Contrôles ITGC : pourquoi sont-ils indispensables et comment les exécuter ?

Aujourd’hui aucune organisation n’y échappe : la sécurité et la conformité des droits d’accès doivent être démontrées et font l’objet de standards réglementaires (ISO 27001, ISO 27002, ISAE 3402, SOC 1 et 2, SOX, CMMC, HiTrust, Hipaa, CRBF, Solvency, etc.). La mise en place de contrôles généraux informatiques – IT General Controls ou ITGC en anglais – dans le cadre d’audit IT ou en marge de ces derniers, permettent notamment de vérifier la sécurité et la conformité des droits d’accès logiques des organisations.

Pour autant, leur exécution soulève un certain nombre de problématiques au sein des entreprises et l’absence de processus formels pour encadrer leur déclenchement expose les organisations à des risques considérables.

Au travers de trois cas pratiques réels, voyons pourquoi les contrôles ITGC sont incontournables pour protéger les ressources de votre organisation et pour préserver la santé votre activité. Profitons-en également pour découvrir comment optimiser leur exécution !

ITGC : à quoi servent-ils, dans quel cas y avoir recours ?

Les ITGC, définition

Les ITGC sont des contrôles généraux informatiques qui ont pour objectif de protéger les données de votre organisation de toute utilisation, divulgation ou compromission. Ils peuvent être appliqués aux applications, bases de données, droits d’accès logiques et infrastructures de votre Système d’Information (SI). Leur mise en place constitue une obligation réglementaire pour la majorité des entreprises et permet notamment de lutter contre les risques de vol ou de fraude de données.

Pour obtenir davantage d’éléments de contexte au sujet des ITGC, vous pouvez également consulter notre article dédié disponible ici.

Quel est le périmètre couvert par les ITGC ?

Les contrôles généraux IT ou ITGC peuvent s’appliquer à tous les niveaux et dans de nombreux domaines (cycle de vie des identités, comptes à privilèges, droits d’accès logiques, etc.). Ils contribuent à la mise en place et à la vérification de la conformité via plusieurs fonctionnalités.

Les principaux aspects des ITGC sur lesquels nous nous concentrerons ici sont les suivants :

• Le contrôle des droits d’accès logiques, soit le contrôle des droits d’accès utilisateurs à des applications, référentiels ou sources de données
• Les campagnes de revue des droits d’accès
• La séparation des droits ou SoD (Segregation of Duties)

ITGC et gestion de la conformité : quel processus interne type au sein des organisations ?

Afin d’appréhender au mieux les points de contrôles à envisager suivant vos besoins, comprendre les enjeux qui les sous-tendent et identifier les interlocuteurs impliqués, appuyons-nous ici sur un processus type de gestion de la conformité qui pourrait être appliqué au sein d’une organisation.

Ce processus type serait envisagé suivant trois niveaux de contrôle :

• Les ITGC permanents de niveau 1
  Ils désignent les contrôles opérationnels ou techniques menés par des personnes proches du terrain, tels que les responsables hiérarchiques, managers ou responsables d’application.  Leur problématique : identifier les actions effectuées sur le Système d’Information (SI) par leurs équipes ou – dans le cas des responsables d’application – savoir qui accède à quelles ressources et suivant quel niveau de permissions.
• Les ITGC permanents de niveau 2
  Ces contrôles permanents s’appliquent à l’échelle de la société ou d’un périmètre beaucoup plus large, sur des données consolidées. C’est notamment le cas des analyses de risques ou encore des contrôles indépendants, qui peuvent s’effectuer à n’importe quel moment de l’année. Ici, ce sont les services de contrôle interne ou les services de gestion des risques et de gestion de la conformité qui en ont la charge.
• Les ITGC récurrents de niveau 3
  Ce troisième niveau de contrôle fait référence aux contrôles post incidents ou aux contrôles périodiques. Ces derniers font ici office de contrôles de prévention mais aussi de preuve de conformité permettant d’attester le respect des réglementations auxquelles votre entreprise est soumise (SOX, HIPAA, RGPD, etc.). Les interlocuteurs finaux de ces contrôles sont les auditeurs internes et externes, ou encore les autorités de régulation issues de votre secteur d’activité ou de la zone géographique dans laquelle est implantée votre organisation. Ces dernières exigent en effet la réalisation de certains contrôles et la production de rapports attestant leur bonne exécution.

