Retour au blog

Revue des droits d’accès : 10 bonnes pratiques pour l’optimiser !

10 Best Practices to Optimize Your User Access Reviews
Sommaire

Une contrainte fastidieuse pour les entreprises

Pour toute organisation, la revue des droits d’accès – ou recertification des accès –  est une activité incontournable. Composant critique de votre stratégie d’Identity and Access Management (IAM), ce dispositif de contrôle permet de vous assurer que les utilisateurs de votre Système d’Information (SI) disposent de droits d’accès légitimes et cohérents.

Ainsi, la revue des habilitations contribue notamment :

  • à la sécurisation et la protection des ressources présentes dans votre système d’information,
  • au respect de la politique de sécurité de votre entreprise,
  • à la mise en conformité des droits d’accès de l’ensemble des collaborateurs.

Si vous vous êtes déjà prêté à l’exercice, vous pourrez certainement en attester : la revue des droits d’accès est souvent vécue comme une tâche pénible, voire difficile à terminer. Pour y remédier, voici quelques bonnes pratiques afin de l’exécuter de bout en bout de façon simple, rapide et efficace !

Avant de vous lancer, planifiez votre revue des habilitations

La définition des paramètres de votre revue des droits d’accès est fondamentale pour optimiser chaque étape d’exécution, déterminer qui en seront les principaux acteurs et identifier immédiatement les éventuels freins.

1. Définissez votre stratégie

En amont, prenez le temps de penser votre stratégie afin de fluidifier les process et répondre aux objectifs que vous vous êtes fixé ! Posez-vous ces questions simples mais pour le moins déterminantes :

  • Quel est mon objectif en lançant ma campagne ? Qui doit être impliqué ?
  • Quel type de revue permet de répondre à mon objectif ? (périodique, continue)
  • Quelle doit être sa fréquence ?
  • De combien de temps ai-je besoin ?
  • Quels sont les délais impartis ?
  • Quelle stratégie d’actions correctives dois-je privilégier ?

Aborder ces points vous permettra de définir votre politique de revue de droits d’accès, puis de définir les modalités d’exécution qui en découlent en arbitrant chacun de vos choix de façon éclairée et en anticipant chaque aléa.

2. Délimitez le périmètre de votre revue des habilitations

Une fois votre stratégie globale définie, ciblez le périmètre à revoir en conséquence. Face au volume de droits d’accès à revoir, vous pouvez adopter une démarche de priorisation par les risques :

  • Quels sont les droits d’accès utilisateurs associés à des comptes à haut privilège ou portant sur des systèmes sensibles ?
  • Quels sont ceux générant des anomalies de contrôle ?
  • Quels sont ceux qui ont été impactés par des changements ?
  • Au vu de mon objectif (sécurité, conformité), lesquels dois-je revoir en priorité ?
  • Qui va les revoir ?

Une telle stratégie permet le plus souvent de diviser par cinq le volume des droits à revoir en priorité ! En réduisant le volume d’informations à valider, vous gagnerez un temps considérable et pourrez ainsi :

  • Respecter votre deadline.
  • Augmenter la fréquence de vos campagnes.
  • Gagner en réactivité et corriger rapidement les écarts constatés.
3. Favorisez la fiabilité de vos revues

Les américains appellent ce principe “Consistency and Accuracy”. En pratique, il s’agit de vérifier la cohérence et l’exhaustivité des revues telles qu’elles ont été préparées, juste avant leur lancement officiel. Tous les accès dans le périmètre doivent être revus une – et seulement une – seule fois. Est-ce que cela sera bien le cas ?

En effet, toute erreur à ce stade est susceptible de rendre caduc le résultat de la revue : autant s’y reprendre à deux fois avant de solliciter des dizaines, voire des centaines de réviseurs ! Mais attention, mener à bien cette double vérification n’est pas toujours aussi simple qu’on pourrait le penser. Un exemple : avec la rotation habituelle du personnel, il n’est pas improbable que des collaborateurs de l’entreprise n’aient transitoirement plus de manager affecté au moment où la revue est préparée. Il faut donc les identifier pour réaffecter la révision de leurs accès à un autre manager.

