Aujourd’hui ce qui compte ce sont les identités. Chaque RSSI se doit de se poser ces questions : « savez-vous à qui vous faites confiance ? » et « quand l’avez-vous validé pour la dernière fois ? »
Jay Gazlay, CISA Technical Strategist.
C’est un fait : la question de l’identité est un enjeu majeur pour quiconque souhaite préserver la sécurité de ses ressources. La revue des droits d’accès notamment, vous permet de répondre à cet enjeu. Grâce à elle, vous pouvez :
● Maîtriser les risques liés aux droits d’accès.
● Optimiser la qualité de vos données.
● Préserver les ressources de votre organisation d’éventuels risques et failles de sécurité.
À ce titre, la revue périodique des accès vous est très certainement familière. Manuelle ou automatisée, sa réalisation s’impose dès lors que vous souhaitez démontrer la conformité de vos droits d’accès, et ainsi répondre aux politiques de réglementation auxquelles votre organisation est soumise. Mais qu’en est-il de la revue des accès en continu ? En avez-vous déjà entendu parler, y avez-vous déjà eu recours ? Utilisée en parallèle de la revue périodique des accès, celle-ci peut s’avérer redoutablement efficace, notamment pour déceler certains risques liés aux accès.
Pour décrypter les rouages de ces deux approches distinctes, prenons le temps de nous poser les questions suivantes :
● Quelles sont les spécificités et les objectifs respectifs de ces deux types de revue ?
● Ces mesures sont-elles complémentaires ?
● Dans quel cas faut-il avoir recours à l’une plutôt qu’à l’autre ?
Laissez-vous guider : découvrez la revue périodique des accès et la revue des accès en continu sous toutes leurs coutures… Et apprenez à les utiliser à bon escient, avec Brainwave GRC !
La revue des droits d’accès périodique : cartographie des accès & mise en conformité
Pourquoi et comment réaliser une revue des droits d’accès périodique ?
ISO 27002, réglementations NIST, réglementations prudentielles (Sarbanes Oxley – SOX) : la revue des droits d’accès périodique est l’un des fondements des processus de contrôle interne des accès. Dans la majeure partie des cas, sa mise en place répond à un objectif de conformité.
Son principe est simple : il s’agit de vérifier – à intervalles de temps réguliers – que les bons droits sont accordés aux bonnes personnes et aux bonnes entités. Cette approche s’inscrit dans une démarche de « dead cleaning » : une fois la « photographie » prise, il s’agit de nettoyer tout ce qui dépasse.
Pour cela, il est nécessaire de consolider l’ensemble des informations disponibles en :
● Établissant une cartographie complète des droits d’accès afin d’identifier chaque collaborateur de l’entreprise, ainsi que les différents comptes d’accès qui lui sont associés.
● Identifiant les liens de responsabilité de chaque collaborateur, au vu des accès octroyés et de la réalité métier.
Une fois cet exercice réalisé, il s’agira ensuite de demander aux différentes parties prenantes de s’assurer que les droits et les comptes d’accès sont accordés de manière pertinente, au regard des fonctions et responsabilités de chaque collaborateur.
Revue des droits d’accès périodique : un processus d’exécution strict aux objectifs ciblés.
La revue périodique des accès est donc un geste de conformité qui s’apparente à un contrôle qualité, dont l’objectif est de s’assurer de la bonne gestion du système d’information. Le cas échéant, des actions de remédiation pourront ainsi être initiées (par exemple la réduction de droits d’accès, ou encore la clôture de comptes de droits d’accès.)
Il s’agit d’un processus fastidieux, contraint dans le temps et réalisé suivant une périodicité variable qui dépend – entre autres – du degré de sensibilité des ressources. Quel que soit le rythme à laquelle elle s’opère, la revue périodique des accès s’effectue selon :
● Un périmètre de conformité.
● Une cible.
● Un workflow rigoureux.
Revue Périodique des Accès
La revue périodique des accès, quelles limites ?
Revue périodique des accès : un acte qui peut s’avérer laborieux.
Si elle répond à un processus de décision formalisé, la revue des droits d’accès périodique reste pour autant un exercice complexe. Il arrive même qu’elle constitue un véritable challenge à relever pour les organisateurs, dont la responsabilité est engagée tout au long du processus de revue. Leur mission : collecter, formater et transmettre toutes les informations nécessaires à l’exécution de la revue, s’assurer de leur exactitude, et permettre aux réviseurs de prendre ainsi les bonnes décisions pour initier des actions de remédiation pertinentes. Au cours de ces différentes étapes, certaines difficultés sont fréquemment observées. En voici quelques-unes, auxquelles vous avez peut-être été vous-même confronté.e :
● La revue périodique des accès est réalisée manuellement alors même que la quantité de droits à revoir est conséquente. Très vite, le respect des délais fixés paraît compromis.
● Une erreur est constatée, le réviseur peine à en identifier la source. Un véritable travail d’investigation doit être engagé pour y parvenir et la résoudre.
● Les données collectées sont de mauvaise qualité. Afin de comprendre et revoir chaque accès, il est nécessaire de s’adresser directement aux équipes concernées ayant la connaissance technique et fonctionnelle.
