5883 CONTENT gop 1000x90 2024 Microsoft Work Magic W24

Comment gérer efficacement les droits d’accès dans des environnements complexes ?

Évaluer cet élément
(1 Vote)

En tant qu’expert ou professionnel de la cybersécurité au sein d’une organisation, il est primordial de pouvoir anticiper les risques de vulnérabilités et les failles pouvant entraîner des pertes de données comme cela s’est produit maintes et maintes fois.

Cela passe également, et même en amont, par le contrôle et par une politique solide des accès au système : qui peut y avoir accès ? et quelles sont ses actions une fois l’accès obtenu au sein de celui-ci ?

    • Le contrôle des droits d’accès ne doit pas incomber qu’à une seule et même personne (Comme le dit l’adage, il ne faut pas mettre tous ses œufs dans le même panier…)
    • Quelles politiques mettre en place pour un processus efficace de gestion des droits d’accès à mes systèmes ?

Contexte

Dans toutes les applications informatiques, on définit pour le premier lancement des profils métiers afin que l’ensemble des informations soit progressivement enrichi par les employés en appliquant des procédures prédéfinies. Ces profils métiers sont ensuite attribués aux utilisateurs de manière cohérente et représentative de la production de l’entreprise.
Julien Cassignol

Dans les faits, si au départ la situation est claire pour chaque processus métier, dans la vie réelle, le constat est souvent plus compliqué. En effet, certains employés ont plusieurs rôles ou encadrent des personnes aux fonctions différentes. De fait, leur accès aux systèmes d’information comportera plusieurs profils correspondants à tout ce qu’ils savent faire ou contrôler.

Suite à l’affaire Enron en 2003, le régulateur américain a défini un contrôle complémentaire de revue de séparation de fonctions pour principalement éviter les risques de fraudes financières1. Bien que cette revue ait rappelé l’importance d’attribuer des droits d’accès et de contrôler les cas d’exception avec des procédures de reporting dédiées, la situation ne s’est pas améliorée pour autant. La présence d’intérimaire, la période des congés (annuels, maladie ou de naissance) font que bien souvent on « empile » les droits d’accès et lors de l’arrivée d’un nouvel employé dans l’entreprise, on reprend des profils attribués à des personnes sans en revoir la nécessité (c’est ce qu’on appelle le fameux privilege creep2).

Dans le même temps, l'automatisation croissante des systèmes d'information entraîne une réduction des tâches à accomplir, principalement celles de nature électronique, ce qui conduit les entreprises à rationaliser leurs effectifs pour des motifs financiers. Cette tendance met en lumière l'octroi de nouveaux droits d'accès aux profils existants voire même directement à certains employés, lesquels deviennent des acteurs clés au sein de l'entreprise.Michel Juvin

Avec l’affaire Enron en 2003, et la publication de 150000 eMails3, ou encore le cas d’école de Jérôme Kerviel à la Société Générale4, on a pu prendre conscience que les règles de management ou des actions effectuées par certains employés ne sont pas conformes à leur fonction. Il est donc évident qu’une surveillance des droits d’accès va réduire le risque de fraude ou de corruption des données.

L’utilité de l’identification d’un « Process Owner » unique

Entre la théorie et la pratique, il ne doit y a voir qu’un contrôle de l’écart !

En théorie, un groupe de personnes composé de « responsables métiers » et d’un informaticien, définissent les profils et lors du lancement de l’application, un accompagnement est effectué pour expliquer à l’utilisateur comment il devra dorénavant utiliser l’application pour faire son travail. On s’aperçoit que les RH ne sont pas impliqués dans ce processus ou alors, bien tardivement. De fait, le rôle des RH se réduit à la rémunération des employés pour leur présence au travail.

Ne faudrait-il pas redonner aux RH plus de responsabilités dans l’organisation ? Est-ce que leur fonction n’est pas de définir une organisation qui soit capable de répondre aux attentes de développement stratégique de l’entreprise ?

Dans la pratique, c’est souvent la direction métier (ou un manager) qui sollicite la direction informatique pour mettre à jour des droits d’accès ; il est rare que la RH soit informée des changements (sauf en cas de sortie d’employé pour des raisons d’indemnité de départ).

C’est la raison pour laquelle il est nécessaire de définir un seul responsable (Process Owner) de la gestion des droits d’accès à l’information et non plusieurs !

Le formulaire de mise à jour des droits d’accès

De manière à supporter et à enregistrer les évolutions des droits d’accès, il est recommandé de définir un formulaire qui contiendra l’identité du demandeur, la nature des droits demandés et la personne qui a validé cette modification de droits. L’avantage de ce formulaire est qu’il permettra lors du changement ou de la sortie de l’employé de décommissionner tous les droits acquis. Enfin, en cas d’analyse forensique, une trace est ainsi conservée.

La procédure de modification des droits d’accès

Initié par le demandeur et validé par son chef de service, le formulaire est remis pour validation aux RH qui l’adresseront alors à l’informatique pour mise à jour. En cas de sortie de l’employé, le formulaire est envoyé de manière anticipée à la RH pour préparer le solde de tout compte le jour du départ effectif. Ce même jour, l’employé sera passé par tous les responsables de services qui lui avaient attribué des droits, ou autorisé à utiliser des matériels ou des équipements dans le cadre de ses fonctions. Le manager concerné signera le formulaire qui confirmera que l’ensemble des droits et équipements ont bien été rendus à l’entreprise.

