Brainwave GRC https://www.brainwavegrc.com/fr/ The champion of User Access Review Tue, 28 Nov 2023 09:59:17 +0000 fr-FR hourly 1 https://wordpress.org/?v=6.1.5 https://www.brainwavegrc.com/wp-content/uploads/2022/07/brainwaveGRC_fav.png Brainwave GRC https://www.brainwavegrc.com/fr/ 32 32 Identity analytics : la solution pour reprendre le contrôle des droits d’accès et données d’identité https://www.brainwavegrc.com/fr/identity-analytics-la-solution-pour-reprendre-le-controle-des-droits-dacces-et-donnees-didentite/ Mon, 19 Jun 2023 12:02:52 +0000 https://www.brainwavegrc.com/?p=41380 The post Identity analytics : la solution pour reprendre le contrôle des droits d’accès et données d’identité appeared first on Brainwave GRC.

]]>

Depuis quelques années déjà, l’identity analytics est un concept qui fait parler de lui. Si Gartner le mentionne dans plusieurs de ses études1, ce terme est dans un premier temps  resté méconnu pour une partie du grand public.

Aujourd’hui, cette science de l’analyse des identités et des droits d’accès gagne en popularité. Elle est d’ailleurs de plus en plus exploitée par les différents acteurs du monde de la cybersécurité. Traitement, enrichissement et analyse des données d’identité et des données d’accès, mise en qualité des données, gestion et contrôle des identités et des droits d’accès : ses champs d’application sont nombreux. Découvrons pourquoi l’identity analytics est un concept à explorer et quels sont ses différents cas d’usages.

 

L’identity analytics : un concept ajusté aux nouveaux enjeux cyber

L’identity analytics permet de répondre aux problématiques complexes auxquelles sont aujourd’hui confrontées les organisations. En effet, cette science de l’analyse s’inscrit dans la lignée des préceptes adoptés2 par les organisations via les nouveaux modèles de cybersécurité3: l’identité constitue un pilier fondamental de la sécurité des ressources des entreprises.

Elle offre aux organisations les capacités suivantes :

  • Identifier précisément qui travaille dans l’entreprise et qui accède à quoi.
  • Maximiser l’efficience des contrôles automatisés appliqués aux droits d’accès et aux identités.
  • Détecter les anomalies et évaluer le niveau de risque associé aux droits d’accès.
  • Réduire et corriger les problèmes détectés.
  • Pointer quels droits d’accès attribuer à quels utilisateurs.

Assez naturellement donc, un certain nombre d’acteurs cyber s’y intéressent et exploitent son potentiel. Son utilisation est remarquée notamment lorsque les entreprises décident de mettre en place un projet de gestion des identités et des droits d’accès (Identity and Access Management, IAM et Identity Governance and Administration, IGA).

Identity analytics, données d’accès et sources de données

Disparates, nombreuses, hétérogènes… Les données d’accès des organisations sont disséminées au sein des Systèmes d’Information (SI). À vrai dire, leur simple collecte peut relever du casse-tête. Quant à leur corrélation et à leur analyse efficiente, il va sans dire que celles-ci peuvent rapidement constituer des objectifs inatteignables.

Pour contrecarrer ces difficultés, il faut recourir à l’identity analytics. En effet, les solutions enrichies en identity analytics sont d’une efficacité redoutable, puisqu’elles :

  • Ingèrent de façon agnostique tous types de données pour ensuite les corréler et les analyser.
  • Facilitent le traitement des données d’accès structurées et non structurées, quelles que soient leur source (comptes, groupes, autorisations, logs, etc.).
  • Collectent toutes les données d’accès dont l’organisation dispose via des connecteurs dédiés (annuaires Active Directory ou LDAP, fichiers CSV ou fichiers Excel, données RH), en tenant compte de toutes les identités associées. Ces dernières peuvent être par conséquent incluses dans les processus d’analyses qui seront exécutés.

Cette puissance d’ingestion, de corrélation et d’analyse vient répondre aux problématiques auxquelles sont aujourd’hui confrontées les organisations face au grand nombre de données dont elles disposent. Via le recours à une solution d’identity analytics, les entreprises sont certaines de bénéficier de toutes les informations nécessaires, et ce de façon exhaustive, pour analyser leurs droits d’accès et leurs identités, identifier les situations atypiques et pointer les risques potentiels associés.

 

Contrôles des droits d’accès : de la nécessité de s’outiller

Alors même que les organisations doivent gérer des volumes de données de plus en plus conséquents et sont en proie à de nombreux changements (adoption du télétravail, transformation digitale, recours au cloud computing), les cyber menaces croissent et les attaques menées sont de plus en plus sophistiquées. Pour s’en prémunir, s’outiller devient indispensable. Prendre conscience des risques auxquels on s’expose est ainsi fondamental. Pour rappel, il y a quelques années encore :

  • Seuls 8% des organisations avaient recours à des outils permettant l’automatisation des opérations de provisionning des droits d’accès.4
  • 1/3 des organisations ne disposaient pas de processus de contrôle d’accès ou de gouvernance des droits d’accès.5
  • 50 % des anciens employés admettaient s’être connectés au compte de leur entreprise après leur départ.6
  • Dans 61% des cas de fraude, la faiblesse des contrôles IT était mise en cause.7

Le constat est sans appel : déployer des processus et des outils permettant de faire mentir ces chiffres se devait d’être une priorité !

 

Identity analytics + outil d’IAM ou d’IGA = le duo gagnant

Des années 2000 à aujourd’hui, les solutions d’IAM disponibles sur le marché ont évolué de façon conséquente et offrent une multitude de fonctionnalités pensées pour répondre aux nouveaux enjeux des entreprises. Pour autant, toutes ne sont pas enrichies en identity analytics. Dans ce cas, adosser à son outil d’IAM une solution d’identity analytics doit être envisagé. Découvrons pourquoi ci-dessous !

Récemment, Gartner faisait le constat suivant : lors de leur déploiement, 50 % des projets de gestion des identités et des accès – IAM ou IGA – sont en difficulté. La complexité inhérente à ces projets crée pléthore d’obstacles à surmonter, qui freinent leur déploiement et empêchent les organisations d’exploiter tout leur potentiel. Le recours à une solution d’identity analytics peut ainsi être utile pour maximiser les bénéfices attendus d’un projet d’IAM ou d’IGA et, notamment, disposer de rapports prêts à l’emploi limpides et exhaustifs.

De fait, l’identity analytics participe de la réussite d’un projet d’IAM ou d’IGA, et notamment au cœur d’environnements hybrides et complexes. Découvrons ensemble les principaux défis qui peuvent être relevés à l’aide de l’identity analytics.

 

Nettoyage et mise en qualité des données

Au démarrage de tout projet d’IAM ou d’IGA, s’assurer de la qualité des données est un pré-requis incontournable. S’il s’avère que les données sur lesquelles on s’appuie sont inexactes ou que certaines manquent à l’appel, le bon déroulement du projet d’IAM ou d’IGA et le fonctionnement même de l’outil employé pour le mener à bien sont en péril. Les équipes peineront à achever le projet, ou encore, les prises de décision se feront sur la base d’informations de piètre qualité, voire même à partir de données erronées.

L’utilisation d’un outil d’identity analytics pour le nettoyage et la mise en qualité des données permet de faire face à cette difficulté en s’inscrivant dans une logique « Get Clean Stay Clean » : les données sont nettoyées et maintenues à un niveau de qualité satisfaisant avant, pendant et après le déploiement du projet d’IAM.

 

Ingestion des données associées aux comptes, aux applications et aux systèmes

Bien souvent, les solutions d’IAM auxquelles recourent les organisations collectent et ingèrent une partie seulement des informations présentes au sein des systèmes, des comptes et des applications. Cette couverture limitée offre une visibilité partielle et restreinte des droits d’accès et des permissions octroyés au sein de l’entreprise.

En exploitant une solution d’identity analytics, il est possible de pallier ce problème et de disposer d’une visibilité exhaustive en cartographiant l’ensemble des droits d’accès en présence dans les systèmes, qu’ils soient issus des applications, des infrastructures, des référentiels ou des comptes.

 

Conformité avec les politiques de sécurité

Lorsqu’une entreprise souhaite démontrer la conformité de ses droits d’accès au regard des standards réglementaires auxquels elle est soumise, être en capacité de s’assurer que les principes du moindre privilège et du besoin d’en connaître soient bel et bien respectés est primordial. En effet, le respect de ces principes constitue un un pré-requis essentiel en matière de sécurité et de conformité des droits d’accès.

Pour autant, si l’organisation identifie cette priorité, elle peine bien souvent à prouver que les droits d’accès octroyés sont légitimes et pertinents au regard de ces deux principes. Cet obstacle peut être facilement déjoué via l’identity analytics : en fournissant une vue à 360° des identités et des droits d’accès de l’organisation, il devient aisé d’identifier qui accède à quoi, quand, comment et pourquoi. En exploitant les capacités d’analyse de l’identity analytics, l’organisation dispose ainsi d’éléments concrets sur lesquels s’appuyer pour démontrer le respect de ces principes.

Identity analytics : enrichissement des données, sécurité et conformité

Déployer une politique de gestion des identités et des droits d’accès optimale implique, au-delà de la prise en compte des identités assignées à un compte ou à un groupe, de trouver des réponses à un certain nombre de questions :

  • Les accès octroyés aux identités sont-ils légitimes d’un point de vue organisationnel ?
  • Quel est le périmètre de responsabilité de chacune des identités dotées de permissions ?
  • Quel niveau de permission doit être accordé aux différentes identités ayant accès à une ressource donnée (lecture seule, édition, administration, etc.) ?
  • Les droits d’accès délivrés sont-ils justifiés et pertinents au regard du poste et des fonctions occupés par telle ou telle identité ?
  • Les droits d’accès actifs sont-ils utilisés ?

Une excellente connaissance des équipes, des métiers et des responsabilités de chacune des identités est cruciale, l’analyse qui doit en découler doit être rigoureuse et poussée. Ainsi, l’adoption d’un outil enrichi en identity analytics est nécessaire pour couvrir de façon exhaustive et granulaire l’ensemble des droits d’accès, du périmètre qu’ils recouvrent et de leur portée au sein de toute organisation.

L’identity analytics permet de fait de tenir compte de ce que l’on appellera ici le contexte identité et de rassembler toutes les informations nécessaires à l’analyse complète et éclairée des droits d’accès. Ces capacités d’analyses approfondies permettent aux entreprises de favoriser leur adhésion aux politiques de sécurité et de conformité, tout en prémunissant leurs ressources des cyber menaces auxquelles elles sont exposées. Pour le démontrer, les tableaux de bord que permettent d’établir les solutions enrichies en identity analytics tels que Brainwave Identity Analytics sont particulièrement efficaces : indicateurs clés de performance, rapports de contrôle, rapports de conformité… Le Responsable de la Sécurité des Systèmes d’Information (RSSI) dispose de tous les éléments nécessaires pour en attester !

Si le pilotage de la stratégie de gestion des identités et des droits d’accès est facilité, les coûts que génèrent les cyber attaques sont également réduits. Au-delà des bénéfices que procure l’identity analytics dans le cadre d’un projet IAM, cette science de l’analyse des droits d’accès est un must have pour toute organisation qui souhaite répondre à l’ensemble de ces enjeux :

identity analytics : quel périmètre d'action ?

L’identity analytics sur le terrain : exemple de cas client

Conformité SOX : comment la démontrer ?

L’un de nos clients, issu du secteur de l’éducation et soumis à la réglementation financière Sarbanes-Oxley (SOX), a pour contrainte de démontrer sa conformité à cette réglementation chaque année.

Au sein de l’organisation sont recensés :

  • 12 000 utilisateurs finaux des applications assujetties à la loi SOX.
  • 200 utilisateurs dotés de privilèges élevés.
  • 150 utilisateurs ayant accès à des infrastructures sensibles hébergeant des applications, des bases de données et des systèmes d’exploitation.

Les problématiques auxquelles l’organisation est confrontée sont les suivantes :

  • Les contrôles de séparation des tâches (Segregation of Duties, SoD) exécutés ne permettent de disposer que de résultats partiels, incomplets. En parallèle, la présence de faux positifs est constatée : des combinaisons de droits toxiques sont détectées à tort.
  • Le principe de séparation des tâches (SoD) n’est pas inclus dans les campagnes de revues des droits d’accès qui sont menées.
  • Seules trois applications sensibles font l’objet d’une surveillance.

 

Brainwave Identity Analytics : quelles réponses ont pu être apportées ?

En faisant appel à Brainwave Identity Analytics, les difficultés rencontrées par l’entreprise ont pu être traitées. En l’espace de six mois, l’organisation disposait de solutions actionnables et satisfaisantes pour adresser ses problématiques.

Aujourd’hui :

  • Les comptes à privilèges font l’objet d’un suivi renforcé.
  • La conformité peut être démontrée au cours des audits menés.
  • Des contrôles additionnels relatifs à la sécurité des données de l’organisation ont été mis en place.
  • Des campagnes de revues des droits d’accès utilisateurs relatives aux activités métiers sont lancées sur plus de 80 applications.

 

Construire une stratégie qui s’appuie sur l’identity analytics

Une fois les bénéfices de l’identity analytics identifiés, comment procéder pour l’inclure dans sa stratégie de cybersécurité de façon à démontrer la conformité des droits d’accès de son organisation ?

Le déploiement d’une stratégie dédiée repose sur trois principaux piliers :

  • Les défis à relever : comment appréhender la question de la résilience, faire face aux transformations auxquelles sont en proie les organisations et instaurer une gouvernance des identités et des accès ?
  • Les données sur lesquelles s’appuyer : quels sont leur origine, leur format, leur contenu et comment y accède-t-on ?
  • Les ressources internes pour adresser les différentes problématiques : qui pilote le programme, qui en est responsable ? Qu’en pensent les responsables métiers ? Comment interviennent-ils ?

Afin de déterminer la meilleure stratégie à adopter, le recours à une phase d’expérimentation concrète de l’identity analytics appliquée aux besoins de l’entreprise peut être pertinente. Voici quelques exemples de cas concrets et de méthodologies associées que les organisations n’hésitent pas à tester pour en éprouver l’efficacité au regard de leurs besoins.

#1 Challenge Adhérer aux recommandations d’audit relatives aux droits d’accès.
Approche Exploiter l’identity analytics sur un périmètre de revue restreint de façon à observer concrètement l’impact de l’identity analytics et sa capacité à résoudre les difficultés initiales rencontrées en amont, pendant et après les campagnes.
#2 Challenge Optimiser ses coûts, gagner en maturité dans le contexte d’un secteur réglementé
Approche Recourir à l’identity analytics pour l’exécution des revues des droits d’accès, observer l’évolution des performances et de gain en matière d’efficacité opérationnelle,qui sont autant de vecteurs d’adhésion des équipes métiers.
#3 Challenge Automatiser les contrôles
Approche Nettoyage des données, role mining, demandes d’accès intelligentes, connexion à un outil de ticketing : évaluer les avantages que procure l’identity analytics dans le cadre de toutes ces étapes de travail liées aux identités et droits d’accès.

L’identity analytics : un composant essentiel de la stratégie cyber des entreprises

RSSI, équipe IT ou équipe métier : le recours à l’identity analytics comporte des bénéfices certains qui profitent à l’ensemble de l’organisation, tous départements confondus. Cette science de l’analyse des droits d’accès et des identités constitue un outil puissant qui simplifie le quotidien des équipes tout en renforçant la protection des actifs à l’échelle de l’organisation entière.

Grâce à l’identity analytics, s’assurer que chaque droit d’accès, chaque permission est octroyée à la bonne personne au bon moment et pour les bonnes raisons devient aisé. De cette manière, les risques de vol, de compromission de données ou d’activités frauduleuses est réduit.

1 Notamment dans l’étude publiée par Gautham Mudra, « Best Practices for Optimizing IGA Access Certification », Gartner, 4 avril 2022
2 Identity-First Security, par exemple
3 On pense ici notamment à l’approche Zéro Trust, qui balaye la notion de confiance implicite et s’affranchit de fait des modèles traditionnels de cybersécurité.
4 SailPoint Identity Report, 2019
5 Chris Bunn, « A Third of Ex-Employees Accessing Company Data », IS Decisions.
6 Kelly Sheridan, « 50% of Ex-Employees Can Still Access Corporate Apps », DarkReading.
7 KPMG, Global Profiles of The Fraudster.

