Les comptes utilisateurs sont considérés comme la cible préférée des cyberattaques, et ils deviennent la principale porte d’entrée dans un système d’information mal protégé.
Aujourd’hui, les DSI et les RSSI le savent : le plus grand défi réside dans la nature humaine des utilisateurs. Anticiper et gérer ce facteur humain est une tâche extrêmement difficile.
La gestion des habilitations, également appelée gestion des privilèges, peut être mise en œuvre de manière itérative ou en suivant les étapes suivantes dans le cadre d’un projet plus vaste. Heureusement, il existe des solutions permettant d’automatiser une grande partie de ce travail.
Je vais vous présenter un processus idéal pour mener à bien la gestion des habilitations. Rassurez-vous, même un projet relativement simple peut être efficace. Cependant, il y a des points essentiels que vous devez respecter pour garantir une gestion optimale des privilèges, tels qu’un référentiel unique, une revue des habilitations et l’alignement des droits.
Certains secteurs sont plus étroitement surveillés que d’autres et ont l’obligation de mettre en place une gestion des privilèges. Par exemple, les banques sont tenues d’avoir un processus de contrôle des habilitations pour chaque personne. Ce processus doit être régulièrement réévalué, et les identités doivent être traçables. Cette gestion agit comme une soupape de sécurité grâce à des instances de validation indépendantes des métiers surveillés et surtout sans autorisation d’auto-habilitation.
Avant tout, si vous souhaitez connaître les recommandations de la CNIL concernant la gestion des habilitations, vous pouvez consulter leur site.
La gestion des habilitations consiste à se poser les questions suivantes :
- Qui sont mes utilisateurs (internes et externes) ?
- Quelles applications utilisent-ils ?
- Quels sont leurs droits ?
- Ces droits sont-ils justifiés ?
- Ces droits sont-ils toujours à jour ?
En résumé, il s’agit de savoir “qui a accès à quoi et pourquoi”.
1. Un référentiel unique d’utilisateurs
Il est primordial de disposer d’un annuaire regroupant toutes les personnes physiques internes et externes. Pour créer ce référentiel unique d’utilisateurs, il est nécessaire que les services informatiques collaborent avec les ressources humaines. Certains outils permettent d’automatiser la synchronisation entre le système d’information RH et l’annuaire actif.
Si vous créez votre référentiel vous-même, assurez-vous de n’oublier personne et de faire la différence entre les collaborateurs et les utilisateurs. Ce fichier doit être correctement créé et régulièrement mis à jour 😉
⚠️ Ne vous contentez pas de le faire une seule fois, de se donner une tape dans la main et de passer à autre chose. Malheureusement, il est impératif de maintenir ce référentiel à jour en permanence.
2. Segmenter les utilisateurs
Une fois votre référentiel établi, vous devez segmenter les utilisateurs. Pour cela, vous pouvez vous appuyer sur les connaissances des managers afin de définir plus précisément vos groupes. Les services informatiques auront également leur mot à dire pour tempérer certaines demandes d’accès ou d’utilisation d’applications. Vous pouvez utiliser la segmentation RBAC, qui est la plus populaire.
Accordez une attention particulière aux utilisateurs externes, car ils peuvent facilement échapper à la vigilance. En l’absence de relation contractuelle avec l’entreprise, ils auront moins de connaissance des règles et peut-être moins de sensibilisation aux risques en matière de cybersécurité.
3. Principe du moindre privilège
Ce point fait suite au précédent. En collaboration avec les managers, il convient de définir les besoins en termes d’applications pour chaque groupe d’utilisateurs et de maîtriser les droits d’accès. Le principe du moindre privilège consiste à accorder aux collaborateurs le minimum de droits et d’accès nécessaire afin d’éviter les abus et de faciliter le suivi des accès. Ce point a été abordé plus en détail dans l’article sur la gestion des habilitations. Dans le but de réduire les risques liés à la sécurité, l’utilisateur ne reçoit que ce qui est strictement nécessaire.