Pour conclure, la gestion des droits d'accès dans les environnements informatiques complexes est essentielle pour prévenir les risques de vulnérabilités et de failles susceptibles de compromettre la sécurité des données. Comme nous l'avons souligné, les entreprises sont confrontées à des défis croissants liés à la multiplication des profils d'accès, à l'évolution des pratiques de travail et à l'automatisation des systèmes. Pour répondre à ces défis, il est impératif d'adopter une approche proactive et stratégique, impliquant une collaboration étroite entre les responsables métiers, les services informatiques et les ressources humaines. En adoptant de bonnes pratiques, les organisations peuvent renforcer leur résilience face aux menaces cyber et ainsi garantir la protection de leurs actifs les plus précieux : leurs données et leur réputation.

Par Julien Cassignol, VP Global Business Strategy chez WALLIX et Michel Juvin, expert Cybersécurité Indépendant

1 Sarbanes-Oxley (SOX) dont la section 404 définit la revue des droits d’accès www.leanix.net/fr/wiki/ea/conformite-sox
2 www.keepersecurity.com/blog/fr/2024/03/12/what-is-privilege-creep/
3 www.captaineconomics.fr/-scandale-enron-nul-anomalies-theories-reseaux
4 www.lefigaro.fr/economie/dossier/affaire-kerviel-societe-generale

Lu 835 fois Dernière modification le lundi, 06 mai 2024 11:09
Nos contributeurs

Nos contributeurs vous proposent des tribunes ou des dossiers rédigées en exclusivité pour notre média. Toutes les thématiques ont été au préalable validées par le service Rédaction qui évalue la pertinence du sujet, l’adéquation avec les attentes de nos lecteurs et la qualité du contenu. Pour toute suggestion de tribune, n’hésitez pas à envoyer vos thématiques pour validation à veronique.benard@gpomag.fr

Annonces

cta livre blanc facture

Le magazine digital

Inscrivez-vous à notre édition digitale pour feuilleter gratuitement le prochain numéro

inscrit.png   

Paru le 4 mars 2024
GPO Magazine N°113
Demandez votre exemplaire au service Vente au numéro

Lire l'extrait GPO 113.png

Paru le 27 novembre 2023
Édition Spéciale Transformation digitale
Recevez-le dès aujourd'hui !
Abonnez-vous à l'année en cliquant ici

Vignette Lire un extrait HS Transfo Digitale.png

Livres Blanc et E-book

Le Système d'Exploitation Hybride Windows 11 de Microsoft Booste la Productivité et la Sécurité en Entreprise
Microsoft a récemment dévoilé Windows 11, son dernier système d'exploitation, qui s'adapte parfaitement au mode…
Quelle stratégie pour établir une relation commerciale durable en Allemagne : un guide pour les dirigeants d’entreprises françaises
L'Allemagne, premier partenaire commercial de la France, demeure un marché d'exportation incontournable pour les entreprises…
Comment favoriser sa transition vers une économie mondiale durable ?
La CSRD contribue à l’objectif de l’Union européenne de promouvoir une économie durable et responsable,…
Plus de livres blanc

Webinaires

Facturation Électronique 2024 : une opportunité de performer pour les entreprises !
Une enquête de Wax Digital a révélé que 70 % des professionnels de la comptabilité…
Comment faire prospérer son entreprise dans la conjoncture actuelle ?
Pour accompagner les entreprises au plus près de leurs préoccupations, les experts de KPMG, Crédit…
Comment aborder la fin du « quoi qu’il en coûte » ?
Symboles du « quoi qu'il en coûte » comme réponse au Covid-19, les prêts garantis…
Plus de webinaires

Services aux entreprises

è Comment les données et l’IA peuvent révolutionner les prises de décision ?

L'impact que les données peuvent avoir sur l’entreprise et comment des outils technologiques permettent d’exploiter ces données de manière efficace et sécurisée.

Visualiser la vidéo sur notre chaîne en cliquant ici


è
 Découvrez le réel impact de Windows 11 Professionnel

Grâce à la sécurité activée par défaut, les entreprises du monde entier prennent des initiatives plus audacieuses et des décisions plus rapides.

 
è Facturation électronique 2026

Un guide détaillé sur les étapes clés pour réussir son passage à la facturation électronique 2026 et franchir le pas de la dmatérialisation, avec tous les bénéfices qui l'accompagnent.

LB Facturation electronique 2026 Docuware.png

 

è  BUSINESS FRANCE : Établir des relations commerciales en l'Allemagne

L'Allemagne est le premier partenaire commercial de la France et représente le plus fort potentiel à l'export de la France à horizon 2025. Ce marché à la fois passionnant et exigeant mérite d'adopter une stratégie durable pour établir une relation commerciale sur le long terme. Tel est l'objectif de ce livre blanc de 64 pages intitulé "Quelle stratégie pour établir une relation commerciale avec l'Allemagne", proposé par Business France et ses partenaires de la Team France, et téléchargeable gracieusement.

 Couverture Livre Blanc Business France Allemagne.png

 
è  SYLOB : ERP pour l'industrie

Anticiper les évolutions industrielles et se projeter dans l'usine intelligente du futur, tels sont les objectifs visés par ce guide pratique de 20 pages à destination des PME intitulé "Industrie 4.0 & ERP", proposé par Sylob et téléchargeable gracieusement.

Couv Sylob CTA.png

 

 

GPO Magazine

GPO Magazine, pour Gérer, Prévoir et Optimiser les ressources de l'entreprise est un magazine d'aide à la décision bimestriel, axé sur l'optimisation de la gestion d'entreprise, pour concrètement guider ses lecteurs dirigeants dans leurs réflexions stratégiques, leurs démarches opérationnelles, la gestion de leurs droits et dans le choix de leurs partenaires.

Une ligne éditoriale concrète et pertinente qui conjugue tendances, cas concrèts et témoignages, dossiers d'analyse, dossiers marchés, dossiers métiers, focus, point de droit, point international, point fiscal. Plus des " Avis d'Experts ".

Contactez-nous

Nos autres sites d'information

Twitter - Derniers posts