The post Identity analytics : la solution pour reprendre le contrôle des droits d’accès et données d’identité appeared first on Brainwave GRC.

]]>
Identity Analytics: Are You in The Know? https://www.brainwavegrc.com/fr/identity-analytics-are-you-in-the-know/ Thu, 15 Jun 2023 14:23:30 +0000 https://www.brainwavegrc.com/?p=41358 The post Identity Analytics: Are You in The Know? appeared first on Brainwave GRC.

]]>

Identity Analytics: What is it all about?

One of the hottest topics in the world of cybersecurity today is identity analytics. However, few people truly know what it is and what it means. Simply put, identity analytics helps companies to reduce risk and prove compliance based on identity-related data. They ingest and correlate all types of data within an information system, whether it be from repositories, directories, applications, or HR files, and then provide actionable information as well as show any anomalies or gaps that are detected. In this way, identity information is monitored, and risks are highlighted and reported to avoid this.

risks without identity analytics

Identity analytics show organizations who has access to what resources and can help managers be sure that the right person has the right access to the right resource at the right time. Techniques are included that provide insight into dormant and leaver accounts, incorrect entitlements, misaligned descriptions and other data quality issues. Advanced analytics can go even further by assigning risk scores to anomalies which helps with adherence to compliance and security policies. Unusual behavior can be tracked and access rights can be visualized with mapping techniques that show a 360°view of an identity’s access and accounts across the information systems.

 

Identity Analytics: The Enigma of Poor Data Quality

One of the most important aspects of using an identity analytics tool is the ability to clean up poor quality data and, once completed, to maintain the level of quality moving forward. These tools are designed and based on a simple but fundamental principle: only accurate, complete and validated data can allow for the making of sound decisions. According to Gartner,

“Through 2022, identity governance and administration implementations that start with cleanup analytics will show twice the ROI as ones that don’t.”1

Many tools provide an automated solution for manual processes which still exist today. Besides the cost and time savings, automation provides a level of accuracy that cannot be obtained from tasks that are prone to human error. This simplification is appreciated during audit operations when time is of the essence and errors can be costly. Reporting based on the results of these processes is generated instantaneously and offers a level of precision that cannot be had by other means.

How Identity Analytics Tackles Zero Trust

In today’s world of increased cyber threat, the first line of defense is monitoring identity access within any organization. The focus is on Zero-Trust, which entails the dynamic authorization of all users of company resources and assets every time they try to access to them. The continuous review and validation of whether this access is needed ensures that the company’s security posture is being upheld. Some of the key forms of cyber risk today include insider threat by current employees or third-party collaborators, theft of credentials and privileged account manipulation. To fight back, many organizations rely on identity analytics solutions to improve, monitor and govern their access policies and entitlements. In this way, risk related to access can be mitigated and compliance with both internal and external security policies and regulations can be controlled.

 

Identity Analytics: Key Functions for Cyber Defense

The following summarizes the necessity of identity analytics and the key role it plays in a company’s defenses against cyber risk.  An identity analytics solution aims to:

  • identify who works for the company, who can access infrastructures, applications or data, and what privileged accounts are present in the information system.
  • check for data quality issues, orphaned, dormant, blocked and leaver accounts.
  • verify that the principles of least-privilege, need-to-know, separation of duties and generally of security policies are being respected.
  • detect user risk, residual access rights, atypical situations and abnormal changes.
  • involve business managers, launch access review campaigns, and save time by automating and simplifying the process for all stakeholders.

 

Identity Analytics: Why do we need it?

“Credentials are the favorite data type of criminal actors because they are so useful for masquerading as legitimate users on the system.”2

Because of this, identity analytics should be front and center to combat them. However, there is a fine line between granting access and assessing the risk linked to doing so. Security policies must be respected while giving employees the level of access and permission they need to perform their job functions.

Two things that destabilize companies with regards to their security posture are how quickly cyber criminals change and fine-tune their attacks and how difficult it can be for the threats that lead to the attacks to be seen. What makes this most stressful is the fact that such a high number of identities have access to so many databases, applications and networks, whether or not these identities reside within the organization itself. Managing employees and third parties with external access to an organization’s information systems is just an extra layer of protection that needs to be considered. Because credentials that are accessed or stolen is high on the list of ways that hackers enter a company’s networks, it is obvious that the focus should be on monitoring and governing the identities, the permissions they have, and the assets and resources to which they have access.

Identity Analytics: Protect Yourself and Your Company

The most effective method to manage this in today’s cyber-threatened world is to implement an identity analytics solution. The information that is provided is critical to keeping companies safe and protected from fraud and infiltration. Some of the key features of identity analytics solutions available on the market can help to:

  • verify that the principle of least privilege is in place and unnecessary and illegitimate access rights are removed,
  • perform access certifications based on controls and the risks highlighted and ranked as a result,
  • monitor and control privileged accounts which require extra scrutiny due to the sensitive nature of the resources they access, and uncover toxic access combinations within the realm of segregation of duties guidelines.

 

The Principle of Least Privilege

In a perfect world, people should only be able to access assets, systems and resources that directly relate to the functions linked to their job responsibilities. Although it is a goal, this perimeter often slips for several reasons.

One of the main reasons is that the person changes jobs internally. Sometimes it is easier to just add new permissions and entitlements that are aligned with the new position than to research all the existing access that was granted for the past one. If the new position is a promotion, the thinking is that there is less of a risk for the employee to keep his previous access rights because he can be “trusted.”

Another reason why an employee might have stepped-up access that gives him the ability to utilize certain resources is because he was temporarily assigned to a special project. During the life of the project, these permissions allow him to access what he needs to do the job. But what happens when the project is completed? Very often, the fact that the permissions were temporarily granted is forgotten, and the employee moves forward with a new level of access rights that no longer fits his level of responsibility.

Identity analytics has a goal of keeping an eye on privileged access and the behavior of those who have it granted to them. If any anomalies or misuse surface, the tool will highlight the issues and suggest corrective actions that will mitigate the potential risk.

 

Access Certification based on Risk Scoring

In today’s digital world, people tend to have more access rights than are typically needed for their job. But how can companies keep up with the exponential increase in privileges to access their data, applications and networks? Some try to do it manually, but it is a tedious, time-consuming task that managers would just as soon ignore – and some of them do. When asked to review the access rights assigned to the members of their team, they quickly glance over it and hastily approve them without properly considering the possible security issues that these actions could cause the company down the road.

What identity analytics tools provide is an automated way to get access certification quickly, effectively, and accurately. Through machine learning (ML) and artificial intelligence (AI) techniques, all data sources from a company’s information system are collected and correlated, and based on behavior and usage, a risk score for each identity is provided. These risk scores can be configured to alert management to the highest levels of risk and the users associated with them. By addressing the riskiest cases first, the overall potential for cyber threat is reduced in a sweeping manner. Some organizations choose to focus on the identities with the highest risk to reduce the frequency of their access review campaigns. But even if the decision is to perform the certification on all the accesses, the identity analytics solutions can handle that in an automated and efficient way, including data ingestion and remediation suggestions to improve the amount of time that review owners must spend on this task

 

Privileged Account Monitoring

Typically, two types of privileged accounts can be present with a company:

  • user accounts with heightened administrative privileges, and
  • service or technical accounts used by applications or in other operational processes.

Cyber criminals know that they will hit pay dirt if they can find a way to infiltrate a company using a privileged account that will easily lead them to some of the most sensitive data and information within its information systems.

Thankfully, software solutions that focus on identity analytics can hone in on any changes in privileged access, seeing who authorized it and what resources can be utilized while, at the same time, scanning for unused privileged accounts that could be ripe for attack by a malicious corporate intruder. Any attempt, whether intentional or not, to share credentials or give access to safes that were not authenticated through the stringent provisioning processes will be spotted and flagged with the tool.

Segregation of Duties

Segregation of Duties (Sod) is a concept linked to a company’s security policies that monitors and controls a user’s access to prevent a toxic combination of permissions that could potentially create significant risk to its assets. An example of this would be if someone in the finance department had permission to write checks and also sign them. This is the perfect storm for someone who wants to partake in fraudulent activities that could lead to significant finance loss. Very often, the first activities involving tampering of any kind fly under the radar and are not noticed until it is too late.

One of the ways to detect any type of violation related to toxic access combinations is by using an identity analytics tool that will, upon referencing a company’s SoD matrix, uncover any anomalies and overlapping access right combinations that could permeate internal security policies and regulations. The visibility that is provided with the tool helps management to better monitor and control the granting of access that could create potential risk if coupled with conflicting permissions elsewhere.

 

Identity Analytics: How does it work?

A remarkably simple definition of identity analytics can be stated here: Identity analytics is the science of analyzing access rights. The five main objectives of using identity analytics as a means of ensuring compliance of access rights are:

  • identifying who is who and who has access to what,
  • verifying compliance with security polices and certifying user access,
  • detecting anomalies and scoring the level of risk,
  • performing general controls to mitigate issues, and
  • recommending access rights and revocations.

 

Identity Analytics: Painting the Picture

The diagram below is a clear and understandable explanation of how one can envision an identity analytics solution at work. First, an agnostic approach to data collection and ingestion helps connect to all data sources such as repositories, directories, databases, applications, HR data and shared files, to name a few. Data ingestion can be done with prefabricated connectors or by using extraction scripts and uploading flat files into the tool. Once ingested, the data is correlated and analyzed to provide an identity inventory and any anomalies found during the correlation process.

identity analytics: How it works

By cleaning the data of its inconsistencies, missing information and other errors, performing the various functions will lead to more successful results instead of gaps and defects linked to data quality. It is a best practice to review the data quality and perform the cleaning upon each ingestion so that, once cleaned the first time, it can maintain its high level of accuracy. This is referred to as the “Get Clean, Stay Clean” approach.

Once the data quality has been analyzed and improved, the identity analytics tools can then proceed with providing the following services:

  • an access inventory, the first step towards access rights monitoring and governance
  • automated access reviews of user, service or technical accounts to meet compliance guidelines
  • role mining functionality and catalog creation to help streamline the certification process, and
  • segregation of duties controls to uncover toxic access combinations that can compromise a company’s security posture.

 

Rebuilding the Access Chain with Identity Analytics

One of the key features of an identity analytics tool is its capability of rebuilding the chain of access once the data is initially ingested and correlated. As shown below, there are a series of questions considered to reconstruct the way that access was granted and if it is legitimate.

To start, the main question is this: Why was access granted? What resources were meant to be utilized with the assignment of the rights linked to this access? Once answered, the next step is to see to whom or what this access was assigned. This is often referred to, in a general way, as an identity. Thirdly, there is scrutiny as to how this identity gained access. What was the process, and who approved it? Similarly, the tool will naturally drill down to hone in on the resources and systems to which this identity has access. What permissions have been granted, and are they necessary? Is there any potential over-allocation of rights linked to this identity’s access privileges? And finally, by using logs and other login data, there is traceability as to what was accessed, when it was accessed and what was done with that information. Is it within the scope of the identity’s job function? Did any activity seem suspicious or out of line?

identity analytics:rebuild the access chain

Identity Analytics: Retaining Historical Data with Snapshots

One of the most appreciated features in certain identity analytics tools is the ability to retain historical identity data in a series of snapshots. What this means is that each time that data is ingested, correlated and analyzed, a “state of the data” image is taken and held within the tool.

This is the feature that is most appreciated by auditors who, when issues and inconsistencies arise, have the recourse to go back and look at the data the way it was prior to the anomaly occurring. It also assists with a quick way to focus on delta changes that may have happened since the last time the snapshot was taken. These identity data snapshots are kept as long as necessary or needed and are updated each time that data is ingested and utilized for an identity inventory, access review or other function.

identity analytics - historical view of all access data

Identity Analytics: The Benefits

Now that we have focused on why organizations rely on identity analytics solutions to protect from cyber risk and how these solutions work, there are true benefits and advantages of implementing this powerful tool. In addition to uncovering risks linked to identity data, such as orphaned, dormant and leaver accounts, these tools are the go-to solution to:

  • Get a 360°-view of who has access to what, no matter the means of using that access, such as on-premise or in the cloud
  • Use a system of risk scoring to help companies target the most problematic accounts, whether they be user, service, or technical, and speed the clean-up of compliance gaps
  • Reduce the attack surface by monitoring and governing all access points
  • Take advantage of IT general controls and integrated reporting features to help with audits and adherence to both internal and external security policies.
  • Implement zero-trust initiatives by relying on the principles of least privilege, need-to-know and segregation of duties.

 

Identity Analytics: The Go-To Solution

In this world of the ever-increasing number of identities within a corporation’s information systems, in addition to the number of directories, databases and applications than need to be accessed daily, the benefits of having an identity analytics solution that provides overall visibility into this jungle of data and information is the foundation to maintaining security, protecting data and resources and fighting back against cyber threat.

 

Identity Analytics: The Best Choice to Enhance an IAM Program

An Identity and Access Management (IAM) tool has as its prime goal to monitor and manage access that users have to systems, data, applications and other resources and that this access is aligned with the functions that are performed within the scope of his or her position.  Additionally, IAM helps to govern these accesses with respect to any internal or external security policies, preparing to prove compliance to auditors.

Many IAM projects get started with the best of intentions and energy.  However, rather quickly, the processes become unwieldy, and the results are less than satisfactory.  Gartner has even been quoted as saying that over half of the attempted IAM program deployments end in failure because of the inherent difficulties executing them.

This is where identity analytics can step in and support these efforts. Obstacles and frustration melt away as these tools can help set up the foundation of an effective IAM program. The scope and perimeter of the data to be analyzed is enlarged, and the data itself is subject to cleaning. Without this step, any results that are produced can have a high level of inaccuracy. There is also the risk that all permissions and access rights are not ingested, giving only partial visibility to what the program is trying to do: manage identity access.

Identity analytics is the best way to have a thorough understanding of who has access to what resources, which is the springboard to an effective and successful IAM program for any company. Additional details about how and why to start any IAM project with identity analytics can be found in this article on the subject.

Identity Analytics: The Only Surefire Way to Monitor and Protect Access

In summary, utilizing identity analytics is a crucial part of access management in a world of increasing cyber threat and allows the user to:
– identify and analyze all data sources and access rights present in all systems within the company,
– consolidate the data by automatically and continuously correlating it (for example, Active Directory repositories and HR data), and
– view the data’s history in report format to perform comparative analyses.
Facilitate decisions, demonstrate access right compliance to auditors, and detect all the risks related to access rights of user, application and technical accounts. This is what a dedicated identity analytics solution promises and makes the return on investment worth its weight in gold.

1 Katherine Cola, Identity Analytics and the ‘2019 Gartner Magic Quadrant for Identity Governance and Administration, Security Intelligence, October 18, 2019
2 Verizon, Data Breach Investigation Report, 2022

The post Identity Analytics: Are You in The Know? appeared first on Brainwave GRC.

]]>
Brainwave GRC rejoint le groupe Radiant Logic. https://www.brainwavegrc.com/fr/brainwave_grc_rejoint_le_groupe_radiant_logic/ Tue, 18 Apr 2023 06:30:14 +0000 https://www.brainwavegrc.com/?p=39418 The post Brainwave GRC rejoint le groupe Radiant Logic. appeared first on Brainwave GRC.

]]>

Cette opération renforce le positionnement de leader sur le marché de la gouvernance et de l’analyse des identités ; elle consolide la présence du groupe sur les marchés Amérique du Nord, Europe, Moyen-Orient et Afrique.

ASNIÈRES SUR SEINE, FRANCE, le 18 avril 2023.

Brainwave GRC, leader de l’Identity Analytics basé en France, annonce aujourd’hui rejoindre officiellement le groupe Radiant Logic, entreprise américaine spécialisée dans l’Identity Data Fabric (« Référentiel interconnecté de données d’identité »). Le rachat de Brainwave GRC par Radiant Logic concrétise une vision partagée par les deux entités pour développer l’Identity Data Fabric, qui a pour but d’exploiter les données d’identité dans l’objectif de mettre à disposition les bonnes informations pour prendre les bonnes décisions stratégiques.

