La gestion des droits d’accès est un sujet crucial pour assurer la sécurité informatique d’une entreprise. Elle revêt différents noms tels que la gestion des identités et des accès, l’Identity and Access Management (IAM), la revue des habilitations, etc. En mettant en place une politique de gestion des droits d’accès, une entreprise peut garantir un niveau de cybersécurité maîtrisé pour tous ses services.
Qu’est-ce qu’une politique de gestion des droits d’accès ?
La gestion des identités et des accès est un ensemble de politiques, de processus et de technologies qui permettent aux organisations de :
- Identifier les individus et les accès
- Authentifier ces identités pour accéder aux données ou à d’autres ressources du système d’information
- Autoriser les utilisateurs à accéder à ces ressources
- Gérer les identités et les habilitations
- Contrôler les identités et les droits accordés
La politique de gestion des droits d’accès s’appuie sur deux piliers : l’identité, en vérifiant que l’utilisateur est bien celui qu’il prétend être, et les accès, en déterminant les ressources auxquelles les utilisateurs ont accès.
Pourquoi la gestion des identités et des accès est-elle importante pour sécuriser votre entreprise ?
Des cyberattaques de plus en plus fréquentes
Les cyberattaques, telles que le phishing, les attaques par rebond ou l’exploitation de failles, sont de plus en plus nombreuses et sophistiquées. Les statistiques révèlent la gravité de la situation :
- 1 entreprise sur 2 déclare avoir subi une cyberattaque (7ème édition du baromètre annuel du CESIN)
- Augmentation de 255% des ransomwares enregistrés (ANSSI)
- Les TPE et PME sont de plus en plus visées, avec une augmentation de 53% des attaques en 2020 selon l’ANSSI
Ces attaques ont des conséquences dévastatrices pour les entreprises, allant des pertes financières à la perte de confiance des clients et des partenaires, en passant par les dommages à la réputation.
Prévenir les comptes inactifs
Les comptes inactifs, aussi appelés comptes fantômes, sont des accès au système d’information qui ne sont plus utilisés par aucun collaborateur. Ce sont des points d’entrée discrets pour les attaquants, qui peuvent exploiter ces comptes pendant longtemps sans être détectés.
Un seul compte compromis peut causer des dommages considérables à l’entreprise. Il est donc essentiel de désactiver immédiatement tous les droits d’un utilisateur qui quitte un projet ou l’entreprise. Une bonne gestion des droits d’accès permet de prévenir l’apparition de comptes fantômes.
… et les risques de sabordage
Les risques de sabotage sont également présents lorsque les accès ne sont pas correctement contrôlés. Un salarié ou un sous-traitant mécontent ou négligent peut supprimer des données vitales ou voler des informations confidentielles. Une bonne gestion des identités et des accès permet de limiter ces risques et de protéger l’entreprise.
L’aspect réglementaire
Dans certains secteurs d’activité, tels que la banque et la santé, un contrôle d’accès strict est obligatoire pour protéger la confidentialité des données et prévenir les accès non autorisés. Les réglementations telles que la DSP2, la NIS2 ou la RGPD imposent aux professionnels de ces secteurs de se conformer à des normes strictes en matière de gestion des identités et des accès.
Les entreprises opérant dans la finance ou ayant des processus sensibles doivent également mettre en place des règles de segmentation des droits (SoD) pour éviter les fraudes. Un système IAM simplifie ces contrôles et garantit une conformité réglementaire.
Bonnes pratiques : surveiller, informer, avoir des outils, traçabilité
Déployer des actions rapides pour gérer et sécuriser les accès
Si vous n’avez pas encore mis en place une politique de gestion des accès, voici quelques bonnes pratiques rapides à adopter :
- Identifiez les outils contenant des données sensibles qui pourraient mettre en danger votre entreprise en cas de piratage
- Cartographiez les utilisateurs et les droits qui leur sont accordés
- Envoyez un rappel des bonnes pratiques et des règles à toute l’entreprise, telles que ne pas partager ses accès, ne pas utiliser de nouveaux outils sans validation de la DSI, utiliser un gestionnaire de mots de passe, activer le 2FA pour les comptes et outils clés, etc.
