Retour au blog

Qu’est-ce qu’une revue des droits d’accès?

What Is A User Access Review?
Sommaire

Chaque jour, et de manière parfois quasi imperceptible, les organisations évoluent. Départ d’un collaborateur, arrivée d’une nouvelle personne, recours à une nouvelle application, lancement d’un nouveau projet impliquant des prestataires externes… Chaque événement ponctuant le quotidien d’une organisation produit un impact.Qu’il soit minime ou structurel, chacun des changements occasionnés a des répercussions directes sur les systèmes d’information (SI) de l’organisation susceptibles de générer écarts et failles de sécurité.

Les droits d’accès des collaborateurs n’échappent pas à cette règle ! Parce qu’ils donnent accès aux données, applications et infrastructures de l’organisation, ces derniers doivent faire l’objet de toutes les attentions. Et ce, tant pour garantir la protection des ressources que pour adhérer aux contraintes réglementaires de conformité auxquelles toute organisation est désormais soumise.

La revue des droits d’accès – ou revue des habilitations – contribue grandement à adresser ce double enjeu de sécurité et de conformité. Pour l’exécuter et la rendre la plus efficiente possible, l’application de certaines bonnes pratiques telles qu’évoquées ici peut s’avérer pertinente.

Mais pour l’heure, revenons aux fondamentaux. Définition de la revue des droits d’accès, enjeux, typologies de campagne existantes : retrouvez dans cet article les points clés à retenir de cet exercice incontournable !

Qu’est-ce qu’une revue des droits d’accès ?

La revue des droits d’accès, un standard en matière de sécurité des droits d’accès logiques

La revue des droits d’accès fait partie intégrante de la stratégie de gestion des identités et des accès (Identity and Access Management, IAM) de toute organisation. Elle constitue une fonction de contrôle indispensable à laquelle pléthores d’institutions se réfèrent pour la sécurisation des droits d’accès logiques. C’est notamment le cas de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI), qui l’évoque dans son Guide de l’Hygiène Informatique :

Une revue des droits d’accès doit être réalisée régulièrement afin d’identifier les accès non autorisés.” ANSSI, Guide de l’hygiène informatique, Chapitre V “Sécuriser le réseau”, page 26.

Concrètement, à quoi sert la revue des droits d’accès ?

La revue des habilitations est un processus qui permet de s’assurer que l’ensemble des droits d’accès utilisateurs octroyés au sein des systèmes d’information (SI) de l’organisation sont appropriés et légitimes.

Elle permet de savoir avec précision :

  • Qui a accès à quoi au sein de l’organisation ?
  • Quel est le niveau d’accès dont chaque utilisateur dispose ?
  • Quels droits d’accès effectifs sont autorisés et approuvés ?
  • Quels droits d’accès effectifs ne le sont pas ?

La revue des droits d’accès s’applique à tous les droits d’accès existants au sein de l’organisation (droits d’accès aux données, applications et infrastructures), qu’ils soient détenus par des prestataires, partenaires, stagiaires, employés, managers ou dirigeants.

 

Revue des droits d’accès : quels sont ses enjeux ?

La revue des habilitations est un exercice indispensable pour maîtriser les droits d’accès de votre organisation et répondre à vos problématiques de sécurité, conformité et gouvernance des droits d’accès. Prenons ici le temps de détailler ces enjeux.

 

#1 : La sécurité des actifs de l’organisation via la détection des risques associés aux droits d’accès

La revue des droits d’accès vous permet de vous assurer que chaque utilisateur dispose des droits d’accès strictement nécessaires et suffisants pour la réalisation de ses missions. Elle constitue un aspect fondamental de la sécurité des informations d’une entreprise : une revue des habilitations efficace établit la liste de toutes les mauvaises attributions de droits d’accès et permet de détecter les situations à risque. À partir de cette liste, les attributions pourront être corrigées et les failles de sécurité évitées : plus de risque de fraude, de fuite d’informations !

Qui plus est, l’exercice de la revue contribue au respect de trois principes fondamentaux considérés comme des bonnes pratiques de cybersécurité en matière de gestion des risques et de contrôle interne :

  • Le principe de moindre privilège
  • Le besoin d’en connaître
  • La séparation des tâches
#2 : L’adhésion aux contraintes réglementaires auxquelles votre entreprise est soumise

Dans les années 2000, le secteur de la finance  – en premier lieu –  voyait naître un certain nombre de contraintes réglementaires en matière de sécurité et de conformité des droits d’accès. Aujourd’hui, l’adoption de ces dernières fait légion : au-delà du secteur de la finance, de plus en plus d’organisations y sont soumises. Par conséquent, la question de la sécurité et de la conformité est aujourd’hui l’une des préoccupations majeures des dirigeants d’entreprises. Or, la revue des droits d’accès y occupe une place de choix, puisqu’elle fait désormais partie intégrante de tous les référentiels de sécurité et de conformité à l’œuvre, en Europe comme aux États-Unis.

Outre la nécessité de maîtriser les droits d’accès et de protéger les actifs de son organisation, la revue des droits d’accès constitue donc désormais pour beaucoup un dispositif de contrôle obligatoire. C’est notamment le cas pour toutes les entreprises soumises aux normes suivantes : ISO 27001, ISO 27002, ISAE 3402, SOC 1 et 2, SOX, CMMC, HiTrust, Hipaa, CRBF, Solvency, etc.