« En matière de solutions cybersécurité, de gouvernance et de conformité, la demande du côté des entreprises est exponentielle. Aujourd’hui, les entreprises sont tenues de faire face à des menaces de sécurité croissantes. Dans le même temps, les contraintes réglementaires de sécurité et de conformité auxquelles les entreprises doivent adhérer se multiplient et les sanctions en cas de non-respect sont de plus en plus fréquentes. » a déclaré Joe Sander, CEO de Radiant Logic.

« En unissant nos forces à celles de Brainwave GRC, nous serons en mesure de dégager une valeur considérable pour nos clients actuels et futurs en libérant la puissance des données d’identité pour les aider à véritablement transformer l’environnement informatique de leur organisation. Notre plateforme commune permettra aux organisations de disposer d’une agilité et d’une flexibilité sans précédents pour leur infrastructure et leurs processus métier, tout en assurant la continuité des activités, en adoptant une posture de sécurité pérenne et en réduisant les coûts de la nécessaire mise en conformité de leurs identités et droits d’accès ainsi que ceux des programmes IAM ou IGA. »

Cyril Gollain, CEO et cofondateur de Brainwave GRC, a déclaré : « Notre fusion avec Radiant Logic est une évolution naturelle pour Brainwave GRC, qui sera génératrice de valeur pour nos clients comme pour nos employés. Notre plateforme commune apportera un éclairage exceptionnel et nouveau sur le rôle que les données d’identité jouent au sein des entreprises et accélèrera les innovations dans l’Identity Analytics comme dans l’IGA.

Nous sommes ravis de rejoindre Radiant Logic, une entreprise à la réussite incontestable, que notre expérience de l’analyse des droits d’accès et notre présence dans la région EMEA contribuera à faire prospérer. »

Ce rachat permettra – tant à Radiant Logic qu’à Brainwave GRC – de renforcer sa posture d’expert dans le secteur des données d’identité en offrant aux entreprises de nouvelles capacités de gouvernance centrées sur la donnée et une plateforme intelligente de référence pour les données d’identité. En concentrant leurs technologies et leurs expertises en une seule plateforme, Radiant Logic et Brainwave GRC donnent à leurs clients la possibilité d’accélérer leur retour sur investissement en s’affranchissant du déploiement complexe d’un système IGA. Les équipes d’audit et de conformité pourront se concentrer sur l’essentiel : obtenir, à la demande, des données fiables et actualisées.

Le potentiel de l’Identity Analytics de Brainwave GRC allié à la puissance de mise en corrélation des données d’identités de Radiant Logic permettra de révéler le comportement des utilisateurs au sein de l’entreprise en quasi-temps réel. Cela contribuera ainsi à faire évoluer la capacité des entreprises à détecter les cyberattaques, les activités frauduleuses ou encore les mouvements latéraux internes menaçants.

Radiant Logic + Brainwave GRC constitue une combinaison gagnante permettant de fournir un socle de sécurité inégalé avec une approche « Zero Trust » et « Identity-First », et ainsi de renforcer la sécurité des données, de réduire les coûts d’audit et de conformité, et d’améliorer la perception et la compréhension des comportements malveillants.

Fondée en 2010 en France, Brainwave GRC s’est bâti une solide réputation en aidant les entreprises de la région EMEA à assurer la conformité de leurs droits d’accès et à protéger leurs actifs contre la fraude et les cybermenaces. Grâce à sa technologie, Brainwave GRC a la capacité de fournir des rapports exhaustifs et précis relatifs à la gouvernance des droits d’accès. Ces derniers permettent notamment de détecter les risques liés aux droits d’accès et de démontrer la conformité des droits d’accès des entreprises via la production automatisée de rapports horodatés prêts à l’emploi, en adéquation avec les standards réglementaires en vigueur.

Les capacités d’Identity Analytics de Brainwave GRC viennent compléter celles de Radiant Logic en matière de gestion des données d’identité, afin d’étendre l’offre sur le segment de marché de l’IGA.

« Notre priorité a toujours été de viser l’excellence et la valeur dans ce que nous apportons à nos clients. L’intégration des produits à venir avec Brainwave GRC va non seulement permettre de rationaliser les infrastructures IAM et IGA, mais également mettre en lumière toute la valeur de la science des données et des analyses approfondies appliqué au périmètre de l’identité », a déclaré John Pritchard, Chief Product Officer au sein de Radiant Logic. « La plateforme Brainwave GRC constituera un élément central sur lequel nous pourrons nous appuyer pour déployer les nouvelles capacités d’intelligence de RadiantOne, concrétisant la vision d’un référentiel interconnecté de données d’identité. »

« Radiant Logic et Brainwave GRC est le duo gagnant qui sera en mesure de fournir des capacités inégalées pour une nouvelle approche de la sécurité des personnes et des accès, centrée sur les identités », déclare Sébastien Faivre, CTO et cofondateur de Brainwave GRC. « Nous sommes convaincus qu’en combinant notre expérience en matière d’Identity Analytics avec l’expertise de Radiant Logic en gestion des données d’identité, nous disposons de tous les moyens nécessaires pour donner naissance à une nouvelle solution innovante basée sur l’intelligence artificielle et le machine learning, dont les capacités vont être optimisées par les données issues de la plateforme RadiantOne. »

Brainwave GRC conservera une activité indépendante dans un premier temps, tandis que les solutions Brainwave GRC continueront d’être améliorées et de bénéficier d’un support, pour à terme converger avec celles de Radiant Logic.

Les conditions du rachat n’ont pas été rendues publiques.

Contacts Media
Nicolas Drouault – Brainwave GRC –  nicolas.drouault@brainwavegrc.com
Heather MacKenzie – Radiant Logic – hmackenzie@radiantlogic.com

The post Brainwave GRC rejoint le groupe Radiant Logic. appeared first on Brainwave GRC.

]]>
Automatisation de vos revues des droits d’accès : quels bénéfices concrets pour votre organisation ? https://www.brainwavegrc.com/fr/automatisation-de-vos-revues-des-droits-dacces-quels-benefices-concrets-pour-votre-organisation/ Mon, 06 Mar 2023 15:15:06 +0000 https://www.brainwavegrc.com/?p=39786 The post Automatisation de vos revues des droits d’accès : quels bénéfices concrets pour votre organisation ? appeared first on Brainwave GRC.

]]>

Comment savoir qui a accès à quoi au sein de mon organisation ?

Aujourd’hui, une grande majorité des organisations a recours à la revue des droits d’accès ou revue des habilitations de sorte à respecter tant leur politique de sécurité interne que les exigences réglementaires externes relatives à la conformité de leurs droits d’accès (ISO 27001, ISO 27002, ISAE 3402, SOC 1 et 2, SOX, CMMC, HiTrust, Hipaa, CRBF, Solvency).

Mais la revue des droits d’accès n’est pas uniquement l’apanage de la sécurité et de la conformité des droits d’accès. Son exécution permet notamment de collecter un certain nombre d’informations précieuses sur les modalités d’accès des utilisateurs aux ressources de l’organisation.

De fait, nombre d’entreprises utilisent la revue des habilitations comme un moyen de cartographier les droits d’accès aux données, applications, fichiers partagés, serveurs et réseaux. Via l’exécution de campagnes de revues des droits d’accès, il leur est dès lors possible de savoir précisément qui accède à quoi au sein de l’organisation et suivant quelles modalités.

Les droits d’accès de mon organisation sont sujets à des changements : comment les identifier et les maîtriser ?

Nouvelles recrues, départs, mobilités internes : les mouvements fréquents de personnel au sein des organisations génèrent de nombreux changements relatifs aux droits d’accès. Il en est de même lorsque l’organisation fait appel à des prestataires ou collabore avec des partenaires et des distributeurs externes. L’ensemble de ces mouvements entraîne automatiquement l’attribution, la modification ou la suppression de droits d’accès.

Comment dans ce contexte suivre de près l’évolution perpétuelle des droits d’accès d’une organisation ? Le moyen le plus efficace pour monitorer et contrôler ces changements est de mener des campagnes de revue des droits d’accès appliquées à l’ensemble des identités qui accèdent aux actifs et aux ressources de l’entreprise.

Cette approche s’inscrit dans une logique de « Get Clean, Stay Clean » qui nous est chère au sein de Brainwave GRC. Une fois les données nettoyées et mises en qualité, il s’agit de maintenir le niveau de qualité atteint. Pour y parvenir, l’exécution régulière de contrôles appliqués aux droits d’accès en est la clé !

Pourquoi inclure la revue des habilitations dans ma stratégie de cybersécurité ?

Les menaces de cybersécurité qui planent sur les organisations aux quatre coins du globe se multiplient et se diversifient. Leur coût pour les entreprises est colossal.

Uber et T-Mobile en ont d’ailleurs récemment fait l’expérience : des données commerciales ont été perdues ou compromises, des systèmes financiers ont été infiltrés et démantelés, des systèmes et serveurs informatiques ont été partiellement ou entièrement mis hors service. Les attaques auxquelles ces deux géants ont été exposés ont occasionné des dépenses de plusieurs millions de dollars et ont nécessité des moyens humains conséquents pour rétablir et consolider la sécurisation de leurs actifs.

Outre la nécessité pour les organisations de supporter le coût de ces attaques, une question se pose pour toutes les entreprises qui en sont victimes : comment évaluer l’impact concret de ce type d’attaque sur leurs ressources ? L’exécution de campagnes de revues des droits d’accès périodiques et continues y contribue fortement : les organisations qui y ont recours sont à même d’estimer les conséquences précises d’une éventuelle attaque.

De fait, la revue des droits d’accès doit être considérée comme un élément constitutif de votre stratégie de cybersécurité : elle vous permet de savoir qui a accès à quoi et de conserver un historique et une traçabilité de ces informations.

Leader de l’analyse et du contrôle des droits d’accès et des identités, Brainwave GRC accompagne les organisations de façon qu’elles puissent identifier précisément qui a accès à quoi au sein de leurs systèmes d’informations.
Nous offrons aux entreprises la capacité de disposer d’une meilleure compréhension de leurs droits d’accès et de maîtriser les risques qui y sont associés tout en reprenant le contrôle des identités présentes dans les systèmes.

En ayant recours à Brainwave Identity Analytics, les organisations acquièrent entre autres la capacité de :

  • recenser les collaborateurs répertoriés au sein des référentiels de ressources humaines (RH) disposant de droits d’accès aux actifs de l’entreprise.
  • s’assurer que les droits d’accès aux applications, infrastructures et données qui sont octroyés sont légitimes et respectent les principes de moindre privilège et du besoin d’en connaître.
  • détecter les droits d’accès restés actifs après le départ d’un collaborateur ou d’un prestataire.
  • répertorier les comptes à privilèges, qui donnent accès aux ressources les plus critiques de l’entreprise.
  • mettre en évidence les comptes orphelins ou encore les comptes dormants.

Via la collecte, la mise en qualité et la corrélation de toutes les données présentes au sein des systèmes d’information relatives aux droits d’accès et aux identités, via l’automatisation des campagnes de revues, Brainwave Identity Analytics permet à toutes les parties prenantes de l’exercice de la revue (propriétaires d’applications, de référentiels, de systèmes, réviseurs) de reconstruire la chaîne des accès en un temps record et de faire du cauchemar de la revue manuelle un lointain souvenir. En parallèle, notre équipe sensibilise également les organisations aux bonnes pratiques à observer pour optimiser le déroulement de leurs campagnes.

 

Revue des droits d’accès : les 10 règles d’or à mettre en pratique

Pour optimiser l’exécution de vos revues des droits d’accès, voici quelques conseils et bonnes pratiques qui vous permettront de faciliter l’exercice et d’améliorer son efficacité.

 

Phase I : Préparation de la revue des droits d’accès

1. Mettre sur pied une stratégie claire

Objectif visé, type de revue, fréquence d’exécution, délais impartis, stratégie de remédiation : prendre en compte l’ensemble de ces paramètres en amont du lancement de votre campagne vous permettra de la cadrer et d’identifier les éventuels points bloquants.

2. Définir le périmètre à revoir

Détection des accès à privilèges, des droits d’accès ayant été modifiés, des écarts et anomalies : délimiter le périmètre à revoir vous permettra de gagner un temps précieux ! Ne revoyez que les droits d’accès pertinents au vu de l’objectif que vous vous êtes fixé.

3. Détecter les éventuelles incohérences au sein de votre campagne

Vérifiez le principe de « Consistency and Accuracy » : la campagne que vous vous apprêtez à mener doit être cohérente, exhaustive et doit correspondre parfaitement au périmètre défini au regard de l’objectif visé.

4. Informer les responsables métiers des enjeux de la campagne

Veillez à communiquer avec les responsables de la revue : énoncez clairement les objectifs et les tâches qui incombent à chacun, assurez-vous que la mission qui leur est confiée est comprise et soulignez l’importance de leur rôle dans l’exercice. Leur implication est décisive et garante de l’efficience de la campagne menée.

 

Phase II : Lancement de la campagne de revue des droits d’accès

5. Prêter attention à la qualité des données.

Assurez-vous que les données soient à jour, compréhensibles et facilement interprétables par les équipes métiers concernées. Ainsi, leur prise de décision sera facilitée et sera d’autant plus pertinente.

6. Faire de la revue des accès utilisateurs un exercice agréable.

Dites adieu aux feuilles de calcul : offrez à vos équipes une expérience de revue plus conviviale et ergonomique à l’aide d’une solution dédiée. Si les informations sont lisibles et aisées à interpréter, la validation des données n’en sera que simplifiée. Votre campagne aura ainsi toutes les chances d’être correctement exécutée.

7. Associer une méthodologie claire à un outil d’automatisation.

Automatisez et rationalisez vos campagnes à l’aide d’une solution d’automatisation. Les processus seront simplifiés, le pilotage des campagnes sera facilité pour vos équipes et vous gagnerez un temps précieux. Par ailleurs, vous pérennisez l’exercice : quelques clics suffiront à lancer vos campagnes de revues ultérieures.

8. Fournir des éléments de décision.

Facilitez l’accès des réviseurs aux détails des comptes et des applications, aux anomalies détectées et à l’historique des décisions prises au fil du temps. Grâce à ces informations complémentaires, la qualité des décisions prises sera améliorée.

 

Phase III : Collecte des résultats à transmettre aux auditeurs et déclenchement des actions correctives

9. S’assurer que les campagnes de revues soient suivies de corrections

La planification et l’exécution des actions correctives relatives aux droits d’accès sont nécessaires pour démontrer la conformité. Qui plus est, l’effort des équipes sera reconnu s’il est suivi d’effets et l’exercice de la revue sera perçu comme utile et bénéfique par tous.

10. Estimer le temps consacré à votre revue des droits d’accès utilisateurs

Faites le point : combien de temps a été consacré à votre dernière campagne ? Les délais fixés ont-ils été respectés ? L’objectif est-il rempli ?
Dans tous les cas, si vous percevez toujours la revue des droits d’accès comme un exercice long et pénible, il est toujours utile de questionner votre approche et de songer à vous équiper d’un outil dédié… Comme Brainwave Identity Analytics !

 

La revue des droits d’accès avec Brainwave Identity Analytics, comment ça marche ?

Outre son implémentation rapide, Brainwave Identity Analytics comporte un atout majeur : de l’ingestion agnostique de données (via Active Directory, les fichiers RH, applications, bases de données, dossiers partagés, fichiers plats, etc.) à leur corrélation et leur mise en perspective sous la forme d’une représentation cartographique, tout est automatisé !

En un coup d’œil, vous savez qui a accès à quoi, pourquoi, quand et comment. Vous avez de la visibilité sur chaque identité répertoriée et chaque droit d’accès, compte, groupe à laquelle elle est associée.

automated user access reviews
Vous êtes un adepte des tableaux ? Qu’à cela ne tienne : vous pouvez également consulter toutes ces informations sous forme de tableaux croisés, en personnalisant la vue souhaitée par collaborateur, manager, chef de service, propriétaire d’application, de groupes ou encore par rôle. Au même titre que la cartographie qui vous est proposée, les données consultées au travers de tableaux peuvent être enrichies via des entrées cliquables, qui vous fourniront des informations supplémentaires.