Comment mettre en place une politique de gestion des accès ?
1. Faire un état des lieux des utilisateurs et des accès
Commencez par dresser une liste exhaustive des dossiers, des applications et des services qui stockent ou sont indispensables aux données de votre entreprise. Notez quels services hébergent des données sensibles, quels utilisateurs y ont accès, et avec quels droits de modification et de partage.
2. Revue des droits d’accès avec les managers et sensibilisation
Organisez des réunions avec les responsables de chaque service pour discuter des droits d’accès. Ensemble, définissez quels utilisateurs doivent avoir accès à quelles applications. Profitez de ces réunions pour sensibiliser les responsables aux enjeux de cybersécurité et renforcer les formations des employés sur les bonnes pratiques et les principales menaces.
Les DSI doivent veiller à éviter les comptes partagés, à refuser d’accorder des droits administrateurs aux utilisateurs qui n’en ont pas besoin et à accorder seulement les privilèges nécessaires à chaque utilisateur (principe du moindre privilège). Il est recommandé d’appliquer ce principe également aux situations de nomadisme en utilisant des solutions de ZTNA (Zero Trust Network Access) qui offrent une meilleure granularité des accès par rapport aux VPN.
Pour assurer la pérennité de cette gestion des habilitations, il est conseillé de s’équiper d’un outil de gestion des identités et des accès qui permet d’automatiser cette gestion.
3. Déployer des outils
3.1 📖 Un service d’annuaire (AD / LDAP)
Un service d’annuaire permet de centraliser et de structurer les informations sur les utilisateurs internes. Il facilite également l’authentification grâce à des protocoles standard tels que LDAP ou RADIUS. En combinaison avec un service de SSO, les utilisateurs n’ont qu’un seul identifiant/mot de passe pour toutes les applications configurées dans le SSO.
3.2 🔑 Le SSO
Le SSO (Single Sign On) est un point d’authentification unique qui permet aux utilisateurs d’accéder à tous leurs services grâce à une seule authentification. Il simplifie la gestion des accès et permet la mise en place de méthodes d’authentification renforcées (MFA, authentification basée sur des attributs, etc.) pour l’ensemble des services de l’entreprise.
3.3 🛡️ Un bastion pour passer au niveau supérieur
Les bastions sont devenus populaires ces dernières années pour répondre aux besoins de sécurité et de traçabilité. Ils permettent de cloisonner l’accès aux applications de l’entreprise et facilitent la conformité réglementaire en matière d’accès aux infrastructures. Ils peuvent également imposer des règles d’authentification spécifiques, comme l’utilisation d’un second facteur.
3.4 🔐 La carte OneWave et sa solution SaaS
La carte OneWave simplifie la gestion des identités numériques en offrant une solution d’authentification forte basée sur la biométrie. Cette carte permet de sécuriser l’ensemble des accès utilisés au quotidien et offre des fonctionnalités telles que le partage de mots de passe sécurisé et le SSO.
4. Monitorer, mettre à jour et améliorer votre gestion des accès
Une fois les outils déployés, il est essentiel de les surveiller régulièrement et de les mettre à jour si nécessaire. Il est recommandé de vérifier la santé des outils, de modifier les droits d’accès et les habilitations, de faire des points avec les responsables métiers, de vérifier les droits des nouveaux arrivés et l’état des comptes des employés partis, etc. Il est également important d’analyser les statistiques d’accès et de permissions pour ajuster les niveaux d’accès en fonction des profils et des départements.
En conclusion, une bonne gestion des droits d’accès est essentielle pour assurer la sécurité et la simplicité des accès numériques d’une entreprise. Bien que cela puisse sembler complexe, suivre quelques bonnes pratiques permet de plonger sereinement dans le monde de la cybersécurité. La mise en place d’une politique de gestion des accès est un investissement pour l’avenir, qui permet de protéger l’activité de l’entreprise et de simplifier la vie des employés. Pour cela, il est essentiel de choisir les bons outils et de les surveiller régulièrement pour garantir une gestion des accès efficace.