De fait, la mise en place de campagnes de revues des droits d’accès s’impose comme un pré-requis indispensable, tant pour répondre aux auditeurs que pour adhérer aux politiques de sécurité et de conformité en vigueur au sein des organisations.

#3 : Vers une  gouvernance des droits d’accès et des identités

Au-delà des enjeux précédemment cités, la revue des habilitations participe de la mise en place d’une véritable gouvernance des droits d’accès et des identités. L’implication  des  managers (responsable d’organisation, d’application, d’équipe) dans les campagnes de revues des droits d’accès y contribue d’ailleurs fortement ! Grâce à leur connaissance des utilisateurs et du périmètre de leurs missions, les managers vont être en mesure de s’assurer de la pertinence et de la légitimité des droits d’accès octroyés au sein de leur équipe. Il leur incombera d’approuver et/ou de demander la révocation des droits d’accès attribués.

Ces responsabilités qui leur sont confiées permettent non seulement de vérifier que les bons droits d’accès sont attribués aux bonnes personnes, mais également de posséder une meilleure visibilité de qui a accès à quoi. La constitution de cet inventaire des droits d’accès contribue de fait au déploiement d’une gouvernance des droits d’accès et des identités.

Comment réaliser efficacement une revue des droits d’accès ?

Si dans l’absolu une campagne de revue des droits d’accès peut être réalisée en mode manuel (à l’aide de tableaux croisés Excel par exemple), nous ne pouvons que vous inciter à vous équiper d’un outil dédié. En effet, l’exécution d’une revue des habilitations est un processus fastidieux et rigoureux qui peut très vite tourner au cauchemar dès lors que la quantité de données à revoir est importante. Plutôt que de prendre le risque de voir vos objectifs s’envoler et les responsables d’équipe s’arracher les cheveux, visez efficacité et sérénité : optez pour un outil d’automatisation !

Vous pourrez ainsi :

  • Gagner du temps grâce à l’automatisation des différentes tâches (y compris pour le déclenchement des actions correctives)
  • Rendre l’exercice plus agréable en mettant à disposition des équipes des interfaces fluides et conviviales
  • Répondre facilement à vos auditeurs à l’aide de rapports prêt-à-l’emploi disponibles dans l’outil

Pour quel type de revue des droits d’accès opter ?

Deux stratégies de revue sont identifiées : la revue des droits d’accès périodique et la revue des droits d’accès continue. Toutes deux répondent à des objectifs précis et possèdent une logique et un mécanisme d’exécution qui leur est propre.

La revue périodique des droits d’accès

Le recours à la revue périodique des droits d’accès est généralement préconisé pour atteindre un objectif de conformité des droits d’accès. En effet, celle-ci permet de s’assurer de la bonne gestion des SI et s’apparente en quelque sorte à un contrôle de qualité. Il s’agit de vérifier à intervalles réguliers que les bons droits sont accordés aux bonnes personnes.

Elle repose sur deux étapes fondamentales :

  • La réalisation d’une cartographie complète des droits d’accès du périmètre ciblé
  • L’identification et la corrélation des liens de responsabilité de chaque collaborateur et des droits d’accès dont il dispose

Il s’agit d’un exercice contraint dans le temps qui doit être répété. Le cadencement de ce type de revue dépend notamment du degré de sensibilité des droits d’accès qu’elle vise.

La revue des droits d’accès en continu

Complémentaire à la revue des droits d’accès périodique, la revue des droits en continu vise un tout autre objectif : celui de la réduction des risques associés aux droits d’accès. Elle repose sur l’observation des mouvements au sein de l’organisation (arrivée ou départ d’un collaborateur, changement d’affectation, nouveaux droits accordés, écarts de sécurité, accès atypique… ) dans le but de détecter les éventuelles failles de sécurité que ces derniers pourraient occasionner.

Réalisée au fil de l’eau, elle n’est soumise à aucune contrainte de temps et se focalise sur toutes les situations dites atypiques. Pleinement ancrée dans la vie opérationnelle de l’organisation, elle repose sur une logique de flux et d’analyse des risques associés aux droits d’accès.

Parce qu’elles répondent à des objectifs différents, ces deux stratégies de revue doivent être perçues comme des approches complémentaires à adopter pour répondre aux exigences de conformité et de sécurité réglementaires, mais aussi afin d’identifier et de réduire les risques liés aux droits d’accès.

La revue des droits d’accès, une fonction de contrôle indispensable à mettre en place

Vous l’aurez compris, la revue des droits d’accès s’impose comme un dispositif de contrôle incontournable pour toute organisation soucieuse de maîtriser ses droits d’accès, quel qu’en soit l’enjeu.

Néanmoins, son caractère indispensable n’en fait pas moins une tâche souvent redoutée par les équipes. Pour rendre l’exercice moins pénible et d’autant plus efficace, l’application d’un certain nombre de bonnes pratiques associées à l’implémentation d’un outil dédié peuvent s’avérer particulièrement utiles. Parlons-en !

Recevez nos derniers articles

Des innovations en matière d’identité aux tendances façonnant l’industrie, explorez le monde de la sécurité numérique avec l’équipe de Radiant Logic.

Name(Nécessaire)
Opt-In(Nécessaire)
Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.