Revue des droits d’accès utilisateurs : l’adoption d’une approche Get clean, stay clean

Outre la visibilité détenue sur les identités et leurs droits d’accès, exploiter le potentiel de Brainwave Identity Analytics pour l’exécution de vos revues des droits d’accès est une excellente opportunité de nettoyer et mettre en qualité vos données.

Accès dormants, comptes orphelins, comptes restés actifs après le départ d’un collaborateur : profitez de l’exécution de vos campagnes pour faire un grand ménage, révoquer les droits d’accès qui doivent l’être et mettre à jour les informations dont vous disposez pour toutes les identités en présence.

Avec Brainwave Identity Analytics, tout risque relatif au non-respect du principe de séparation des tâches (SoD) basé sur une matrice de conflits est recensé et corrigé. Les données peuvent ainsi être :

  • intégrées et mise à jour au sein de votre système d’IAM ou d’IGA,
  • partagées avec les chefs de service et les responsables informatiques pour validation,
  • transmises au responsable des ressources humaines afin qu’il mette à jour si nécessaire les informations relatives à chaque collaborateur de l’organisation.

Une fois cette étape de mise en qualité et consolidation des données achevée (get clean) via l’exécution de votre campagne de revue des droits d’accès, il s’agit désormais de maintenir ce niveau de qualité des données au fil du temps (stay clean). Poursuivez votre lecture pour découvrir comment y parvenir !

 

La revue des droits d’accès à l’épreuve de l’audit

Au-delà de la capacité de Brainwave Identity Analytics à faire la lumière sur vos droits d’accès, le recours à notre solution est un excellent moyen de préserver la qualité de vos données.

Notre technologie repose sur une approche photographique. Une fois vos données ingérées, Brainwave Identity Analytics les restitue et vous permet de reconstruire la chaîne des accès et identités à un instant donné. Vous disposez ainsi d’une visibilité à 360° des accès et des identités de votre organisation et avez la possibilité d’automatiser la production de rapports horodatés. Qu’il s’agisse de préparer votre prochaine campagne de revue des droits d’accès, de répondre aux questions des auditeurs internes et externes ou de garder un œil sur la situation à la suite d’une demande interné liée à un changement organisationnel (départ ou arrivée de collaborateurs, mobilité interne, etc.), vous disposez de tous les éléments nécessaires.

De la même manière, vous pouvez aisément réaliser un comparatif en rapprochant les rapports de revues dont vous disposez. Plus rien ne vous échappe : la mise en évidence des anomalies et des incohérences est facilitée, les risques liés au non-respect des politiques de sécurité internes sont rapidement identifiés. L’identification et la réduction des risques associés aux droits d’accès est facilitée, vous êtes en mesure de démontrer la conformité et de garder le contrôle des accès aux ressources de l’organisation.

Enfin, vous pourrez lors de vos prochaines campagnes vous concentrer sur le périmètre que vous considérez comme prioritaire en ne revoyant que les droits d’accès concernées. Réduction des risques, conformité des droits d’accès : pilotez et configurez vos campagnes suivant l’enjeu visé !
Dans le cas où vous souhaitez maintenir votre attention sur le périmètre revu lors de votre précédente campagne, profitez pleinement des bénéfices que procurent l’automatisation : vous n’avez plus qu’à lancer votre campagne sur la base des périmètres définis précédemment et répéter l’opération autant de fois que nécessaire.

 

Revue des droits d’accès : cap sur l’automatisation

Une chose est sûre : que vous souhaitiez savoir précisément qui a accès à quoi au sein de votre organisation, maîtriser les risques associés aux droits d’accès ou démontrer leur conformité, l’automatisation de vos campagnes de revues des droits d’accès est un formidable atout. Outre le gain de temps occasionné, l’utilisation de Brainwave Identity Analytics vous permet d’optimiser considérablement l’exécution de vos campagnes et de répondre aux contraintes auxquelles votre organisation est soumise.

Envie de faire un premier pas vers l’automatisation ? Contactez-nous, faites-nous part de vos besoins et programmons une démo pour vous faire découvrir en détail les fonctionnalités de Brainwave Identity Analytics !

The post Automatisation de vos revues des droits d’accès : quels bénéfices concrets pour votre organisation ? appeared first on Brainwave GRC.

]]>
Le règlement Digital Operational Resilience Act (DORA) : votre entreprise est-elle prête à s’y conformer ? https://www.brainwavegrc.com/fr/reglement-digital-operational-resilience-act-dora-votre-entreprise-est-elle-prete-a-sy-conformer/ Fri, 13 Jan 2023 11:23:09 +0000 https://www.brainwavegrc.com/?p=38870 The post Le règlement Digital Operational Resilience Act (DORA) : votre entreprise est-elle prête à s’y conformer ? appeared first on Brainwave GRC.

]]>

Règlement DORA : quelles nouvelles mesures de cybersécurité pour l’Europe ?

DORA : contexte, définition et enjeu

Après deux ans de travail, la Commission Européenne annonce l’entrée en vigueur d’une nouvelle réglementation, le Digital Operational Resilience Act (DORA) qui vise à renforcer la résilience informatique opérationnelle en instaurant un nouveau cadre de gouvernance et de contrôle interne. Depuis novembre 2022, la réglementation DORA est adoptée par le Conseil Européen.

L’adoption du règlement DORA s’inscrit dans la lignée des préconisations formulées en 2020 par l’Autorité bancaire européenne (ABE) et l’Autorité Européenne des Assurances et des Pensions Professionnelles (AEAPP), et auxquelles les institutions financières européennes ont été fortement encouragées à adhérer.

Dès lors, le déploiement de mesures de cybersécurité et la mise en œuvre de contrôles indépendants et objectifs s’appliquant aux données et ressources s’imposent aux entreprises.

Comme l’indique le Conseil de l’Union Européenne dans son communiqué de presse du 11 mai 2022, « Une fois que la proposition DORA sera officiellement adoptée, elle sera transformée en loi par chaque État membre de l’UE ».

 

Règlement DORA : qui est concerné ?

Banques, compagnies d’assurance, sociétés d’investissement et de gestion d’actifs : toutes les organisations issues du secteur financier Européen sont désormais dans l’obligation de promouvoir la résilience face aux risques liés aux Technologies de l’Information et de la Communication (TIC). De même, les fournisseurs tiers chargés de traiter données, dossiers et informations financières cruciales sont également soumis à ce cadre réglementaire.

Toutes les institutions et organisations financières se devront de respecter les normes techniques élaborées par les autorités européennes de surveillance (l’Autorité Bancaire Européenne (ABE), l’Autorité Européenne des Marchés Financiers (AEMF) et l’Autorité Européenne des Assurances et des Pensions Professionnelles (AEAPP)). Les autorités nationales compétentes respectives seront chargées d’assumer le rôle de surveillance de la conformité et feront appliquer la réglementation si nécessaire.

 

Qu’est-ce que la résilience opérationnelle informatique dans le contexte de DORA ?

La résilience opérationnelle informatique est le fruit d’une gestion efficace des risques opérationnels. Le principe de résilience opérationnelle informatique implique donc que des politiques et des règles internes et externes soient mises en place pour prévenir les incidents catastrophiques tels que les violations de données ou le cyber-vol par exemple.

À ce titre, l’identification et l’atténuation des risques, le déploiement de processus de surveillance et la réalisation de tests en continu permettent aux entreprises de réduire les potentielles perturbations dont leurs opérations pourraient faire l’objet, et ainsi de se préserver des répercussions potentiellement conséquentes occasionnées par les attaques cyber.

 

 

Le monde de l’entreprise à l’épreuve de la transformation numérique : pourquoi l’adoption de DORA est-elle nécessaire ?

Au cours de ces dernières années, le paysage des entreprises a radicalement changé. Nombre d’employés optent pour le télétravail, au moins une partie du temps.  Par conséquent, un certain nombre d’activités numériques quotidiennes ne se déroulent plus sur place : d’importants échanges de données potentiellement sensibles ou confidentielles se font notamment par le biais du cloud. Ce nouvel environnement entraîne par nature un niveau plus élevé de cyber-risque qui doit être traité de manière plus agressive que par le passé, et plus particulièrement dans le secteur financier. Et pour cause : ce secteur s’avère particulièrement prisé des pirates et cybercriminels.

Aussi, le cadre réglementaire proposé par le Digital Operational Resilience Act (DORA) invite les institutions financières de l’Union Européenne à réduire autant que possible les faiblesses de leurs systèmes et de leurs processus internes qui pourraient potentiellement augmenter les risques de cyber-attaques.

Pour cela, le recours à des outils, le déploiement de nouveaux processus et de directives appropriés est essentiel. De plus, maintenir une vigilance accrue des organisations tierces ayant accès à des ressources sensibles s’avère crucial.

Les entreprises soumises à la réglementation DORA devront ainsi produire des rapports, exécuter audits et tests de façon obligatoire pour démontrer le respect de ce nouveau cadre réglementaire.

 

Réglementation DORA :  quels objectifs et quelles deadlines ?

Cinq domaines principaux issus des Technologies de l’Information et de la Communication (TIC) et de la sécurité de l’information sont visés par le règlement DORA :

  • La résilience opérationnelle numérique
  • La gestion des risques
  • Le signalement et la gestion des incidents liés aux TIC
  • Le partage de l’information
  • La gestion des risques liés aux tiers.

Pour mettre en application les exigences relatives au règlement DORA, les organisations disposent d’un délai moyen de deux ans à compter de la date de signature de l’acte. Pour autant, la pleine adhésion à ces exigences prend du temps !

D’où la nécessité pour les entreprises de s’y atteler dès à présent et de veiller – dans un premier temps – à renforcer leurs politiques de conformité et de sécurité en vigueur. Des stratégies doivent être mises en place dès maintenant pour se préparer au déploiement officiel du règlement DORA.

Dans quelles mesures Brainwave GRC favorise l’adhésion de votre organisation aux directives énoncées dans la réglementation DORA ?

Selon un communiqué de presse du 28 novembre 2022 publié par le Conseil européen, « DORA fixe des exigences uniformes pour la sécurité des réseaux et des systèmes d’information des entreprises et des organisations opérant dans le secteur financier ainsi que pour les tiers critiques qui leur fournissent des services liés aux TIC.”  La première étape pour sécuriser le réseau et les systèmes d’information d’une entreprise consiste avant tout à savoir qui y a accès, à quoi et comment, qui a accordé l’accès, tout en s’assurant que les accès octroyés sont légitimes.

Pour vous permettre d’exécuter cette première étape sans accroc, Brainwave GRC vous accompagne à l’aide d’une solution logicielle à déployer dès aujourd’hui… Pour une transition plus douce demain !

S’appuyant sur une technologie unique, notre solution Brainwave Identity Analytics a été conçue pour vous permettre d’automatiser la détection, l’analyse, le contrôle et la réduction des risques liés aux problèmes de qualité des données, qu’elles concernent les identités ou les accès présents dans vos Systèmes d’Information (SI). Vous détenez ainsi une compréhension complète des droits d’accès de votre entreprise et êtes en mesure de savoir précisément qui a accès à quoi, comment et suivant quel niveau de permission.

La revue périodique des droits d’accès est, de loin, le composant d’Identity Analytics qui apporte le bénéfice le plus immédiat aux organisations. Au-delà de la capacité des équipes à répondre aux exigences d’audit, l’exécution automatisée de campagnes régulières de revue des droits d’accès favorise :

  • La sécurité et la protection des ressources de l’organisation.
  • La conformité des droits d’accès accordés aux employés.
  • L’adhésion aux politiques et règles de sécurité internes et externes en vigueur, y compris lorsqu’il est question de séparation des tâches (SoD, Segregation of Duties).

Une chose est sûre : si votre organisation doit se conformer à la réglementation DORA, le recours à Brainwave Identity Analytics peut s’avérer particulièrement efficace ! Alors, pourquoi attendre ? Faites le premier pas mettez toutes les chances de votre côté pour adhérer à DORA en contactant Brainwave GRC, l’expert dans le contrôle et l’analyse des identités et des droits d’accès !

The post Le règlement Digital Operational Resilience Act (DORA) : votre entreprise est-elle prête à s’y conformer ? appeared first on Brainwave GRC.

]]>
Gestion des identités et des accès : comment les solutions d’IAM s’adaptent-elles aux nouveaux besoins des organisations ? https://www.brainwavegrc.com/fr/gestion-des-identites-et-des-acces-iam/ Thu, 05 Jan 2023 10:46:51 +0000 https://www.brainwavegrc.com/?p=38656 The post Gestion des identités et des accès : comment les solutions d’IAM s’adaptent-elles aux nouveaux besoins des organisations ? appeared first on Brainwave GRC.

]]>

Aujourd’hui, les organisations ont conscience de la nécessité de protéger leurs données, applications et infrastructures des cyberattaques. À ce titre, nombre d’entre elles portent la plus grande attention à la sécurisation de leurs droits d’accès logiques. Non seulement parce qu’ils constituent l’un des premiers points d’entrée pour quiconque souhaiterait pénétrer leurs Systèmes d’Information (SI), mais aussi parce que ces derniers font l’objet de standards réglementaires de conformité et de sécurité auxquels les entreprises doivent adhérer. Aussi, les organisations mettent notamment en place des politiques de sécurité interne et recourent à des outils dédiés de façon à optimiser la protection de leurs droits d’accès logiques.

Le recours à la gestion des identités et des droits d’accès s’inscrit dans cette logique, et les différentes générations de solutions d’Identity and Access Management (IAM) témoignent de l’évolution des besoins relatifs à la gestion, au contrôle et à l’analyse des risques liés aux droits d’accès exprimés par les organisations. De plus en plus nombreux et diversifiés, ces besoins se doivent d’être couverts pour faire face aux menaces cyber grandissantes… Et la capacité des organisations à adapter leur stratégie est primordiale.

Dans quelles mesures les solutions de gestion des identités, de leur création à aujourd’hui, permettent-elles aux organisations de déployer un modèle de cybersécurité efficace et pertinent pour protéger leurs droits d’accès logiques ? Découvrons-le ensemble !

 

Gestion des identités et des accès (IAM) : définition

 

La gestion des identités et des accès est la discipline qui permet au sein d’une organisation de faire en sorte que les bonnes personnes disposent des bons accès aux bonnes ressources, au bon moment et pour les bonnes raisons.

Autrement dit, il s’agit de s’assurer que les identités possèdent uniquement les droits d’accès pour l’exercice strict de leurs fonctions au sein de l’entreprise, dans le respect des principes de moindre privilège et de séparation des tâches.
À ce titre, l’Identity and Access Management (IAM) repose notamment sur la gestion du cycle de vie des personnes qui travaillent au sein de l’organisation et la gestion du cycle de vie des droits d’accès qui leurs sont octroyés.

Un système de gestion des identités et des droits d’accès – ou solution IAM – s’appuie sur un certain nombre de règles pour recenser les identités – humaines ou machines – et les groupes d’identités afin d’attribuer, de modifier ou de révoquer les droits d’accès auxquels elles sont associées au regard de leurs fonctions et de leur périmètre d’action au sein de l’entreprise.
 

Comment les solutions de gestion des identités et des accès (IAM) ont évolué au fil du temps ?

 
La gestion des identités et des accès est un sujet majeur pour les organisations depuis près de 20 ans. Initialement, les premiers projets d’IAM étaient voués à maximiser l’efficacité opérationnelle des équipes et à réduire les risques associés à la gestion des droits d’accès aux applications et aux ressources des entreprises. La gestion des identités et des accès a ensuite connu plusieurs phases successives de déploiement qui ont largement contribué à faire évoluer les solutions d’IAM disponibles sur le marché.

Découvrons les différentes évolutions qu’a connu l’IAM, le contexte dans lequel celles-ci ont eu lieu et comment le périmètre d’action des solutions de gestion des identités et des accès n’a eu de cesse de s’étendre, des années 2000 à aujourd’hui.

 

Gestion des identités et des droits d’accès : le déploiement des premières générations de solutions d’IAM

Dans les années 2000, les premières solutions de gestion des identités et des accès disponibles sur le marché visent à répondre à un enjeu majoritairement opérationnel : celui de construire un annuaire d’entreprise, c’est-à-dire le référentiel des personnes qui travaillent au sein de l’entreprise. La création de ce référentiel a notamment pour objectif de faciliter le recensement des mouvements de personnel (nouveaux arrivants, mobilité interne, départs) et la gestion du cycle de vie des accès au niveau des comptes d’accès utilisateur. L’attribution, la suppression ou la modification de ces derniers peut dès lors être automatisée.