Les contrôles ITGC de niveau 2 et 3 s’appliquant sur des données consolidées, le premier enjeu est de rendre les contrôles de premier niveau les plus efficaces possibles. Ainsi, les contrôles de niveau 2 et 3 pourront être optimisés.

Pourquoi le recours aux ITGC appliqués aux droits d’accès logiques est-il indispensable ?

Au-delà de la nécessité de se conformer aux standards de sécurité et de conformité des droits d’accès, les ITGC sont un excellent moyen de protéger votre organisation d’une multitude de menaces. En effet, un défaut de contrôle lié aux droits d’accès de l’un de vos collaborateurs, aussi anodin qu’il puisse paraître, peut avoir des conséquences dramatiques.

De fait, le pilotage et l’exécution rigoureuse de ces contrôles est un prérequis indispensable pour ne pas mettre en péril votre organisation et fragiliser son équilibre financier.

Découvrez pourquoi via trois cas de figures ayant débouché sur des situations critiques… Qui auraient pu être évitées en recourant à l’exécution de contrôles généraux informatiques ciblés !

Cas pratique #1 : pourquoi l’exécution régulière des ITGC peut permettre d’éviter le pire ?

Le départ d’un collaborateur fait partie intégrante du quotidien d’une organisation. Pour autant, il s’agit d’un événement majeur qui doit faire l’objet de contrôles rigoureux, notamment au niveau des droits d’accès.

En effet, que se passerait-il si votre administrateur réseaux conservait des droits actifs après avoir quitté l’entreprise ? Cet ancien collaborateur possède des droits d’accès dotés de niveaux de permission élevés, ajustés aux besoins de la fonction qu’il occupe.

Tout comme une multitude de collaborateurs, il possède des accès à privilèges qui lui ont été accordés dans le cadre de ses fonctions : il accède donc à des ressources sensibles.

De surcroît, il a de toute évidence connaissance des éventuels points de vulnérabilité de votre SI.

Admettons que cette personne ait quitté l’entreprise dans un contexte conflictuel (démission, licenciement, etc.) et que ses comptes demeurent actifs…

Quels sont les risques auxquels votre organisation s’expose ?

Son statut de sachant, sa possibilité de pénétrer dans le SI via des droits d’accès à haut privilège rendent votre organisation vulnérable face à deux principaux types de menaces :

• Le sabotage ou la perturbation d’activité
  Votre ancien collaborateur utilise toujours ses droits d’accès et commet des dommages : effacement des données, suppression ou extinction de serveurs de façon massive pouvant conduire à un dysfonctionnement de vos services, vos applications, internes et/ou publiques
• La fuite de données
  La personne continue de se connecter au SI pour récupérer des données confidentielles pour son compte ou celui d’un concurrent (base de données clients, données financières liées à des politiques de vente, données de propriété intellectuelle, etc.)

Quels sont les impacts possibles ?

Il en existe une multitude et ils peuvent être de différente nature. En voici quelques-uns à titre d’exemple :

• Perte de clients ou perte de personnel au profit de la concurrence (dans le cas où votre ancien collaborateur débauche vos salariés par exemple, ou décide d’aller prospecter vos clients à l’aide de données confidentielles)
• Poursuites judiciaires de la part de clients impactés par les sabotages effectués sur votre SI
• Lourdes dépenses nécessaires pour remettre en service votre SI et le sécuriser

C’est arrivé à… Cisco !

En 2018, un administrateur système de Cisco démissionne et conserve des droits actifs. Plusieurs mois après son départ, il se connecte et commet des dommages conséquents :

• Plus de 450 serveurs qui opéraient le service Webex (le service de visio-conférence de Cisco) sont effacés
• 16000 comptes clients accédant à ce service sont supprimés

Pour restaurer les comptes et relancer Webex, deux semaines de travail intensifs sont nécessaires. Au total, l’opération aura coûté près de 2.4 millions de dollars à l’entreprise :

• 1 million alloué à la main d’œuvre pour rétablir le service
• 1.4 million de dépenses en matériel, logiciel et actions de restauration

Sans compter, bien entendu, les conséquences de cette attaque sur le service Webex, commerciales et en termes d’image.