De plus, cette vérification de cohérence servira également d’élément de preuve pour les auditeurs en ce qu’elle permet de démontrer la fiabilité et l’intégrité des données par rapport au périmètre des droits à revoir sur les systèmes.

Gagnez l’adhésion de vos équipes pour une revue plus efficace

Pour mener à bien votre revue de droits d’accès, l’engagement de toutes les parties prenantes est essentiel : les équipes métier chargées de la révision des données jouent un rôle clé ! Impliquez-les davantage dans l’exécution des processus en soignant votre communication, la qualité des informations et des supports partagés.

4. Prêtez attention à la qualité des données transmises

Quoi de plus agaçant pour vos interlocuteurs que de passer au peigne fin des données incompréhensibles ou périmées. Ne prenez pas le risque de les voir se désinvestir de leur tâche et de compromettre le succès de votre campagne !

Avant de partager vos données, assurez-vous que celles-ci soient à jour : vérifiez par exemple que les anciens collaborateurs ont été supprimés de vos fichiers, au même titre que les nouveaux y figurent. En parallèle, veillez à ce que l’ensemble des informations transmises puissent être rapidement comprises et interprétées par les responsables métier impliqués. Cela implique de s’assurer que les habilitations sont faciles à comprendre et disposent d’une description explicite de leur action et portée.

À titre d’exemple, on peut adjoindre une description en sus de l’identifiant technique d’un groupe de sécurité pour indiquer quels sont les droits d’accès accordés aux membres de ce groupe.  La prise de décision des réviseurs en sera d’autant plus facilitée et pertinente, et la sécurité des données favorisée.

5. Sensibilisez les équipes métier aux enjeux de la revue des habilitations

Donnez du poids à l’exercice et valorisez l’action de chacun en communiquant avec les équipes : la revue est une tâche complexe qui engage la responsabilité de tous ceux qui en sont acteurs. Chaque partie prenante de votre projet de campagne doit donc être identifiée, et être informée de manière claire et précise des missions qui lui incombent. La bonne compréhension des enjeux qui sous-tendent chaque campagne est une donnée clé. Sensibilisez-les à la démarche et à la nécessité de respecter le processus avec rigueur et ponctualité.

6. Rendre l’exercice plus agréable, c’est possible

Excel a montré ses limites, il est temps de passer à autre chose. Faites croître la productivité des équipes en leur proposant une expérience plus conviviale et ergonomique. Des outils existent et vous permettent en quelques clics de rendre les informations plus lisibles et plus faciles à manier. La validation des données est facilitée et bien plus rapide à réaliser. De fait, toutes les parties prenantes de votre campagne s’emparent plus rapidement des missions qui leur sont confiées et se montrent d’autant plus impliquées.

Alliez votre méthodologie à un outil dédié : automatisez vos campagnes

Plus de temps à perdre ! Votre campagne est configurée, les équipes sont dans les starting-blocks… Outillez-vous pour l’exécuter dans les temps, identifier les problèmes et sécuriser vos données.

7. Cap sur l’automatisation

Oubliez le mode manuel et simplifiez-vous la tâche à bien des égards : automatisez et industrialisez vos revues des habilitations à l’aide d’une solution spécialisée. En bénéficiant d’une interface unique, l’ensemble des processus sont fluidifiés, vous pilotez votre campagne avec aisance tout en gagnant un temps fou ! Atteignez les objectifs que vous vous êtes fixé tout en visant :

  • La fiabilité des informations détenues, en éliminant les risques d’erreurs dûs à la préparation manuelle des données.
  • La traçabilité du processus. Vous pouvez désormais piloter la revue sans effort, retrouver qui a revu quoi, et agir (relances, escalades) pour garantir son achèvement à 100% dans les temps.
  • La conformité de vos droits d’accès utilisateurs. L’ensemble des décisions prises sont suivies d’effets, les résultats sont non répudiables, vous disposez d’un historique complet et détaillé des revues pouvant être présenté lors d’un audit.
8. Fournissez des éléments d’aide à la décision

Afin d’arbitrer ses décisions, le réviseur a besoin d’accéder à des informations contextuelles, comme par exemple :

  • les caractéristiques des comptes d’accès,
  • les caractéristiques des applications,
  • les anomalies détectées,
  • les précédentes décisions, etc.