Outre la capacité à construire un référentiel d’identités, le déploiement de plusieurs services via les premières solutions d’IAM permet ainsi :

  • La réalisation de contrôles d’accès sur les applications web.
  • La création de briques de SSO (Single Sign-On), de façon que les utilisateurs n’aient pas à s’authentifier plusieurs fois dans les systèmes.
  • La mise en place de la gestion du cycle de vie des identités et des accès.
  • La création d’un système de provisioning des comptes et des accès afin d’automatiser les axes de gestion technique.
    Pilotés par les départements IT des organisations, ces projets d’IAM contribuent à optimiser l’efficacité opérationnelle et à alléger la charge de travail des équipes IT.

De la gestion à la gouvernance des identités et des droits d’accès

Si la mise sur le marché des premières solutions d’IAM permet de répondre à un certain nombre de besoins exprimés par les organisations, la nécessité de faire évoluer ces solutions s’impose rapidement. En effet, nombre d’organisations se trouvent confrontées aux limites de ces dernières et peinent à :

  • Rationaliser les droits d’accès (notamment lorsque deux personnes ayant le même métier sont supposées avoir les mêmes droits).
  • Intégrer les demandes d’accès dans un processus d’approbation formelle et tracée.
  • Transmettre des éléments de reporting et de suivi relatifs aux droits attribués.
 

Une nouvelle génération de produits logiciels voit alors le jour et permet de faire face à ces difficultés : la gouvernance des identités et des accès, soit l’Identity and Access Governance (IAG).

 

Quelques années plus tard, un nouveau cap est franchi : le marché de l’IAM et de l’Identity and Access Governance (IAG) fusionnent et donnent naissance à l’Identity Governance and Administration (IGA).

Les solutions d’IGA couvrent alors un périmètre plus large et viennent répondre à de nouveaux enjeux :

  • Améliorer la gestion de l’attribution des droits d’accès dans les applications et les systèmes en généralisant le concept de gestion des droits via la création de rôles (Role Based Access Control ou RBAC et Role Modeling en anglais).
  • Favoriser l’adhésion aux premières contraintes réglementaires en matière de conformité et de gestion des risques en s’assurant que les personnes disposent de rôles pertinents et compatibles entre eux (Role Based SoD).
  • S’assurer de l’efficacité du système de gestion des identités en place via la recertification des droits d’accès, qui permet de vérifier que les droits d’accès octroyés à chaque identité sont bel et bien légitimes.
 

IGA : la naissance de solutions augmentées

À partir de 2018, les organisations doivent faire face à de nouveaux challenges. Tandis que les standards réglementaires de conformité et de sécurité des droits d’accès logiques se multiplient, de profondes mutations internes sont également à l’œuvre. De plus en plus d’organisations se tournent vers le cloud et s’orientent vers la création d’architectures hybrides.

Ainsi, alors que le contrôle des droits d’accès logiques est un enjeu crucial pour les organisations, la mise en place de processus de contrôles se complexifie : les droits d’accès logiques sont de plus en plus nombreux et disséminés de part et d’autre des systèmes d’information (SI), en local ou à distance dans le cloud.

Qui plus est, de nouveaux interlocuteurs (auditeurs internes et externes, compliance officers) font également leur apparition et expriment des besoins relatifs à la gestion et la réduction des risques associés aux droits d’accès. L’exécution de contrôles des droits d’accès et la production de rapports de conformité s’imposent.

Il ne s’agit donc plus de répondre uniquement à des besoins d’efficacité opérationnelle, mais aussi de respecter les exigences de conformité et de sécurité des droits d’accès utilisateur auxquelles sont soumises les organisations.

De nouveaux services voient ainsi le jour pour permettre :

  • La mise en place de contrôles de séparation des tâches dans les systèmes eux-mêmes pour être capable d’identifier les risques liés aux droits d’accès de façon plus fine (Fine Grained SoD).
  • L’automatisation des contrôles liés aux accès tels que les contrôles généraux IT (ITGC) de façon à identifier notamment les comptes actifs de personnes ayant quitté l’entreprise, les surallocations de droits d’accès, les droits d’accès atypiques, les problèmes de violation de stratégie de mots de passe.
  • La production de reportings et d’audits de conformité, pour apporter des réponses aux auditeurs internes et externes.
  • La production de tableaux de bord de pilotage, afin d’offrir davantage de visibilité aux directions des organisations.

Cette évolution marque un tournant décisif dans la prise en compte des risques cyber. Si ces derniers étaient autrefois l’apanage des équipes IT, cette époque est bel et bien révolue : la cybersécurité devient l’affaire de tous. Elle constitue une priorité majeure pour les organisations tous départements confondus et nécessite que chaque partie prenante puisse détenir la visibilité nécessaire pour anticiper, contrôler et réduire les risques associés aux droits d’accès et aux identités.

Gestion et gouvernance des identités et des accès (IAM/IGA) aujourd’hui : où en est-on ?

Aujourd’hui, nombre d’organisations ont d’ores et déjà enclenché voire achevé leur transformation digitale. La démocratisation du télétravail et les nouveaux usages qui en émergent repoussent à nouveau les limites de l’IAM et de l’IGA.

Autrefois centralisées, les ressources de l’entreprise sont désormais dispersées dans les SI, une grande majorité d’entre elles étant hébergées à distance, en dehors du strict périmètre physique de l’entreprise. Comment dès lors garder le contrôle des identités et des accès pour les protéger ?

Pour y parvenir, les organisations opèrent un changement majeur et s’affranchissent de la notion de confiance implicite pour lui préférer une nouvelle approche : celle du Zéro Trust. La nécessité de s’inscrire dans une démarche Zéro Trust génère ainsi de nouveaux besoins. Les entreprises doivent plus que jamais disposer d’une vision globale et exhaustive des droits d’accès logiques suivant :

  • les personnes et les identités qui les détiennent,
  • le niveau de sensibilité des données auxquelles accèdent les utilisateurs,
  • leur usage, relatif aux applications ou aux infrastructures.
  • leur localisation, en local ou à distance.

Le tout, dans un contexte où le volume de données dont disposent les organisations ne cesse de croître !

Les nouveaux services offerts par les dernières solutions d’IGA disponibles ont ainsi pour objectif de permettre aux organisations de :

  • Gérer les comptes qui ne sont pas nominatifs, et en particulier les comptes à privilèges.
  • Mettre en place une gouvernance de façon à savoir précisément qui a accès à quoi du point de vue des données mais aussi du point de vue des infrastructures.
  • Disposer d’une approche analytique intelligente qui leur permet d’automatiser toutes les tâches qui peuvent l’être pour se concentrer sur ce qui pose problème et sur le pilotage de la stratégie de sécurité des droits d’accès logiques mise en place.

 

IAM et IGA : quelles problématiques rencontrées par les organisations face aux solutions disponibles sur le marché ?

 

Si les différentes étapes de déploiement de l’IAM puis de l’IGA ont permis d’étoffer l’offre de services des solutions disponibles sur le marché, nombre d’organisations se confrontent à un dilemme de taille et s’interrogent sur la stratégie à adopter.

 

En effet, si certaines recourent à des solutions d’IGA dites de dernière génération, nombreuses sont celles qui achèvent tout juste le déploiement de leur projet d’IAM à l’aide d’une solution plus ancienne. La perspective d’opter pour une solution d’IGA pour répondre à leurs nouveaux besoins s’avère alors problématique : les efforts déployés au cours des dernières années et l’investissement financier conséquent réalisé pour mener à bien leur projet d’IAM seraient-ils vains ?

 

Détrompez-vous : des solutions existent ! Le recours à l’Identity Analytics est l’une d’elle. Adossée à leur solution d’IAM existante, cette technologie d’analyse des droits d’accès et des identités peut leur permettre de capitaliser sur les efforts fournis jusqu’ici et d’adresser leurs nouveaux besoins en matière de sécurité, de conformité et de gouvernance des droits d’accès.

Envie d’en savoir plus ? Contactez-nous et découvrez comment maximiser le potentiel de votre solution d’IAM avec Brainwave Identity Analytics !

The post Gestion des identités et des accès : comment les solutions d’IAM s’adaptent-elles aux nouveaux besoins des organisations ? appeared first on Brainwave GRC.

]]>
Contrôles ITGC : pourquoi sont-ils indispensables et comment les exécuter ? https://www.brainwavegrc.com/fr/controles-itgc-pourquoi-sont-ils-indispensables-et-comment-les-executer/ Thu, 08 Dec 2022 10:30:32 +0000 https://www.brainwavegrc.com/?p=38225 The post Contrôles ITGC : pourquoi sont-ils indispensables et comment les exécuter ? appeared first on Brainwave GRC.

]]>

Aujourd’hui aucune organisation n’y échappe : la sécurité et la conformité des droits d’accès doivent être démontrées et font l’objet de standards réglementaires (ISO 27001, ISO 27002, ISAE 3402, SOC 1 et 2, SOX, CMMC, HiTrust, Hipaa, CRBF, Solvency, etc.). La mise en place de contrôles généraux informatiques – IT General Controls ou ITGC en anglais – dans le cadre d’audit IT ou en marge de ces derniers, permettent notamment de vérifier la sécurité et la conformité des droits d’accès logiques des organisations.

Pour autant, leur exécution soulève un certain nombre de problématiques au sein des entreprises et l’absence de processus formels pour encadrer leur déclenchement expose les organisations à des risques considérables.

Au travers de trois cas pratiques réels, voyons pourquoi les contrôles ITGC sont incontournables pour protéger les ressources de votre organisation et pour préserver la santé votre activité. Profitons-en également pour découvrir comment optimiser leur exécution !

ITGC : à quoi servent-ils, dans quel cas y avoir recours ?

 

Les ITGC, définition

Les ITGC sont des contrôles généraux informatiques qui ont pour objectif de protéger les données de votre organisation de toute utilisation, divulgation ou compromission. Ils peuvent être appliqués aux applications, bases de données, droits d’accès logiques et infrastructures de votre Système d’Information (SI). Leur mise en place constitue une obligation réglementaire pour la majorité des entreprises et permet notamment de lutter contre les risques de vol ou de fraude de données.
Pour obtenir davantage d’éléments de contexte au sujet des ITGC, vous pouvez également consulter notre article dédié disponible ici.

 

Quel est le périmètre couvert par les ITGC ?

Les contrôles généraux IT ou ITGC peuvent s’appliquer à tous les niveaux et dans de nombreux domaines (cycle de vie des identités, comptes à privilèges, droits d’accès logiques, etc.). Ils contribuent à la mise en place et à la vérification de la conformité via plusieurs fonctionnalités.

contrôles itgc
Les principaux aspects des ITGC sur lesquels nous nous concentrerons ici sont les suivants :

  • Le contrôle des droits d’accès logiques, soit le contrôle des droits d’accès utilisateurs à des applications, référentiels ou sources de données.
  • Les campagnes de revue des droits d’accès.
  • La séparation des droits ou SoD (Segregation of Duties).

ITGC et gestion de la conformité : quel processus interne type au sein des organisations ?

Afin d’appréhender au mieux les points de contrôles à envisager suivant vos besoins, comprendre les enjeux qui les sous-tendent et identifier les interlocuteurs impliqués, appuyons-nous ici sur un processus type de gestion de la conformité qui pourrait être appliqué au sein d’une organisation.

Ce processus type serait envisagé suivant trois niveaux de contrôle :

  • Les ITGC permanents de niveau 1
    Ils désignent les contrôles opérationnels ou techniques menés par des personnes proches du terrain, tels que les responsables hiérarchiques, managers ou responsables d’application.
    Leur problématique : identifier les actions effectuées sur le Système d’Information (SI) par leurs équipes ou – dans le cas des responsables d’application – savoir qui accède à quelles ressources et suivant quel niveau de permissions.
  • Les ITGC permanents de niveau 2
    Ces contrôles permanents s’appliquent à l’échelle de la société ou d’un périmètre beaucoup plus large, sur des données consolidées. C’est notamment le cas des analyses de risques ou encore des contrôles indépendants, qui peuvent s’effectuer à n’importe quel moment de l’année. Ici, ce sont les services de contrôle interne ou les services de gestion des risques et de gestion de la conformité qui en ont la charge.
  • Les ITGC récurrents de niveau 3
    Ce troisième niveau de contrôle fait référence aux contrôles post incidents ou aux contrôles périodiques. Ces derniers font ici office de contrôles de prévention mais aussi de preuve de conformité permettant d’attester le respect des réglementations auxquelles votre entreprise est soumise (SOX, HIPAA, RGPD, etc.).
    Les interlocuteurs finaux de ces contrôles sont les auditeurs internes et externes, ou encore les autorités de régulation issues de votre secteur d’activité ou de la zone géographique dans laquelle est implantée votre organisation. Ces dernières exigent en effet la réalisation de certains contrôles et la production de rapports attestant leur bonne exécution.

Les contrôles ITGC de niveau 2 et 3 s’appliquant sur des données consolidées, le premier enjeu est de rendre les contrôles de premier niveau les plus efficaces possibles. Ainsi, les contrôles de niveau 2 et 3 pourront être optimisés.

processus interne de gestion de la conformité

Pourquoi le recours aux ITGC appliqués aux droits d’accès logiques est-il indispensable ?

Au-delà de la nécessité de se conformer aux standards de sécurité et de conformité des droits d’accès, les ITGC sont un excellent moyen de protéger votre organisation d’une multitude de menaces. En effet, un défaut de contrôle lié aux droits d’accès de l’un de vos collaborateurs, aussi anodin qu’il puisse paraître, peut avoir des conséquences dramatiques.

De fait, le pilotage et l’exécution rigoureuse de ces contrôles est un prérequis indispensable pour ne pas mettre en péril votre organisation et fragiliser son équilibre financier.
Découvrez pourquoi via trois cas de figures ayant débouché sur des situations critiques… Qui auraient pu être évitées en recourant à l’exécution de contrôles généraux informatiques ciblés !

Cas pratique #1 : pourquoi l’exécution régulière des ITGC peut permettre d’éviter le pire ?

Le départ d’un collaborateur fait partie intégrante du quotidien d’une organisation. Pour autant, il s’agit d’un événement majeur qui doit faire l’objet de contrôles rigoureux, notamment au niveau des droits d’accès.

En effet, que se passerait-il si votre administrateur réseaux conservait des droits actifs après avoir quitté l’entreprise ? Cet ancien collaborateur possède des droits d’accès dotés de niveaux de permission élevés, ajustés aux besoins de la fonction qu’il occupe.
Tout comme une multitude de collaborateurs, il possède des accès à privilèges qui lui ont été accordés dans le cadre de ses fonctions : il accède donc à des ressources sensibles.
De surcroît, il a de toute évidence connaissance des éventuels points de vulnérabilité de votre SI.

Admettons que cette personne ait quitté l’entreprise dans un contexte conflictuel (démission, licenciement, etc.) et que ses comptes demeurent actifs…

Quels sont les risques auxquels votre organisation s’expose ?

Son statut de sachant, sa possibilité de pénétrer dans le SI via des droits d’accès à haut privilège rendent votre organisation vulnérable face à deux principaux types de menaces :

  • Le sabotage ou la perturbation d’activité
    Votre ancien collaborateur utilise toujours ses droits d’accès et commet des dommages : effacement des données, suppression ou extinction de serveurs de façon massive pouvant conduire à un dysfonctionnement de vos services, vos applications, internes et/ou publiques.
  • La fuite de données
    La personne continue de se connecter au SI pour récupérer des données confidentielles pour son compte ou celui d’un concurrent (base de données clients, données financières liées à des politiques de vente, données de propriété intellectuelle, etc.).

Quels sont les impacts possibles ?

Il en existe une multitude et ils peuvent être de différente nature. En voici quelques-uns à titre d’exemple :

  • Perte de clients ou perte de personnel au profit de la concurrence (dans le cas où votre ancien collaborateur débauche vos salariés par exemple, ou décide d’aller prospecter vos clients à l’aide de données confidentielles).
  • Poursuites judiciaires de la part de clients impactés par les sabotages effectués sur votre SI.
  • Lourdes dépenses nécessaires pour remettre en service votre SI et le sécuriser.

