Revue des droits d’accès périodique ou continue, cas d’usages

ISO 27002, NIST, Sarbanes Oxley – SoX : si votre organisation est soumise à l’une ou plusieurs de ces réglementations, le recours à la revue périodique des droits d’accès s’avère indispensable. Manuelle ou automatisée, elle constitue l’un des fondements du processus de contrôle interne, et vous permettra de démontrer la conformité des accès de votre organisation auprès des auditeurs.
La revue des droits d’accès en continu s’appuie quant à elle sur une approche de terrain. Arrivée d’un collaborateur, changement d’affectation, nouveaux droits accordés, écarts de sécurité, accès atypique… Sont autant d’événements que la revue des droits d’accès en continu peut détecter afin de déclencher les actions de remédiation nécessaires et réduire ainsi les failles de sécurité, les risques de vol ou d’altération de vos données.

Pour ce second article, place à la pratique ! Via l’étude de trois cas d’usage, découvrons ensemble les différentes manières d’exploiter le potentiel de la revue périodique des droits d’accès et de la revue en continu pour répondre aux multiples enjeux à l’œuvre au sein des organisations. Prêt.e ? C’est parti !

Cas d’usage #1 : revue périodique des accès et conformité SoX 

L’organisation dont il est question dans ce premier cas d’usage est un établissement financier qui gère plus de 50000 identités. Sa problématique : s’assurer de la conformité de ses accès et pouvoir démontrer celle-ci auprès des auditeurs.

La revue périodique appliquée aux systèmes financiers

Dans ce cas de figure précis, l’organisation doit répondre à un objectif de mise en conformité : un avis doit être rendu, faisant état des processus de contrôle à l’œuvre et de la bonne gestion des droits d’accès sur le périmètre financier. L’exécution d’une revue périodique des droits d’accès trimestrielle ou annuelle est donc indispensable.

Objectif : valider les habilitations des utilisateurs.

• Les applications métier liées aux transactions financières, ainsi que sur les infrastructures sous-jacentes.  
• Les habilitations « SoX-sensitive », soit toutes les habilitations ayant un accès en écriture sur les données, ou pouvant modifier un système de configuration.

Il s’agira ensuite de traiter l’ensemble des demandes de remédiation qui découlent de ces points de contrôle. Dans le cas de cette organisation, toute décision de révocation déclenche l’émission d’un ticket de service (ITSM). 

La revue périodique des droits d’accès est donc bel et bien utilisée ici pour démontrer la conformité des habilitations octroyées. Les auditeurs émettront un avis une fois qu’ils se seront assurés que l’ensemble des contrôles nécessaires a bien été effectué en temps et en heure, et que l’on atteint une certaine complétude. 

Cette donne est primordiale… Et prévaut d’ailleurs sur la validation des fonds de données ! À titre d’exemple, si toutes les données sont validées sans être examinées au préalable, l’auditeur n’émettra pas de jugement de valeur sur le fait qu’il n’y ait pas de révocations de données. Son objectif étant simplement de s’assurer que les processus de contrôle ont été réalisés.

Un processus de revue périodique des droits d’accès aux délais stricts

Ici, l’organisation a opté pour une revue périodique des droits d’accès trimestrielle, qui se découpe en trois étapes : 

• La campagne est préparée, le périmètre de révision est défini. Cette tâche est exécutée en deux ou trois jours.
• Les listes réalisées lors de la définition du périmètre sont diffusées au travers du moteur de workflow à tous les réviseurs. Dans ce cas précis, ils sont près de 1000 et ont très exactement 30 jours pour réaliser la revue.
• Les résultats sont ensuite consolidés et des actions de remédiation sont engagées durant les deux semaines suivantes afin de résoudre les problèmes identifiés lors de la revue.

La revue périodique des droits d’accès ayant pour objectif la mise en conformité des accès, il est fondamental de respecter le délai d’exécution fixé. Le cas échéant, il serait préférable d’envisager la révocation automatique des accès n’ayant pu être revus dans les temps… En effet, il apparaît complexe de démontrer la conformité de ses accès lorsque seule une partie d’entre eux a fait l’objet d’un contrôle. Être conforme nécessite une revue complète du périmètre visé : cela fait partie intégrante du processus de revue périodique des accès.

À NOTER

Au cours de ces trois étapes, de multiples fonctionnalités disponibles via la solution proposée par Brainwave permettent de faciliter la tâche aux réviseurs :

• La pré-approbation : les accès en lecture seule ne permettent pas de modifier de données. Dans le cadre d’une revue de conformité SoX, un tel type d’accès n’est pas considéré comme sensible, et peut donc être approuvé par défaut. En l’occurrence, le réviseur a la possibilité de déceler automatiquement l’ensemble des accès approuvés par défaut.
• Les faits marquants : il est possible de mettre en évidence certains problèmes, comme un écart de contrôle par exemple et suggérer au réviseur des actions.
• Les révocations automatiques : certaines situations atypiques par définition peuvent occasionner une révocation sans que l’intervention du réviseur ne soit nécessaire.
• L’historique : l’accès aux revues antérieures peut venir étayer certaines prises de décision.

Cas d’usage #2 : le recours à la revue des droits d’accès en continu pour le tagging de comptes techniques 

Comptes techniques : vers une meilleure identification pour des attributions pertinentes

• Les comptes nominatifs, attribués à des personnes physiques qui en détiennent l’usage exclusif.
• Les comptes partagés, dont l’accès est généralement délivré à un ensemble de collaborateurs.