Cisco est loin d’être un cas isolé : l’opérateur de crédit américain Equifax ou encore la marine américaine ont connu des déboires similaires à la suite du départ de l’un des membres de leurs équipes. Ce fut également le cas de l’ARS Île-de-France, visée par une attaque du même type en 2016, et dont l’auteur – un ex-prestataire de l’ARS – a été jugé et condamné fin novembre 2022.

Pourquoi et comment l’exécution d’ITGC aurait pu permettre d’éviter une telle situation ?

Pour éviter ce type de dérive, deux types de contrôles généraux informatiques (ITGC) auraient pu être envisagés :

• Les contrôles ITGC permanents
• Les contrôles ITGC à déclencher en cas d’événement particulier

Les ITGC permanents sont particulièrement utiles pour :

• Identifier les comptes actifs des personnes qui ont quitté l’entreprise
• Lister les comptes orphelins, les comptes dormants, les comptes techniques, génériques, de test ou de formation (dont les administrateurs systèmes peuvent avoir connaissance et peuvent être tentés d’exploiter sans que l’on puisse retracer leurs actions et remonter jusqu’à eux)
• Monitorer l’activité des personnes détenant des accès à privilèges (identifier la périodicité de leurs connexions aux actifs sensibles, les dernières transactions réalisées, etc.)

Les ITGC associés à des événements peuvent quant à eux être déclenchés dès que la date de départ d’une identité est renseignée dans le système RH. Cela permettrait notamment de :

• Lister les accès à privilèges dont la personne dispose
• Repérer d’éventuels accès actifs qui ne devraient pas l’être
• Recenser les permissions d’une personne en cas de mobilité interne (changement de département ou de fonction métier)
• Répertorier tous les accès détenus par une personne associée à un conflit d’intérêt au sein de l’organisation

Cas pratique #2 : pourquoi recourir aux ITGC pour résoudre des conflits de SoD ?

Comment prévenir ou détecter les conflits de SoD ?

L’un des principes de base en matière de sécurité des droits d’accès est de veiller à éviter – autant que faire se peut – les combinaisons de droits toxiques en respectant le principe de séparation des tâches (Segregation of Duties ou SoD en anglais). À ce titre, certaines réglementations exigent d’ailleurs la surveillance de l’activité des identités détenant des permissions dont la combinaison est toxique.

À titre d’exemple, une personne ayant la possibilité de modifier un Relevé d’Identité Bancaire (RIB) dans un logiciel de paie tout en ayant les accès nécessaires pour émettre un virement cumule des droits d’accès occasionnant une combinaison toxique. La fraude ou l’erreur humaine devient dès lors possible et impacte directement l’entreprise. C’est pourquoi le principe de séparation des tâches doit être observé autant que possible.

Quels sont les risques auxquels votre organisation s’expose ?

Ils sont multiples ! En voici quelques-uns :

• Cas de surfacturation via des fournisseurs fictifs ou en situation de conflits d’intérêt : un acheteur déclare un fournisseur fictif et relie son propre relevé de compte à ce fournisseur pour se faire des versements si les droits d’accès qui permettent de créer des fournisseurs, d’émettre des virements et de valider des commandes sont combinés
• Cas de fraude boursière (dans les banques ou dans les institutions financières) : une personne peut effectuer des achats d’actifs risqués en s’affranchissant de la couverture nécessaire pour sécuriser les fonds propres de l’organisation
• Cas de fraude financière : un collaborateur génère la création de clients et de revenus fictifs de manière à gonfler artificiellement le chiffre d’affaires, pour embellir les comptes de l’entreprise dans le cas d’une fusion acquisition, ou de façon à laisser croire que ses objectifs individuels sont atteints et ainsi percevoir son bonus

Quels sont les impacts possibles ?