C’est arrivé à… Cisco !

En 2018, un administrateur système de Cisco démissionne et conserve des droits actifs. Plusieurs mois après son départ, il se connecte et commet des dommages conséquents :

  • Plus de 450 serveurs qui opéraient le service Webex (le service de visio-conférence de Cisco) sont effacés.
  • 16000 comptes clients accédant à ce service sont supprimés.

Pour restaurer les comptes et relancer Webex, deux semaines de travail intensifs sont nécessaires. Au total, l’opération aura coûté près de 2.4 millions de dollars à l’entreprise :

  • 1 million alloué à la main d’œuvre pour rétablir le service.
  • 1.4 million de dépenses en matériel, logiciel et actions de restauration.

Sans compter, bien entendu, les conséquences de cette attaque sur le service Webex, commerciales et en termes d’image.

Cisco est loin d’être un cas isolé : l’opérateur de crédit américain Equifax ou encore la marine américaine ont connu des déboires similaires à la suite du départ de l’un des membres de leurs équipes. Ce fut également le cas de l’ARS Île-de-France, visée par une attaque du même type en 2016, et dont l’auteur – un ex-prestataire de l’ARS – a été jugé et condamné fin novembre 2022.

Pourquoi et comment l’exécution d’ITGC aurait pu permettre d’éviter une telle situation ?

Pour éviter ce type de dérive, deux types de contrôles généraux informatiques (ITGC) auraient pu être envisagés :

  • Les contrôles ITGC permanents.
  • Les contrôles ITGC à déclencher en cas d’événement particulier.

Les ITGC permanents sont particulièrement utiles pour :

  • identifier les comptes actifs des personnes qui ont quitté l’entreprise.
  • lister les comptes orphelins, les comptes dormants, les comptes techniques, génériques, de test ou de formation (dont les administrateurs systèmes peuvent avoir connaissance et peuvent être tentés d’exploiter sans que l’on puisse retracer leurs actions et remonter jusqu’à eux).
  • Monitorer l’activité des personnes détenant des accès à privilèges (identifier la périodicité de leurs connexions aux actifs sensibles, les dernières transactions réalisées, etc.).

Les ITGC associés à des événements peuvent quant à eux être déclenchés dès que la date de départ d’une identité est renseignée dans le système RH. Cela permettrait notamment de :

  • Lister les accès à privilèges dont la personne dispose.
  • Repérer d’éventuels accès actifs qui ne devraient pas l’être.
  • Recenser les permissions d’une personne en cas de mobilité interne (changement de département ou de fonction métier).
  • Répertorier tous les accès détenus par une personne associée à un conflit d’intérêt au sein de l’organisation.

Cas pratique #2 : pourquoi recourir aux ITGC pour résoudre des conflits de SoD ?

Comment prévenir ou détecter les conflits de SoD ?

L’un des principes de base en matière de sécurité des droits d’accès est de veiller à éviter – autant que faire se peut – les combinaisons de droits toxiques en respectant le principe de séparation des tâches (Segregation of Duties ou SoD en anglais). À ce titre, certaines réglementations exigent d’ailleurs la surveillance de l’activité des identités détenant des permissions dont la combinaison est toxique.

À titre d’exemple, une personne ayant la possibilité de modifier un Relevé d’Identité Bancaire (RIB) dans un logiciel de paie tout en ayant les accès nécessaires pour émettre un virement cumule des droits d’accès occasionnant une combinaison toxique. La fraude ou l’erreur humaine devient dès lors possible et impacte directement l’entreprise. C’est pourquoi le principe de séparation des tâches doit être observé autant que possible.

Quels sont les risques auxquels votre organisation s’expose ?

Ils sont multiples ! En voici quelques-uns :

  • Cas de surfacturation via des fournisseurs fictifs ou en situation de conflits d’intérêt : un acheteur déclare un fournisseur fictif et relie son propre relevé de compte à ce fournisseur pour se faire des versements si les droits d’accès qui permettent de créer des fournisseurs, d’émettre des virements et de valider des commandes sont combinés.
  • Cas de fraude boursière (dans les banques ou dans les institutions financières) : une personne peut effectuer des achats d’actifs risqués en s’affranchissant de la couverture nécessaire pour sécuriser les fonds propres de l’organisation.
  • Cas de fraude financière : un collaborateur génère la création de clients et de revenus fictifs de manière à gonfler artificiellement le chiffre d’affaires, pour embellir les comptes de l’entreprise dans le cas d’une fusion acquisition, ou de façon à laisser croire que ses objectifs individuels sont atteints et ainsi percevoir son bonus.

Quels sont les impacts possibles ?

Les cas de fraude évoqués plus haut peuvent donner lieu à :

  • Des pertes financières, la chute de valeurs en bourse.
  • Des dommages considérables en termes d’image et de réputation qu’il sera nécessaire de compenser en mettant en place une stratégie de communication de gestion de crise.
  • Des poursuites judiciaires et des sanctions pénales (amendes, emprisonnement) à l’encontre des dirigeants de l’organisation impliquée dans un cas de fraude.

C’est arrivé à… un équipementier automobile

Celui-ci constate une fraude interne massive, équivalente à plus de 20 millions d’euros. En cause : l’existence d’un système de fausse facturation monté de toutes pièces par des prestataires indélicats ayant accès au système de gestion de l’entreprise dans un pays de sous-traitance asiatique.

Ce système de fausse facturation profitait directement aux proches des auteurs de la fraude, et a pu être élaboré via l’exploitation de droits d’accès trop étendus qui leur avaient alors été attribués dans l’ERP.

Pourquoi l’exécution d’ITGC aurait-elle pu éviter cette situation ?

La mise en place d’ITGC permanents aurait permis :

  • D’identifier la liste des combinaisons de permissions toxiques en établissant une cartographie des droits d’accès affectés aux utilisateurs, et en réalisant des contrôles réguliers sur les situations à risques détectées.
  • La création d’un catalogue de rôles (role mining) regroupant des ensembles de permissions compatibles et attribuées en une seule fois aux collaborateurs qui en ont besoin dans le cadre de leurs fonctions.
  • D’exécuter des contrôles sur le contenu de chaque rôle et sur les personnes qui y accèdent.
  • De recenser les personnes détenant des droits d’accès sur les applications sans demande préalable ou non validés via une application de gestion des droits d’accès (IAM), au sein de laquelle ces processus de demande sont documentés.

Les contrôles ITGC liés à un événement s’avèrent quant à eux particulièrement utiles pour :

  • Déclencher des campagnes de revues des droits d’accès appliquées aux identités en situation de mobilité. On pourrait ainsi décider que chaque mouvement au sein de l’entreprise déclenche une campagne de revue des droits d’accès dans le cadre de laquelle il sera demandé au manager de recertifier les droits d’accès des personnes changeant de département. Le responsable d’équipe pourrait ainsi révoquer les droits associés aux anciennes fonctions occupées par la personne s’ils ne sont plus nécessaires, soit valider leur maintien.
  • Dans le cas de droits cumulés générant une combinaison toxique identifiée, des alertes pourraient être déclenchées lorsque l’utilisateur qui les détient se connecte aux applications associées, de façon à monitorer son activité.
  • Enfin, un système d’alerte pourrait également être mis en place lorsqu’un nouveau droit tout juste attribué génère un conflit de SoD.

Contrôles ITGC : comment faciliter leur exécution ?

ITGC : des contrôles aux bénéfices certains mais parfois complexes à exécuter.

Comme nous avons pu le voir au cours des deux cas pratiques étudiés, les contrôles généraux informatiques comportent de nombreux bénéfices.

L’optimisation des tâches de contrôle des accès logiques peut ainsi permettre de :

  • Réduire les risques associés aux droits d’accès logiques.
  • Lutter contre la fraude interne.
  • Améliorer la défense des organisations contre les risques cyber.
  • Démontrer aux auditeurs la conformité des droits d’accès logiques au sein des entreprises.

Toutefois, nombre d’organisations peinent à mettre en place ces contrôles qui impliquent la corrélation et la mise en qualité de données hétérogènes et nombreuses, dans un contexte où des mouvements internes sont perpétuellement à l’œuvre.

L’automatisation des contrôles ITGC avec Brainwave GRC

Pour faciliter la tâche aux organisations, Brainwave GRC délivre son expertise en analyse des droits d’accès via l’un de ses produits phares : Brainwave Identity Analytics.

Avec Brainwave Identity Analytics, offrez-vous une vision à 360° des droits d’accès présents au sein de votre SI et découvrez comment :

  • Automatiser votre plan de contrôle à l’aide de plus de 150 points de contrôle standards intégrés.
  • Enrichir votre plan de contrôle avec des contrôles paramétrables et ajustables à vos besoins spécifiques.
  • Générer des rapports vous permettant de lister les écarts.
  • Suivre les contrôles compensatoires et les exceptions de contrôle.
  • Automatiser vos campagnes de revues des droits d’accès.
  • Créer un catalogue de rôles métiers pertinents.
  • Produire des rapports de conformité à fournir à vos auditeurs.

Envie d’en savoir plus ? Discutons-en ensemble !

The post Contrôles ITGC : pourquoi sont-ils indispensables et comment les exécuter ? appeared first on Brainwave GRC.

]]>
CyberArk Privilege Cloud : sécurisez vos comptes à privilèges via une solution SaaS https://www.brainwavegrc.com/fr/cyberark-privilege-cloud-saas/ Fri, 02 Dec 2022 10:04:09 +0000 https://www.brainwavegrc.com/?p=38101 The post CyberArk Privilege Cloud : sécurisez vos comptes à privilèges via une solution SaaS appeared first on Brainwave GRC.

]]>

Sur site ou dans le cloud, les comptes à privilèges constituent l’une des plus grandes vulnérabilités de sécurité à laquelle doivent aujourd’hui faire face les organisations. Disséminés de part et d’autre au sein de vos Systèmes d’Information (SI), les comptes à privilèges donnent accès aux ressources les plus critiques de votre entreprise. De plus, une grande majorité des organisations ont recours à des architectures hybrides mêlant applications et services hébergés en local et à distance. Comment, dans ce contexte complexe et hétérogène, garantir la sécurité de vos actifs les plus sensibles ?

Que vous soyez Directeur des Systèmes d’Information (DSI), Responsable de la Sécurité des Systèmes d’Information (RSSI), Line Manager ou Responsable d’Application, l’extrême vigilance est de mise. La mise en place d’une démarche Zéro Trust est à envisager et le déploiement d’une politique de gestion des comptes à privilèges est un sujet prioritaire qui nécessite le recours à des solutions performantes et adaptées aux nouvelles pratiques telles que le télétravail.

Nommé leader dans le Gartner Magic Quadrant 2022 pour l’Access Management et le PAM (Privileged Access Management), CyberArk est un acteur incontournable de la sécurité des identités et des droits d’accès et reconnu pour son expertise en matière de gestion des comptes à privilèges.
Cet éditeur de logiciel à la renommée internationale développe des offres permettant aux entreprises et organisations de déployer un programme PAM de façon à sécuriser leurs comptes à privilèges. Parmi elles, CyberArk Privilege Cloud, l’alternative SaaS (Software as a Service) à leur offre phare que vous connaissez probablement : CyberArk Privileged Access Manager.

Découvrez dans cet article les enjeux qu’elle recouvre, ses fonctionnalités, ses bénéfices et comment maximiser son potentiel !

 

Pourquoi recourir à CyberArk Privilege Cloud pour la gestion de vos comptes à privilèges ?

 

CyberArk Privilege Cloud, qu’est-ce que c’est ?

Tout comme CyberArk Privileged Access Manager, CyberArk Privilege Cloud est une solution qui permet de sécuriser les actifs critiques et les identités machines et humaines des organisations. Locales, cloud ou hybrides : CyberArk Privilege Cloud protège toutes vos infrastructures. Vous pouvez ainsi sécuriser, gérer, contrôler et surveiller toutes les activités associées aux comptes à privilèges et à tous types d’identités répertoriées dans vos SI.

Avec CyberArk Privilege Cloud, vous pouvez notamment :

  • Gérer, protéger les comptes à privilèges et les clés SSH (Secure Socket Shell) de votre organisation.
  • Contrôler les accès délivrés aux comptes à privilèges.
  • Créer et suivre l’activité des utilisateurs relative aux comptes à privilèges auxquels ils ont accès.
  • Recenser toutes les informations d’identification permettant d’accéder aux applications, services et ressources de votre organisation.
  • Respecter les exigences d’audit et de réglementation ainsi que les politiques de sécurité et de conformité à l’œuvre au sein de votre organisation.
  • Déployer une gestion simplifiée et centralisée des comptes à privilèges.

Pour en savoir plus sur CyberArk Privilege Cloud, n’hésitez pas à consulter la documentation !

 

Cas pratiques : dans quelles situations CyberArk Privilege Cloud peut vous aider à atteindre vos objectifs ?

Il existe pléthore de cas de figures où le recours à une solution PAM est utile, voire indispensable. En voici deux que l’on observe fréquemment chez nos clients.

 

Sécuriser les comptes d’accès aux ressources sensibles de l’organisation.

Vous avez des applications critiques et souhaitez vous assurer que les comptes qui ont la capacité d’administrer les serveurs qui les hébergent et les bases de données sur lesquelles elles s’appuient ne soient pas compromis.
Avec CyberArk Privilege Cloud, vous pouvez activer la rotation automatique des mots de passe en activant le CPM (Central Policy Manager) afin de protéger ces comptes. De cette manière, l’utilisateur n’a d’autre choix que de passer par le coffre CyberArk pour pouvoir les utiliser, le mot de passe étant automatiquement renouvelé de manière régulière et après chaque utilisation. D’autre part, l’enregistrement de l’activité utilisateur (logs, vidéos) vous permet de pointer tout comportement inhabituel voire suspect et de monitorer l’utilisation des comptes à privilèges pour anticiper les risques associés.

 

Des prestataires externes possèdent des accès aux comptes d’accès à privilèges

Certains de sous-traitants accèdent à des applications et des serveurs critiques pour les besoins de leurs missions de façon temporaire ? Assurez-vous que les accès dont ils disposent soient révoqués en temps voulu en activant les nombreuses fonctionnalités Zéro Trust disponibles via CyberArk Privilege Cloud. Vous pouvez dans ce cadre recourir à des workflows d’approbation qui vous permettent de n’octroyer des accès que pendant la durée de la mission de vos interlocuteurs.

CyberArk Privilege Cloud : quels enjeux ?

Comme nombre d’entreprises, vous avez pour ambition de réduire les risques et menaces auxquels sont exposés vos comptes à privilèges sans que cela impacte la productivité de vos équipes. Pour relever le défi, CyberArk a donc conçu CyberArk Privilege Cloud, une offre SaaS rapide et simple à implémenter, disponible dans le cloud.

Tout comme CyberArk Privileged Access Manager disponible on premise, elle répond aux enjeux suivants :

  • Défendre votre organisation contre les attaques en consignant les identités à privilèges dans un référentiel dédié sécurisé.
  • Adhérer aux contraintes de conformité et aux recommandations auxquelles votre organisation est soumise, et répondre aux auditeurs via la production d’un audit centralisé tout en tenant compte des exigences internes.
  • Faciliter et fluidifier l’activité numérique de vos équipes : tous les utilisateurs sont authentifiés de façon sécurisée via un portail Web unique, sans avoir besoin de recourir à un VPN.

CyberArk Privilege Cloud : quelles sont les fonctionnalités disponibles ?

CyberArk Privilege Cloud vous donne accès à un panel de fonctionnalités riches dont voici un échantillon.

 

La gestion des identifiants à privilèges

Recensez et intégrez à la solution tous les identifiants à privilèges et les secrets utilisés pour une gestion centralisée. Donnez la possibilité aux administrateurs de la solution de déployer des stratégies de sécurisation des mots de passe dédiées et d’automatiser la rotation des mots de passe.

 

L’isolement et la supervision des sessions utilisateurs

Monitorez et enregistrez les sessions utilisateurs, conservez enregistrements et audits associés de façon sécurisée pour répondre aux contraintes de conformité auxquelles votre organisation est soumise.