Il est indispensable de faciliter l’accès du réviseur à ces informations afin d’éviter les pertes de temps et d’améliorer la qualité des décisions prises. Le réviseur pourra tirer pleinement profit de toutes ces informations, en s’appuyant sur la corrélation nécessaire entre le périmètre des missions de chaque collaborateur et les droits octroyés, ou sur les écarts de contrôle déjà détectés (les contrôles généraux ITGC par exemple).

L’historique de revue s’avère ici particulièrement utile : la revue étant un exercice récurrent, on peut considérer qu’en l’absence de changement une décision précédente demeure valable.

Votre campagne est terminée : il est temps de répondre à vos auditeurs

Il faut à présent agir pour aligner les systèmes avec les décisions prises durant la revue et ainsi assurer la conformité des droits d’accès concernés… Sans oublier de faire le bilan.

9. Assurez-vous que votre campagne soit suivie d’effets

Pour répondre aux exigences de conformité et aux recommandations émises par vos auditeurs, vous devez être en mesure de démontrer que des actions correctives ou des contrôles compensatoires ont bel et bien été mis en œuvre pour résoudre chaque problème identifié. Les corrections sont le plus souvent demandées à la Direction des Systèmes d’Information (DSI) qui est garante des applications et systèmes, par exemple au travers d’un système d’IAM ou d’un système de ticketing. Leur bonne application doit être vérifiée a posteriori.

Au-delà du respect des réglementations d’audit et des contraintes de conformité auxquelles vous êtes soumis, la réalisation d’un tel suivi permet de donner du poids à :

  • Votre campagne. Si l’exercice est fastidieux, il est utile ! De véritables risques sont mis à jour, des réponses rapides et concrètes sont apportées pour y remédier.
  • L’effort fourni par les équipes. Leurs actions ont des répercussions directes et permettent de maintenir la sécurité de vos données et la conformité des droits d’accès de l’entreprise. La situation s’améliore visiblement à chaque revue.
10. Évaluez le temps passé à effectuer votre revue de droits d’accès

Loin d’être un détail, le temps passé à la réaliser est un indicateur phare. Cependant, et contrairement aux a priori véhiculés, il s’agit d’une tâche qui peut être effectuée rapidement.

Une revue trop longue risque de vous empêcher d’atteindre votre objectif, et pour cause :

  • Les délais fixés ne peuvent être respectés, celle-ci reste inachevée.
  • Faite dans l’urgence de façon à respecter les contraintes de temps imposées, les décisions sont prises trop rapidement.

Dans tous les cas, le résultat obtenu n’est pas satisfaisant : les risques ne sont pas clairement identifiés, vos ressources sont en péril et votre objectif de conformité n’est pas rempli.

Mettez en place une démarche d’amélioration en continu et faites le point rapidement une fois votre campagne terminée. Mesurez le temps passé suivant vos objectifs et le périmètre ciblé.

Vous et vos équipes y avez passé plusieurs heures ou vous n’êtes tout bonnement pas parvenus à la terminer ? Changez d’approche : reconsidérer votre stratégie, recourir à de nouvelles solutions et à un accompagnement dédié peut vous permettre de réaliser vos revues de droits d’accès dans des conditions idéales.

Recevez nos derniers articles

Des innovations en matière d’identité aux tendances façonnant l’industrie, explorez le monde de la sécurité numérique avec l’équipe de Radiant Logic.

Name(Nécessaire)
Opt-In(Nécessaire)
Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.