Constatées de manière dissociée ou cumulée, ces difficultés sont susceptibles d’occasionner des retards d’exécution de la revue et peuvent également entraîner des erreurs, faute de temps ou d’informations pertinentes collectées.
Enfin, elles peuvent aussi être – dans certains cas – révélatrices d’une erreur stratégique : la revue périodique des accès ne constitue pas toujours la meilleure piste à emprunter pour déceler et identifier certaines failles de sécurité !
Une fois l’objectif de conformité atteint, qu’en est-il des risques liés aux accès ?
Rappelons-le : la revue périodique des accès est essentiellement pensée selon un périmètre de conformité qui varie en fonction du type de revue effectuée (SOC 2, Sarbanes Oxley (SOX), etc.). Or, cet objectif de conformité n’englobe pas l’ensemble des risques auxquels les ressources d’une organisation peuvent être exposées.
Ainsi, la protection de données intellectuelles – par exemple – ne relève pas d’une logique de conformité, mais davantage d’une logique de détection des risques opérationnels ayant un impact business direct. Dans ce cas précis, l’exécution d’une revue périodique des accès s’avèrera donc totalement inadaptée.
De même, il ne faut pas oublier que ce type de revue est la plupart du temps effectué de manière annuelle, semestrielle, ou trimestrielle. Une partie des problèmes détectés remonte donc probablement à plusieurs semaines, voire plusieurs mois. Pourtant, certains d’entre eux mériteraient d’être identifiés bien plus tôt afin d’être résolus au plus vite. Par conséquent, le cadre très formel de la revue périodique des accès, son aspect figé et ses contraintes temporelles répondent à un objectif précis : celui de la conformité. Dès lors que l’objectif visé sort de ce cadre, le basculement vers une logique de revue des accès en continu peut s’avérer particulièrement pertinente.
La revue des accès en continu : analyse des événements et détection des risques
Un processus plus souple, qui fait appel à l’expérience terrain..
Revue des droits d’accès en continu, logique de flux : une alternative à la revue périodique des droits d’accès ?
La revue des droits accès en continu s’inscrit donc dans une logique de flux, d’analyse des mouvements, de situations, sur un temps en continu, qui peut être journalier (à différencier de l’analyse en temps réel pratiquée notamment dans les Security Operations Center). Cette logique d’alerte permet de constituer un « panier de tâches » : des situations qu’il va falloir traiter sont listées, face auxquelles il va falloir prendre des décisions. Cette approche, qui repose sur un principe d’amélioration continue s’avère être le complément idéal de celle empruntée par la revue périodique des accès, puisqu’elle va permettre de réduire les risques. La revue des accès en continu répond à une logique de « stay clean » au quotidien, en portant une attention toute particulière aux situations atypiques.
Contrairement à la revue périodique des accès, elle est le fruit d’un travail collectif. À titre d’exemple, l’ensemble d’une équipe peut être sollicitée pour se positionner face à une situation qui pose question. Il s’agit d’une démarche de pilotage en continu, au cours de laquelle chaque décision appelle une action, une remédiation.
Revue des Accès en Continu
Revue des droits d’accès périodique des accès & revue en continu : deux approches aux objectifs distincts… et complémentaires !
Si ces deux types de revue répondent à des objectifs différents, elles partagent pour autant les mêmes contraintes.
Deux types de revues, un socle de contraintes commun.
Un certain nombre de pré-requis communs sont donc à observer :
● La réalisation d’un inventaire complet des accès (comptes, groupes, permissions). Les informations collectées sont, la plupart du temps, issues de multiples sources de données hétérogènes, qu’il sera nécessaire de centraliser et de restituer de façon homogène.
● La gestion de la répartition des tâches (relances, contributions des réviseurs) pour laquelle il peut s’avérer utile de s’équiper d’outils supplémentaires.
● L’automatisation des décisions à prendre et des actions à exécuter via des systèmes externes (ticketing, gestion des identités).
Revue des droits d’accès périodique et revue en continu : un alliage efficace !
Vous l’aurez compris : la nécessité de recourir à la revue périodique des accès et/ou à la revue des accès en continu dépend de l’objectif que vous visez. En réalité, ces deux approches sont à envisager comme étant complémentaires. C’est précisément cette complémentarité qui vous permettra de prémunir les ressources de votre organisation de tout risque, et de faire de la revue dans sa globalité une approche efficace.
L’industrialisation des contrôles via ces différentes mécaniques de revue permet ainsi d’identifier les différents droits accordés aux collaborateurs de votre organisation tout en s’assurant de leur légitimité.
L’approche photographique de la revue périodique des accès est ainsi privilégiée pour évaluer la qualité globale des droits octroyés, et s’assurer de la conformité des données… La revue des accès en continu vous permettra quant à elle d’aborder les situations à risque en masse, ou au fur et à mesure qu’elles sont détectées, via la mobilisation collective de vos équipes.
C’est bel et bien grâce à la synergie de ces deux approches – qui reposent sur les mêmes données et sur une technologie commune – que vos ressources sont protégées de manière optimale.
Conclusion
Adoptez une démarche hybride en alliant revue périodique des accès et revue des accès en continu… Et reprenez le contrôle sur vos accès !