 

La détection et le traitement des menaces

Identifiez les comptes à privilèges et les identifiants à embarquer dans votre programme PAM et automatisez leur intégration. Recensez tout comportement anormal et tout élément susceptible d’occasionner des compromissions pour les corriger.

 

La gestion des appareils nomades

Assurez la mise en application des politiques de sécurité de votre organisation pour tous les terminaux – y compris ceux qui ne sont pas connectés en permanence au système – et déclenchez le renouvellement des identifiants et comptes associés.

 

L’accès à distance à CyberArk Privilege Cloud

Donnez la possibilité aux collaborateurs et prestataires externes d’accéder à CyberArk Privilege Cloud de façon sécurisée quelle que soit leur localisation, sans VPN, sans agent ni mot de passe.

 

La MFA (Multi Factor Authentification) adaptative et SSO (Single Sign-On)

Sécurisez l’accès aux ressources de votre entreprise grâce à l’authentification unique et l’authentification multi-facteurs.

CyberArk Privilege Cloud : quelles spécificités liées au SaaS ?

 

Les bénéfices du SaaS au service du PAM

Aujourd’hui, de plus en plus d’organisations privilégient le cloud et s’orientent vers des produits SaaS, tant que les politiques de sécurité et de conformité auxquelles elles sont soumises le leur permettent. Ce changement de paradigme comporte de nombreux bénéfices, dont la rapidité d’implémentation et de déploiement des produits, services et applications.

À ce titre, CyberArk Privilege Cloud dispose des atouts associés au SaaS et permet notamment à ses utilisateurs :

  • D’automatiser les mises à niveau et les correctifs : le coût total de possession est ainsi réduit et les dernières versions du produit disponibles immédiatement.
  • De disposer de services sécurisés en conformité avec SOC2 type 2 notamment, et un Service Level Agreement (SLA) certifié de 99,95% pour la disponibilité. Le produit reste entièrement géré par CyberArk, son éditeur.

Qui plus est, CyberArk accompagne les organisations qui s’orientent vers leurs offre SaaS en mettant à leur disposition le CyberArk Jump Start, un kit de conseils pratiques pour déployer CyberArk Privilege Cloud sereinement en trois phases et appréhender au mieux leur approche du SaaS en adéquation avec leurs besoins.

 

CyberArk Workforce Identity : la gestion des droits des identités appliquée à CyberArk Privilege Cloud

La gestion des comptes à privilèges via une solution SaaS, pourquoi pas… Mais comment être certain que vos équipes pourront accéder de façon simple et sécurisée à CyberArk Privilege Cloud, dans le respect des politiques de sécurité et de conformité de votre organisation, sans générer de nouveaux risques liés aux droits d’accès octroyés pour CyberArk Privilege Cloud ?

En choisissant CyberArk Privilege Cloud, vous exploitez également tout le potentiel de la solution CyberArk Workforce Identity pour l’administration et la gouvernance des identités numériques. Concrètement, cela signifie que vos équipes peuvent :

  • Disposer d’un accès sécurisé à toutes les ressources et applications de l’environnement de votre organisation hébergées dans le cloud (outre CyberArk Privilege Cloud).
  • Les accès octroyés aux identités sont dotés d’une authentification à facteurs multiples (MFA). Celle-ci s’applique tant aux identités qu’aux terminaux utilisés pour accéder aux applications, services et ressources.
  • Les personnes dotées d’un accès aux applications sur site pourront utiliser ce même outil et s’affranchir de l’utilisation d’un VPN pour accéder aux ressources hébergées localement.
  • L’Intelligence Artificielle (IA) intégrée à CyberArk Workforce Identity est en mesure d’analyser le comportement des utilisateurs de façon à détecter un contexte ou une situation atypique potentiellement suspecte.
  • L’activité des utilisateurs finaux au sein des applications web est enregistrée, auditée et protégée.
  • Les informations d’identification pour les applications professionnelles nécessitant l’usage d’un mot de passe ou de données critiques sont sécurisées.

Grâce à CyberArk Workforce Security, la gestion des accès et des identités aux applications et ressources hébergées dans le cloud est maîtrisée de façon que l’exploitation d’applications distantes ne soit pas source de nouveaux risques associés aux droits d’accès.

 

CyberArk Privilege Cloud vs CyberArk Privileged Access Manager : comment choisir ?

Si vous avez désormais un aperçu plus détaillé du champ des possibles qui s’offre à vous en ayant recours à l’une ou l’autre de ces deux solutions, comment arbitrer votre choix ? Dans quels cas de figures le recours à CyberArk Privilege Cloud est préconisé ? Quels indicateurs doivent vous inciter à lui préférer CyberArk Privileged Access Manager, son alter ego on premise ?

CyberArk BluePrint est là pour vous aiguiller ! Conçue pour vous accompagner à chaque étape de construction et de déploiement de votre programme PAM, cette offre de service proposée par CyberArk vous permet de faire le bon choix dans le respect de bonnes pratiques éprouvées par leurs experts.

CyberArk Privilege Cloud associée à la mise en place d’une gouvernance des comptes à privilèges : le combo gagnant !

 

CyberArk Privilege Cloud comporte de nombreux atouts en matière de gestion des comptes à privilèges. Le recours à une solution PAM aussi exhaustive pour protéger vos comptes et accès à privilèges est plus que recommandé : il est tout bonnement indispensable.
Pour autant, ne vous arrêtez pas en si bon chemin ! Pour garantir un niveau de sécurité optimal aux ressources les plus critiques de votre organisation et maximiser le potentiel de CyberArk Privilege Cloud, la mise en place d’une gouvernance des comptes à privilèges est une excellente pratique à adopter.

 

Gouvernance des comptes à privilèges : quels enjeux ?

CyberArk Privilege Cloud et les solutions PAM de façon générale vous permettent de protéger les comptes à privilèges de votre organisation via :

  • La gestion centralisée des comptes à privilèges.
  • La maîtrise du cycle de vie des accès à privilèges qui sont octroyés.
  • Le renforcement de la sécurité autour de ces comptes via l’identification nécessaire de chaque utilisateur pour y accéder.
  • La traçabilité de chacune des actions réalisées par les utilisateurs ayant accès à la solution PAM.

 

Pour autant, comment :

  • S’assurer que les bonnes personnes accèdent aux bons comptes à privilèges ?
  • Maîtriser les chaînes d’accès de bout en bout en continu au gré des changements organisationnels et techniques qui ont lieu dans votre entreprise ?
  • Permettre aux propriétaires de coffres de vérifier régulièrement la légitimité des accès à privilèges qui sont octroyés ?

C’est précisément pour répondre à ces enjeux de sécurité et de conformité que la mise en place d’une gouvernance de vos comptes à privilèges en complément de l’exploitation d’une solution PAM s’avère indispensable.

Gouvernance des comptes à privilèges : quels bénéfices ?

La mise en place d’une gouvernance des comptes à privilèges comporte de nombreux avantages. Pour l’heure, voici les cinq bénéfices que nous avons recensés.

 

#1- Auditez régulièrement et simplement votre solution PAM

Recensez tous les administrateurs et utilisateurs de votre solution PAM et vérifiez qui a accès à quoi pour mieux sécuriser vos ressources via l’audit de votre solution PAM !
Votre capacité à auditer votre solution PAM vous permet notamment de vous assurer que la rotation des mots de passe et le cloisonnement des accès sont effectifs, et de réduire vos coûts en optimisant l’usage de vos licences. Vous pouvez également suivre et identifier les changements à l’œuvre au sein de l’organisation et comprendre leur impact sur les accès à votre solution PAM.

 

#2 – Contrôlez les ITGC et optimisez la qualité des données

Assurez-vous que vos contrôles généraux informatiques (ITGC) sont bien exécutés et monitorez l’activité des identités à risques tout en maintenant un niveau de qualité des données optimal au sein de vos référentiels de comptes (Active Directory, AD).
Cela vous permettra notamment de conserver une longueur d’avance sur les erreurs d’administration et d’optimiser la performance de votre solution PAM.

 

#3 – Assurez la conformité en automatisant la revue des accès

Mettez en place des campagnes de revue des accès aux safes par responsable de safes afin d’assurer et de démontrer la conformité des accès à CyberArk Privilege Cloud, de corriger les anomalies et de limiter les risques de mauvaise configuration des accès.

 

#4 – Étendez le périmètre de CyberArk Privilege Cloud

Détecter facilement et rapidement les comptes à privilèges présents au sein de vos systèmes : grâce à la gouvernance, vous pouvez corréler des données issues de multiples sources (SI RH, AD, PAM, CMDB, logs, etc.) et vous assurer que la gestion du cycle de vie des identités est maîtrisée.

 

#5 – Respectez les politiques de sécurité de votre organisation

Pour cela, mettez sur pied un plan de contrôle qui vous permettra de remonter les anomalies en continu pour vous assurer que les politiques de sécurité en vigueur sont bien respectées en répondant notamment aux questions suivantes : un administrateur de safe est-il également en mesure d’utiliser les secrets, cumulant ainsi des droits incompatibles ? Certains prestataires conservent-ils des droits d’accès actifs à des comptes à privilèges alors qu’ils ne collaborent plus avec l’entreprise ? Existe-t-il des comptes dormants ou sans autorisations à désactiver ?

La protection de vos comptes à privilèges est un enjeu primordial qui nécessite une approche combinée

 

Vous l’aurez compris : pour sécuriser vos actifs sensibles et vous prémunir d’une éventuelle attaque qui ciblerait les comptes à privilèges de votre organisation, le recours à une solution PAM est incontournable. CyberArk Privilege Cloud, produit phare sur le marché du PAM peut vous permettre de répondre à une grande partie de vos interrogations et problématiques associées aux comptes à privilèges.

Cependant, si l’adoption d’une solution de gestion des comptes à privilèges est essentielle, elle doit être accompagnée par la mise en place d’une gouvernance des comptes à privilèges pour garantir un niveau de sécurité optimale.

Envie d’en savoir plus et d’échanger autour de ces thématiques ? Contactez-nous !

The post CyberArk Privilege Cloud : sécurisez vos comptes à privilèges via une solution SaaS appeared first on Brainwave GRC.

]]>
Pourquoi la gestion des comptes à privilèges est-elle importante pour votre organisation ? https://www.brainwavegrc.com/fr/pourquoi-la-gestion-des-comptes-a-privileges-est-elle-importante-pour-votre-organisation/ Thu, 29 Sep 2022 15:07:44 +0000 https://www.brainwavegrc.com/?p=37497 The post Pourquoi la gestion des comptes à privilèges est-elle importante pour votre organisation ? appeared first on Brainwave GRC.

]]>

Les comptes à privilèges, une cible fréquente, des risques d’attaques réels

 

Transformation digitale, pratique du home office, ressources hébergées dans le cloud… Aujourd’hui, les organisations doivent faire face à de nombreuses menaces (attaques cyber, fraude, vol ou compromission de données), qui, avec les nouveaux usages, se multiplient et se diversifient.

À ce titre, les comptes à privilèges demeurent une cible prisée des hackers. En témoigne notamment l’attaque dont a été victime Uber en septembre 2022. Si l’impact de cette attaque est encore en cours d’évaluation, il est sans aucun doute massif ! Le hacker à l’origine du piratage est de fait parvenu à prendre le contrôle de plusieurs outils cruciaux de l’entreprise.

Or, les comptes à privilèges constituent un excellent moyen de pénétrer les systèmes d’une organisation : en l’espace de deux semaines, un hacker peut prendre le contrôle du système d’information via le piratage d’un compte à privilèges.

Parce que les accès à privilèges de votre organisation permettent l’accès aux ressources les plus critiques et dotent leurs détenteurs de permissions extraordinaires, il est indispensable de renforcer leur protection. La mise en place d’une politique de gestion des comptes à privilèges s’impose !

Gestion des accès à privilèges : les fondamentaux

Garantir un niveau de sécurité optimal de vos accès à privilèges est primordial. Avant de plonger dans le vif du sujet, voici quelques notions élémentaires à retenir.

 

Quelle est la définition d’un compte à privilèges ?

Un compte à privilèges se différencie d’un compte dit standard au sens où il permet à ses utilisateurs de disposer d’un niveau de permissions plus élevé sur un périmètre de données et d’actions précis. Ainsi, les comptes à privilèges donnent la possibilité à leurs utilisateurs de bénéficier de capacités augmentées au regard des comptes standards.

La création et l’usage de comptes à privilèges sont pensés pour garantir la confidentialité et la sécurité des données et opérations critiques. Les ressources, applications et infrastructures protégées par des accès à privilèges peuvent différer suivant – entre autres – le secteur d’activité des organisations. Pour autant, certains services ou départements ont plus naturellement recours aux comptes à privilèges, car susceptibles d’exécuter des opérations sensibles et de manipuler des informations confidentielles. C’est bien entendu le cas de la DSI mais, aussi, dans une certaine mesure, de l’ingénierie, de la production ou de la finance.

Vous l’aurez compris : la création d’accès à privilèges participe ainsi de la sécurisation des données, applications et infrastructures critiques présentes au sein des Systèmes d’Information (SI). Dans le même temps, ces comptes à privilèges sont, eux aussi, à considérer comme des actifs sensibles de l’entreprise ! D’où la nécessité d’identifier et sécuriser chaque compte à privilège existant au sein de l’organisation, notamment en :

  • déclarant la création de tout compte à privilèges.
  • documentant chaque accès créé, de façon à savoir qui y accèdera, quand, comment et pourquoi.

 

Qu’est-ce que la gestion des accès à privilèges ?

La gestion des accès à privilèges ou Privileged Access Management (PAM) en anglais, est une activité et un processus de cybersécurité qui vise à contrôler l’usage, à superviser et auditer les accès privilégiés présents au sein du SI de l’entreprise. Identités (humaines ou machines) et activités associées aux comptes à privilèges sont ainsi passées au crible pour s’assurer que leur sécurité renforcée, par rapport aux comptes standard, est assurée.

La gestion des comptes à privilèges fait partie intégrante de la stratégie de gestion des identités et des accès (IAM, Identity and Access Management en anglais). Elle permet de gérer et protéger les droits des utilisateurs individuels, mais également les comptes de droits d’accès partagés, les comptes administratifs et les comptes de service, soit tous les comptes à privilèges de l’organisation.

Mettre en place une gestion des accès à privilège à l’aide d’une solution PAM

 

Pour mettre en œuvre la gestion des accès à privilèges, les entreprises s’équipent le plus souvent d’une solution dédiée, appelée solution PAM (Privileged Access Management). De nombreuses solutions de ce type sont disponibles sur le marché : Privileged Access Manager de CyberArk, Wallix Bastion, ou encore la plateforme Universal Privilege Management de Beyond Trust et Secret Server de Delinea.

 

Solution PAM (Privileged Access Management) : quels enjeux ?

L’implémentation d’une solution PAM a notamment pour objectif de répondre aux besoins des organisations suivants :

  1. Faciliter la gestion des identifiants de comptes : plutôt que de s’appuyer sur des processus administratifs manuels, la mise à jour des identifiants est automatisée de façon à gagner en temps et en efficacité, mais aussi à réduire les risques d’erreurs humaines.
  2. Monitorer l’activité des comptes à privilèges : le suivi des sessions permet de détecter de potentielles menaces en identifiant des comportements inhabituels par exemple, et de s’inscrire dans une logique de conformité.
  3. Anticiper les menaces cyber et réduire les risques d’attaques, de vol, de fraude ou de compromission des données associées aux comptes à privilèges, en corrigeant en temps voulu les incidents de sécurité constatés.
  4. S’affranchir du traditionnel modèle de cybersécurité périmétrique pour lui préférer une approche de type Zéro Trust, notamment via le contrôle des accès utilisateur privilégiés au cloud et aux applications SaaS (Software As A Service).

 

Solution PAM (Privileged Access Management) : quelles fonctionnalités ?

Le recours à une solution PAM permet ainsi de mettre en place une stratégie de gestion des comptes à privilèges automatisée, s’appuyant – entre autres – sur les fonctionnalités suivantes :

  • Le stockage des mots de passe des comptes à privilèges au sein de coffres-forts centralisés et chiffrés.
  • La mise en place d’un contrôle d’accès renforcé aux comptes à privilèges, pouvant être dynamique ou s’appuyant par exemple sur une logique de rôles (RBAC).
  • Le provisionning et le déprovisionning des accès.
  • La rotation automatique des mots de passe.
  • L’identification des abus liés à l’utilisation des accès à privilèges (malveillance, négligence, erreurs humaines) grâce au suivi de l’activité des utilisateurs et parfois même l’enregistrement des sessions utilisateur.

