi et adhérer aux orientations de l’EBA et de l’EIOPA !