Outre les comptes nominatifs, nombre de collaborateurs au sein des organisations disposent d’accès à des comptes dits techniques, de service, ou administratifs. Tout comme les comptes personnels, il convient de répertorier qui y a accès et qui en est responsable pour être certain que les accès octroyés sont toujours pertinents. 

Ici, cet éditeur de logiciel dénombre une multitude de comptes systèmes Unix-Linux, anciens et hétérogènes, au sein desquels beaucoup de comptes locaux ont été créés.

Deux principaux objectifs sont ainsi visés via l’exécution des revues de droits d’accès :

• Répertorier l’ensemble des comptes systèmes et comptes techniques afin de s’assurer que chacun d’entre eux est bel et bien attribué aux bonnes personnes. À savoir les administrateurs et utilisateurs système, qui sont responsables de ces comptes du point de vue de la conformité. 
• Éliminer toutes les ambiguïtés d’identification des comptes et de leurs usages respectifs, notamment dû au fait que les règles de nommage de ces comptes n’ont pas toujours été appliquées.

Le choix de la revue des droits d’accès en continu pour répondre aux enjeux identifiés

Dans ce cas précis, la mise en place d’un processus de revue des droits d’accès en continu est privilégiée, en amont de l’exécution de la revue périodique des droits d’accès. Une approche complémentaire qui va permettre de traiter plusieurs dizaines de milliers de comptes suivant une logique de flux qui permet de pointer les incidents associés.

La revue des droits d’accès en continu s’apparente ici à la file d’attente d’un système de ticketing qui va s’effectuer comme suit :  

• Les comptes inconnus (plus de 10000) – dont l’historique a été perdu ou comportant des ambiguïtés d’identification par exemple – sont placés dans une file d’attente.
• Chaque compte est examiné par un opérateur afin d’en déterminer le propriétaire, l’usage, s’assurer qu’il est attribué de manière pertinente, et qu’il est toujours utilisé.
• Suivant les réponses obtenues, un processus va être déclenché pour rectifier les informations, corriger les caractéristiques du compte, voire, le cas échéant, le révoquer s’il n’est plus utilisé. Des actions de remédiation sont ainsi déclenchées. Leur avancement est mesuré à l’aide d’indicateurs clés de performance, de mesures de flux traditionnelles (nombre de comptes traités par semaine, nombre de comptes restants).

Une fois ces comptes taggués et classifiés, ils vont pouvoir réintégrer un processus de conformité en entrant dans le périmètre couvert par la revue périodique des droits d’accès. L’objectif de cette dernière sera alors de s’assurer que ces comptes sont toujours adéquats, suivant le référentiel de conformité de l’organisation.

Cas d’usage #3 : de la micro-certification à la revue des droits d’accès en continu

Le principe de la micro-certification

La micro-certification répond à quelques prérequis indispensables : 

• Elle doit être fréquente, de courte durée, et se focaliser sur les changements.
• Son exécution doit être parfaite afin d’éviter l’accumulation de backlogs.
• Elle est jugée efficace lorsqu’elle est effectuée au sein d’une organisation mature.

La micro-certification s’apparente à une certification périodique, très optimisée, à la fréquence soutenue, qui répond à un objectif de conformité. Ainsi, lorsque l’on a à faire à des ressources dites très sensibles, il peut être intéressant une fois la revue périodique des droits d’accès réalisée de s’atteler à la micro-certification mensuelle qui opérera uniquement sur les changements constatés. 

En mêlant ces deux approches, l’organisation s’inscrit à la fois dans une logique de conformité… et de réduction des risques !

Revue périodique des droits d’accès et revue des droits d’accès en continu : dans quel cas opter pour une approche combinée ?

• L’ensemble des ressources fait l’objet d’une revue périodique semestrielle.
• Les ressources sensibles comportant un niveau de confidentialité spécifique sont revues de manière trimestrielle.
• Les ressources dites très sensibles (ici, les groupes d’administration donnant accès aux systèmes du core business de l’institution) sont soumises à un processus de micro-certification hebdomadaire, l’objectif étant d’identifier les changements afin d’éviter toute faille de sécurité.

En parallèle, un mécanisme de revue des droits des accès en continu est également exécuté. Cela consiste à faire la revue des incidents (écarts de contrôles sur des contrôles à haut niveau de risque, par exemple). Chaque incident fait l’objet d’une alerte qui peut survenir à tout moment, auquel cas il est nécessaire d’intervenir immédiatement.

• L’objectif de conformité est rempli grâce à la mise en place de revues périodiques complétées par le processus de micro-certification, qui permet d’optimiser la revue.
• La gestion des risques est assurée à l’aide de la revue des droits d’accès en continu et un système d’alerting efficace. 

Il est intéressant de noter que la complémentarité des différents types d’approches et de revues permet véritablement de reprendre le contrôle de ses accès. 

Alors que la revue périodique des accès et la micro-certification vont permettre, chacune à leur niveau, de démontrer la conformité des accès auprès des auditeurs, la revue des accès en continu va quant à elle contribuer à la réduction considérable des risques. Le tout, en prenant appui sur l’analyse de l’ensemble des ressources de l’organisation. 

Ainsi, toute organisation souhaitant prémunir ses ressources et ses infrastructures des risques de sécurité, et répondre à ses objectifs de conformité se doit de réfléchir en amont à la méthodologie la plus adéquate. Ces études de cas le prouvent : il n’existe pas une approche plus sûre et efficace qu’une autre. La réduction des risques et la mise en conformité reposent avant tout sur l’élaboration d’une stratégie de revue pertinente !