Gestion des accès à privilèges et solution PAM : quels bénéfices concrets ?

 

Anticiper les éventuelles cyberattaques

Comme évoqué précédemment, les accès à privilèges sont une cible de choix pour quiconque souhaiterait prendre le contrôle du SI de votre entreprise. La mise en place d’une politique de gestion des accès à privilèges efficace permet ainsi de réduire le risque de cyberattaque dont votre organisation pourrait être la cible.

Vous équiper d’une solution PAM peut s’avérer particulièrement utile : via la gestion centralisée et automatisée des comptes, des identifiants, des sessions à privilèges et la sécurisation des identités à privilèges, vos actifs critiques sont moins exposés au risque d’erreur humaine et vos Systèmes d’Information sont plus hermétiques aux attaques.

 

Ajuster votre stratégie cyber aux nouveaux usages via l’adoption d’une démarche type Zéro Trust

La démocratisation du télétravail, l’hébergement des ressources de l’entreprise dans le cloud et les droits d’accès octroyés pour y accéder doivent nous inciter à repenser nos stratégies de défense face aux nouveaux risques que ces usages génèrent.

La logique dans laquelle s’inscrit la gestion des accès à privilèges est une parfaite opportunité pour repenser le modèle stratégique de cybersécurité périmétrique et pour lui préférer une approche de type Zéro Trust. Cette approche, exposée dès 2010 par John Kindervag, analyste de Forrester Research s’attache à balayer la notion de confiance implicite au sein des organisations.

Le principe est simple : toutes les données et ressources demeurent inaccessibles par défaut. La sécurité des actifs s’articule autour des identités (machines ou humaines, en local ou à distance) qui doivent être vérifiées et autour des accès qui leur sont attribués, dans le respect du principe de moindre privilège. Le retrait des privilèges élevés aux comptes personnels, l’obligation d’utilisation d’une solution PAM pour accéder aux ressources et la mise en place de stratégies de surveillance des sessions et de provisionnement d’accès “à la volée” concourent à la mise en place d’une démarche Zéro Trust.

 

Optimiser la productivité des équipes

Gérer les accès à privilèges de son organisation, c’est aussi fluidifier les processus et faciliter l’accès sécurisé aux ressources de l’entreprise pour les utilisateurs privilégiés. La solution PAM leur permet de se connecter simplement et rapidement aux systèmes et applications sans avoir à mémoriser quantité de mots de passe.

Qui plus est, les responsables d’équipes et d’application ont la possibilité de gérer les privilèges d’accès octroyés aux membres de leur équipe de façon centralisée, sans faire appel à différents systèmes ou applications. Un gain de temps non négligeable apprécié de tous, permettant aux équipes de se concentrer sur l’opérationnel et de gagner en productivité.

Gestion des accès à privilèges : la solution PAM, le remède à tous les maux ?

Vous l’aurez compris, bien s’outiller est le minimum requis pour gérer ses accès à privilèges. Le recours à une solution PAM permet de relever nombre de challenges. Pour autant, les organisations ayant mis en place une solution PAM rencontrent en pratique des difficultés à satisfaire certains besoins :

  • Aligner le cycle de vie des identités et de leurs comptes à privilèges.
  • Sécuriser le champ d’application de la solution PAM, qui est en constante évolution.
  • Suivre les mouvements d’équipes ayant accès à la solution PAM.
  • Éviter les dérives dans Active Directory et dans la solution PAM, générées par ces changements continus.
  • Donner de la visibilité aux managers et propriétaires des coffres-forts.
  • Démontrer la maîtrise de la gestion des comptes à privilèges aux auditeurs externes.
  • Optimiser les coûts de licence de leur solution PAM.

Adopter une politique de gestion des comptes à privilèges présente ainsi de nombreux avantages en termes de sécurité notamment, que ce soit en mode préventif ou curatif. En parallèle, travailler à la mise en place d’une gouvernance des accès à privilèges constitue une piste complémentaire et satisfaisante pour adresser l’ensemble de ces besoins.

Envie d’en savoir plus ? Continuez votre lecture ici !

The post Pourquoi la gestion des comptes à privilèges est-elle importante pour votre organisation ? appeared first on Brainwave GRC.

]]>
Revue des droits d’accès = recertification des droits d’accès ? https://www.brainwavegrc.com/fr/revue_droits_acces_et_recertification_quelle_difference/ Tue, 27 Sep 2022 15:49:22 +0000 https://www.brainwavegrc.com/?p=37457 La revue des droits d'accès est une fonction de contrôle distincte de la recertification des droits d'accès. Découvrons pourquoi et dans quel cas y recourir.

The post Revue des droits d’accès = recertification des droits d’accès ? appeared first on Brainwave GRC.

]]>

Revue des droits d’accès, recertification des droits d’accès : bonnet blanc et blanc bonnet ? Eh bien, pas tout à fait ! Si toutes deux sont vouées à protéger les ressources de vos Systèmes d’Information (SI), la revue des droits d’accès et la recertification des droits d’accès sont des dispositifs de contrôle distincts et ne répondent pas aux mêmes enjeux.

À l’usage, nous avons pourtant tendance à utiliser indifféremment l’un des deux termes. Qui plus est, de récents échanges avec nos clients nous ont amené à penser qu’une clarification s’imposait : si les différences entre ces deux démarches peuvent paraître subtiles, elles sont pour autant cruciales. Découvrons ensemble pourquoi !

 

Revues des droits d’accès utilisateurs : définition et grands principes

 

La revue périodique des droits d’accès est l’un des dispositifs de contrôle de sécurité des droits d’accès logiques les plus répandus et pour le moins incontournables. En témoignent les guidelines formulées par l’ABE (Autorité Bancaire Européenne) et l’AEAPP (Autorité Européenne des Assurances et des Pensions Professionnelles) au sujet de la sécurisation des TIC (Technologies de l’Information et de la Communication) : la revue périodique est le seul dispositif de contrôle concernant les droits d’accès logiques qui soit mentionné. D’où la nécessité d’appréhender de façon précise les enjeux qui la sous-tendent.

 

Applications, données et infrastructures de l’organisation : qui y accède, comment, et pourquoi ?

La revue périodique des droits d’accès ou revue des habilitations est le processus permettant aux organisations d’examiner qui a accès à quelles ressources au sein des Systèmes d’Information (SI) d’une entreprise ou d’une organisation. Collaborateurs, sous-traitants, partenaires : la revue des droits d’accès s’applique à toutes les personnes susceptibles d’accéder aux informations de l’organisation.

 

La revue des droits d’accès à l’épreuve du Zéro Trust

Parce qu’elle s’intéresse également aux personnes accédant aux ressources de l’organisation hors site (via le Cloud par exemple), la revue des droits d’accès et des identités s’inscrit parfaitement dans la démarche dite « Zéro Trust« . Cette doctrine consiste à délaisser l’ancien modèle de cybersécurité périmétrique pour lui préférer une approche ajustée aux nouveaux usages, en s’affranchissant de la notion de « confiance implicite accordée aux utilisateurs et aux activités menées par le biais des équipements de l’entité. » (ANSSI, Agence Nationale de la Sécurité des Systèmes d’Information, Le modèle Zéro Trust).

Recertification des droits d’accès : les fondamentaux

 

Tout comme la revue des droits d’accès, la recertification des droits d’accès est une fonction de contrôle des droits d’accès. Pour autant, l’enjeu de l’exercice diffère sensiblement.

 

Recertification des droits d’accès et demandes de droits d’accès

Au sein de votre entreprise, vous le constatez : les nouvelles demandes de droits d’accès des utilisateurs fleurissent quotidiennement. Les demandes de retrait de droits sont, elles, beaucoup plus rares !
Pourtant, l’organisation continue de vivre au gré des mouvements de personnes (arrivée, départ, mutation de collaborateurs internes ou de prestataires, promotions, réorganisations internes, etc.). Ces changements ont des conséquences sur les habilitations informatiques des utilisateurs.
C’est là tout l’enjeu de la recertification des droits d’accès : régulièrement, les responsables d’équipes et d’applications sont sollicités pour vérifier que les accès qui ont été demandés pour le compte des membres de leur équipe sont toujours valables et légitimes au regard de leurs rôles et responsabilités actuels dans l’organisation.

 

Recertification des droits d’accès : comment procéder ?

Les droits d’accès ayant fait l’objet d’une demande sont périodiquement passés en revue par les gestionnaires d’équipe. Le raisonnement sous-jacent à l’exécution d’une recertification des droits d’accès est le suivant : bien que certains droits d’accès aient été demandés – et approuvés – par un gestionnaire à un moment donné, il se peut qu’aujourd’hui ces demandes se révèlent obsolètes ou inappropriées et qu’il faille révoquer ces droits.
Aussi, pour éviter l’accumulation de droits illégitimes ou générant de potentielles combinaisons de droit toxiques, une recertification régulière des demandes de droits d’accès est nécessaire.

Revue et recertification : quelles similitudes ?

 

La configuration de vos campagnes, une priorité absolue

La revue des droits d’accès tout comme la recertification des droits d’accès peuvent être effectuées de façon manuelle via des tableaux Excel. Pour autant, nous ne pouvons que vous recommander d’opter pour l’automatisation de vos campagnes de façon à gagner du temps et à optimiser l’exercice. Pour en savoir plus à ce sujet, rendez-vous ici !
Suivant le degré de sensibilité des ressources, au gré des mouvements constatés au sein de l’organisation et des échéances imposées par les auditeurs, la revue tout comme la recertification des droits d’accès peut répondre à différentes problématiques de sécurité.
Ainsi, leur fréquence et le périmètre ciblé peuvent varier suivant les objectifs visés. Périodique, en continu, incrémentielle, différentielle : il existe une multitude de stratégies actionnables ! Pour être sûr de choisir la bonne, la phase de configuration de votre revue ou de votre recertification des droits d’accès logiques est primordiale : il s’agit d’une bonne pratique à observer de façon systématique.

 

Qui en sont les principaux acteurs ?

Managers, responsables d’équipes et d’application ont un rôle crucial à jouer. Eux seuls possèdent une connaissance suffisamment fine du périmètre des missions de chaque membre de leur équipe, des ressources auxquelles ces derniers vont devoir accéder et du niveau de permission nécessaire au vu de leur champ d’action.
Pour passer en revue les droits d’accès aux comptes dont disposent les membres de chaque équipe et s’assurer que les principes de moindre privilège et du besoin d’en connaître soient respectés, il est de fait indispensable de les impliquer.

Ces managers, responsables d’équipes et d’application devront alors examiner les droits d’accès effectifs tout comme les demandes de droits d’accès en conséquence, et prendre les décisions qui s’imposent en se posant les questions suivantes :

• Les droits d’accès de chaque personne de mon équipe ont-ils été approuvés ?
• Sont-ils indésirables, doivent-ils être révoqués ?
• Qui accède à quoi, quand, comment et pourquoi ?

Les droits d’accès seront ainsi passés au peigne fin ! Une fois la campagne terminée, les problèmes identifiés feront ensuite l’objet de remédiations de façon à réduire le nombre de situations à risques associées.

 

 

Revue et recertification : quelles distinctions notables ?

 

Au vu des nombreux points communs constatés entre ces deux dispositifs de contrôle, pas étonnant que nous soyons nombreux à confondre la revue des habilitations et la recertification des droits d’accès ! L’approche, de la configuration à l’exécution de l’exercice, est relativement similaire. Pour autant, les données sources examinées sont radicalement différentes et impactent leur portée.

 

Revue des droits d’accès : cap sur la conformité réglementaire

La revue périodique des habilitations s’appuie sur les droits réels et effectifs des utilisateurs tels que relevés dans chaque système, chaque application.

C’est une activité incontournable pour quiconque souhaiterait :

• Protéger et sécuriser les ressources au sein des SI de son entreprise, de son organisation.
• S’assurer que les politiques de sécurité en vigueur au sein de l’organisation sont bel et bien respectées (ISO 27001, ISO 27002, ISAE 3402, SOC 1 et 2, SOX, CMMC, HiTrust, Hipaa, CRBF, Solvency, etc.)
• Démontrer la conformité des droits d’accès utilisateurs de l’entreprise et ainsi répondre aux auditeurs.

En effet, la revue périodique des accès travaille sur le périmètre exhaustif des accès, quelle que soit leur nature ou la façon dont ils ont été obtenus (par une demande approuvée, automatiquement ou par un processus exceptionnel, par exemple). Elle permet de répondre au principe de “Complétude et Exactitude” (en anglais : completeness and accuracy) cher aux auditeurs.

 

Revue et conformité des droits d’accès : quel pré-requis pour relever le challenge ?

Avant de lancer une campagne, il vous faudra dresser l’inventaire des droits d’accès des utilisateurs pour l’ensemble des ressources qui doivent être examinées et vous assurer que la portée de la révision reflète fidèlement la situation des droits d’accès au moment de la révision, suivant une approche « bottom-up ».
Ainsi, la revue des droits d’accès utilisateurs permet un examen plus approfondi et plus complet des accès, qui permet également de contrôler l’efficacité du processus de demande d’accès.

 

Recertification des droits d’accès : focus sur les demandes d’accès

La recertification des accès étudie, elle, les demandes d’accès validées. Les comptes et droits d’accès qui auraient été créés en dehors du processus de demande d’accès risquent donc de ne pas être inclus dans le périmètre de la recertification.

 

La recertification des droits d’accès permet-elle de démontrer la conformité de vos droits d’accès ?

Contrairement à la revue des droits d’accès, la recertification des droits d’accès ne tient pas compte des droits réels : elle s’appuie uniquement sur les informations gérées dans le système IGA (Identity Governance and Administration) ou d’IAM (Identity and Access Management). Cela peut poser plusieurs problèmes.

Tout d’abord, le système IGA/IAM peut ne pas gérer l’ensemble des comptes du périmètre. Par exemple, les comptes bureautiques des utilisateurs sont gérés dans le système IGA tandis que les accès à privilèges sont gérés dans un système PAM. Plus important encore, les systèmes IGA/IAM n’ont qu’une connaissance partielle des droits attribués aux comptes : les droits “macro” (rôles applicatifs ou attribués via des groupes de sécurité) sont gérés dans le système IGA, tandis que les permissions fines sont gérées directement (et souvent manuellement) dans l’application. Dans ce cas, la recertification des accès IGA ne sera pas forcément un reflet fidèle des droits réels des utilisateurs dans l’application.

Pour cette raison, la mise en place d’un processus de recertification des accès est le plus souvent jugée insuffisante par les auditeurs lorsqu’il s’agit d’assurer la conformité des droits d’accès sur les applications et systèmes sensibles.

 

 

Revue et recertification des droits d’accès : deux démarches distinctes et complémentaires

 

Vous l’aurez compris : si la protection et la sécurité des ressources de l’entreprise reste une priorité partagée que l’on exécute une revue ou une recertification des droits d’accès, l’objectif visé et la nature des données examinées diffèrent dans les deux cas.
Une chose est sûre : s’outiller est une priorité pour quiconque souhaite gagner en temps et en efficacité à l’exécution de ses campagnes de revue des droits d’accès, notamment via une meilleure implication des responsables d’équipes qui en ont la charge.

Il faut également noter qu’il est possible de combiner les deux approches de revue et de recertification au sein du même processus. Par exemple, un plan de contrôle approprié permet de faire le rapprochement automatique entre les droits réels, effectifs, des utilisateurs dans les applications d’une part, et les demandes d’accès enregistrées dans le système IGA d’autre part. Les écarts détectés peuvent être mis en exergue durant le processus de revue périodique des accès, ce qui alertera le réviseur sur le caractère potentiellement illégitime d’un accès qui n’aurait pas été attribué selon le processus “officiel”.

Pour en savoir plus sur tous les bénéfices générés par l’automatisation de vos campagnes, contactez-nous ! Ensemble, franchissons le cap de la conformité de vos droits d’accès sans effort !

The post Revue des droits d’accès = recertification des droits d’accès ? appeared first on Brainwave GRC.

]]>