Les accès aux infrastructures ne sont pas toujours bien compris ni contrôlés ou revus. Les projets IAM/IAG se concentrent sur les droits applicatifs, en délaissant en général les accès aux infrastructures. Il est alors fréquent de constater que les comptes et les droits affectés à ces accès s’accumulent, sans que personne n’ose y toucher de peur de déstabiliser un système qui fonctionne. En outre, les systèmes hébergés dans le cloud sont de plus en plus nombreux : force est de constater que les initiatives abouties et matures de gouvernance de ce type d’accès sont encore peu développées.
Pourtant, ces comptes représentent un enjeu majeur du fait de leur sensibilité. Et pour preuve : les auditeurs s’intéressent de plus en plus aux accès aux infrastructures ! C’est le moment : découvrons ensemble les enjeux et mécanismes qui sous-tendent la revue des droits d’accès aux infrastructures !
Pourquoi est-on amené à mettre en place une revue des accès aux infrastructures ?
La revue des accès applicatifs ne suffit pas pour assurer la conformité ni pour réduire les risques. Il est crucial de considérer tout le silo : infrastructures, données, applications. La couche infrastructure est elle-même sujette à des risques particuliers et très élevés comme des altérations des systèmes, des vols de données, etc.
De nombreux accès à privilèges concernent les infrastructures et parmi eux beaucoup d’accès anonymes (comptes de services, comptes techniques, comptes génériques, etc.), qu’il est souvent compliqué de rapprocher d’un utilisateur ou d’un usage. Les comptes historiques finissent souvent par s’accumuler et ne sont parfois même plus documentés.
Revoir les accès aux infrastructures est un moyen de reconstituer cet historique et de procéder à un nettoyage au fil de l’eau, pour enfin remplir les objectifs de conformité et de réduction des risques.
Quelles sont les spécificités de ces revues par rapport aux revues applicatives ?
Les accès aux infrastructures sont complexes, très nombreux (pour un compte applicatif, on peut facilement dénombrer de 5 à 10 comptes d’infrastructure) et d’une grande hétérogénéité. Par ailleurs, leur modèle de sécurité diffère de celui de la plupart des applications métier.
Les revues de ces accès sont donc à planifier et à mener indépendamment des revues applicatives, avec des règles métier et des participants différents. Il faut soigner la préparation et bien définir leur champ d’action, la nature des droits à revoir et la profondeur de la revue :
- Quels systèmes ? (Windows, Linux, PAM)
- On Premise ou Cloud ?
- Que revoir ? Quelle profondeur de revue ? Les concepts sont différents en fonction de l’analyse à mener (Comptes, groupes, ACLs, SUDO, etc.).
- Qui sont les réviseurs : qui est en mesure de prendre des décisions éclairées sur ces accès ?
Quelles en sont les difficultés ?
La collecte des données relatives aux droits d’accès est souvent difficile à industrialiser du fait de leur volumétrie très importante et de leur éparpillement sur les différents systèmes. La multiplicité des comptes locaux est un bon exemple de cette dissémination des accès : il faut les bannir autant que possible.
Par ailleurs, la qualité des données à analyser est rarement d’un niveau satisfaisant : un travail préliminaire parfois conséquent est nécessaire pour rapprocher les comptes des utilisateurs, comprendre la destination des comptes techniques, identifier qui doit revoir quoi.
Ce sont des responsables techniques à qui l’on présente cette revue : ce sont eux qui sont pertinents pour analyser les droits d’accès aux infrastructures. La volumétrie déjà évoquée plus haut est une problématique réelle, car pour une même infrastructure, un responsable technique peut être amené à revoir une quantité significative de ressources.
Quel est le secret pour réussir votre revue des droits d’accès aux infrastructures ?
Il faut éviter de réinventer la roue à chaque fois. Lors du travail en amont de cartographie des accès, s’appuyer autant que possible sur les systèmes en place (annuaire, PAM, solution d’Identity Analytics) permet de faciliter la revue et tirer parti au maximum des données déjà présentes dans les systèmes et les middlewares. Selon la situation de départ, l’ampleur de la tâche peut être considérable. La bonne pratique est de procéder par étapes pour retrouver la liste des propriétaires et faire du nettoyage, et dans la mesure du possible en amont de la revue pour éviter d’alourdir inutilement le process.
Faire ce travail de nettoyage peut aider à retrouver ou reconstruire le lien entre le compte et l’identité et identifier les comptes techniques et de service. Ceci permet de reconstruire le lien entre le pan applicatif et le pan infrastructures pour faciliter la mise en place de la revue. Ainsi, lors de la définition du périmètre applicatif à revoir, le périmètre de ressources « infrastructures » qui doit être pris en compte dans la revue d’accès se déduit aisément.
Un autre facteur important pour mener à bien les missions de revues d’accès aux infrastructures est la sensibilisation des managers. Cela peut passer par la mise en place d’un process dédié, mais aussi et surtout, par la volonté de la direction d’intégrer la revue aux objectifs des managers. Réussir à impliquer les équipes passe aussi par le fait de les outiller correctement, avec une solution permettant notamment de cartographier les accès et d’automatiser le process de revue.
Les accès aux infrastructures évoluent moins vite que les accès applicatifs. Une fois la revue réalisée sur le périmètre complet, on peut se restreindre à ne revoir que les changements ou les écarts de contrôle. En identifiant (en “taguant”) les accès sensibles, on peut également focaliser la revue sur ceux qui présentent un risque effectif (périmètre “Sarbanes-Oxley” par exemple).
Pour aller plus loin, le dé-provisonnement des droits d’accès peut être anticipé dès la construction du processus de revue, en identifiant pour chaque système quelle information va permettre de proposer une révocation de droit. Car effectivement s’il est important de revoir les problèmes, il faut être en mesure de pouvoir les corriger !
Alors, prêt pour vos revues d’accès aux infrastructures ?
L’ampleur de la tâche peut être déroutante lorsqu’on se lance sur ce type de projet. Néanmoins son succès est optimisé si l’on se réfère à une méthodologie claire, aux bonnes pratiques listées plus haut, et si l’on s’équipe d’une solution dédiée pour traiter la volumétrie et l’hétérogénéité des données.
Une solution d’Identity Analytics comme Brainwave GRC est en effet incontournable pour mener ces campagnes de revue sur l’ensemble de ces périmètres et favoriser l’implication des équipes, grâce à des fonctionnalités de cartographies des accès, d’automatisation, et à des interfaces intuitives.