Les cas de fraude évoqués plus haut peuvent donner lieu à :

• Des pertes financières, la chute de valeurs en bourse
• Des dommages considérables en termes d’image et de réputation qu’il sera nécessaire de compenser en mettant en place une stratégie de communication de gestion de crise
• Des poursuites judiciaires et des sanctions pénales (amendes, emprisonnement) à l’encontre des dirigeants de l’organisation impliquée dans un cas de fraude

C’est arrivé à… un équipementier automobile

Celui-ci constate une fraude interne massive, équivalente à plus de 20 millions d’euros. En cause : l’existence d’un système de fausse facturation monté de toutes pièces par des prestataires indélicats ayant accès au système de gestion de l’entreprise dans un pays de sous-traitance asiatique.

Ce système de fausse facturation profitait directement aux proches des auteurs de la fraude, et a pu être élaboré via l’exploitation de droits d’accès trop étendus qui leur avaient alors été attribués dans l’ERP.

Pourquoi l’exécution d’ITGC aurait-elle pu éviter cette situation ?

La mise en place d’ITGC permanents aurait permis :

• D’identifier la liste des combinaisons de permissions toxiques en établissant une cartographie des droits d’accès affectés aux utilisateurs, et en réalisant des contrôles réguliers sur les situations à risques détectées
• La création d’un catalogue de rôles (role mining) regroupant des ensembles de permissions compatibles et attribuées en une seule fois aux collaborateurs qui en ont besoin dans le cadre de leurs fonctions
• D’exécuter des contrôles sur le contenu de chaque rôle et sur les personnes qui y accèdent
• De recenser les personnes détenant des droits d’accès sur les applications sans demande préalable ou non validés via une application de gestion des droits d’accès (IAM), au sein de laquelle ces processus de demande sont documentés

Les contrôles ITGC liés à un événement s’avèrent quant à eux particulièrement utiles pour :

• Déclencher des campagnes de revues des droits d’accès appliquées aux identités en situation de mobilité. On pourrait ainsi décider que chaque mouvement au sein de l’entreprise déclenche une campagne de revue des droits d’accès dans le cadre de laquelle il sera demandé au manager de recertifier les droits d’accès des personnes changeant de département. Le responsable d’équipe pourrait ainsi révoquer les droits associés aux anciennes fonctions occupées par la personne s’ils ne sont plus nécessaires, soit valider leur maintien
• Dans le cas de droits cumulés générant une combinaison toxique identifiée, des alertes pourraient être déclenchées lorsque l’utilisateur qui les détient se connecte aux applications associées, de façon à monitorer son activité
• Enfin, un système d’alerte pourrait également être mis en place lorsqu’un nouveau droit tout juste attribué génère un conflit de SoD

Contrôles ITGC : comment faciliter leur exécution ?

ITGC : des contrôles aux bénéfices certains mais parfois complexes à exécuter.

Comme nous avons pu le voir au cours des deux cas pratiques étudiés, les contrôles généraux informatiques comportent de nombreux bénéfices.

L’optimisation des tâches de contrôle des accès logiques peut ainsi permettre de :

• Réduire les risques associés aux droits d’accès logiques
• Lutter contre la fraude interne
• Améliorer la défense des organisations contre les risques cyber
• Démontrer aux auditeurs la conformité des droits d’accès logiques au sein des entreprises

Toutefois, nombre d’organisations peinent à mettre en place ces contrôles qui impliquent la corrélation et la mise en qualité de données hétérogènes et nombreuses, dans un contexte où des mouvements internes sont perpétuellement à l’œuvre.

L’automatisation des contrôles ITGC avec Radiant Logic

Avec Radiant Logic Identity Analytics, offrez-vous une vision à 360° des droits d’accès présents au sein de votre SI et découvrez comment :

• Automatiser votre plan de contrôle à l’aide de plus de 150 points de contrôle standards intégrés
• Enrichir votre plan de contrôle avec des contrôles paramétrables et ajustables à vos besoins spécifiques
• Générer des rapports vous permettant de lister les écarts
• Suivre les contrôles compensatoires et les exceptions de contrôle
• Automatiser vos campagnes de revues des droits d’accès
• Créer un catalogue de rôles métiers pertinents
• Produire des rapports de conformité à fournir à vos auditeurs

Envie d’en savoir plus ? Discutons-en ensemble !