Revue des droits d’accès = recertification des droits d’accès ?
- The Radiant Team
- 19 septembre 2023
- Brainwave GRC Archives
- 8 MIN READ
Revue des droits d’accès, recertification des droits d’accès : bonnet blanc et blanc bonnet ? Eh bien, pas tout à fait ! Si toutes deux sont vouées à protéger les ressources de vos Systèmes d’Information (SI), la revue des droits d’accès et la recertification des droits d’accès sont des dispositifs de contrôle distincts et ne répondent pas aux mêmes enjeux.
À l’usage, nous avons pourtant tendance à utiliser indifféremment l’un des deux termes. Qui plus est, de récents échanges avec nos clients nous ont amené à penser qu’une clarification s’imposait : si les différences entre ces deux démarches peuvent paraître subtiles, elles sont pour autant cruciales. Découvrons ensemble pourquoi !
Revues des droits d’accès utilisateurs : définition et grands principes
La revue périodique des droits d’accès est l’un des dispositifs de contrôle de sécurité des droits d’accès logiques les plus répandus et pour le moins incontournables. En témoignent les guidelines formulées par l’ABE (Autorité Bancaire Européenne) et l’AEAPP (Autorité Européenne des Assurances et des Pensions Professionnelles) au sujet de la sécurisation des TIC (Technologies de l’Information et de la Communication) : la revue périodique est le seul dispositif de contrôle concernant les droits d’accès logiques qui soit mentionné. D’où la nécessité d’appréhender de façon précise les enjeux qui la sous-tendent.
Applications, données et infrastructures de l’organisation : qui y accède, comment, et pourquoi ?
La revue périodique des droits d’accès ou revue des habilitations est le processus permettant aux organisations d’examiner qui a accès à quelles ressources au sein des Systèmes d’Information (SI) d’une entreprise ou d’une organisation. Collaborateurs, sous-traitants, partenaires : la revue des droits d’accès s’applique à toutes les personnes susceptibles d’accéder aux informations de l’organisation.
La revue des droits d’accès à l’épreuve du Zéro Trust
Parce qu’elle s’intéresse également aux personnes accédant aux ressources de l’organisation hors site (via le Cloud par exemple), la revue des droits d’accès et des identités s’inscrit parfaitement dans la démarche dite « Zéro Trust« . Cette doctrine consiste à délaisser l’ancien modèle de cybersécurité périmétrique pour lui préférer une approche ajustée aux nouveaux usages, en s’affranchissant de la notion de « confiance implicite accordée aux utilisateurs et aux activités menées par le biais des équipements de l’entité. » (ANSSI, Agence Nationale de la Sécurité des Systèmes d’Information, Le modèle Zéro Trust).
Recertification des droits d’accès : les fondamentaux
Tout comme la revue des droits d’accès, la recertification des droits d’accès est une fonction de contrôle des droits d’accès. Pour autant, l’enjeu de l’exercice diffère sensiblement.
Recertification des droits d’accès et demandes de droits d’accès
Au sein de votre entreprise, vous le constatez : les nouvelles demandes de droits d’accès des utilisateurs fleurissent quotidiennement. Les demandes de retrait de droits sont, elles, beaucoup plus rares !
Pourtant, l’organisation continue de vivre au gré des mouvements de personnes (arrivée, départ, mutation de collaborateurs internes ou de prestataires, promotions, réorganisations internes, etc.). Ces changements ont des conséquences sur les habilitations informatiques des utilisateurs.
C’est là tout l’enjeu de la recertification des droits d’accès : régulièrement, les responsables d’équipes et d’applications sont sollicités pour vérifier que les accès qui ont été demandés pour le compte des membres de leur équipe sont toujours valables et légitimes au regard de leurs rôles et responsabilités actuels dans l’organisation.
Recertification des droits d’accès : comment procéder ?
Les droits d’accès ayant fait l’objet d’une demande sont périodiquement passés en revue par les gestionnaires d’équipe. Le raisonnement sous-jacent à l’exécution d’une recertification des droits d’accès est le suivant : bien que certains droits d’accès aient été demandés – et approuvés – par un gestionnaire à un moment donné, il se peut qu’aujourd’hui ces demandes se révèlent obsolètes ou inappropriées et qu’il faille révoquer ces droits.
Aussi, pour éviter l’accumulation de droits illégitimes ou générant de potentielles combinaisons de droit toxiques, une recertification régulière des demandes de droits d’accès est nécessaire.
Revue et recertification : quelles similitudes ?
La configuration de vos campagnes, une priorité absolue
La revue des droits d’accès tout comme la recertification des droits d’accès peuvent être effectuées de façon manuelle via des tableaux Excel. Pour autant, nous ne pouvons que vous recommander d’opter pour l’automatisation de vos campagnes de façon à gagner du temps et à optimiser l’exercice. Pour en savoir plus à ce sujet, rendez-vous ici !
Suivant le degré de sensibilité des ressources, au gré des mouvements constatés au sein de l’organisation et des échéances imposées par les auditeurs, la revue tout comme la recertification des droits d’accès peut répondre à différentes problématiques de sécurité.
Ainsi, leur fréquence et le périmètre ciblé peuvent varier suivant les objectifs visés. Périodique, en continu, incrémentielle, différentielle : il existe une multitude de stratégies actionnables ! Pour être sûr de choisir la bonne, la phase de configuration de votre revue ou de votre recertification des droits d’accès logiques est primordiale : il s’agit d’une bonne pratique à observer de façon systématique.
Qui en sont les principaux acteurs ?
Managers, responsables d’équipes et d’application ont un rôle crucial à jouer. Eux seuls possèdent une connaissance suffisamment fine du périmètre des missions de chaque membre de leur équipe, des ressources auxquelles ces derniers vont devoir accéder et du niveau de permission nécessaire au vu de leur champ d’action.
Pour passer en revue les droits d’accès aux comptes dont disposent les membres de chaque équipe et s’assurer que les principes de moindre privilège et du besoin d’en connaître soient respectés, il est de fait indispensable de les impliquer.
Ces managers, responsables d’équipes et d’application devront alors examiner les droits d’accès effectifs tout comme les demandes de droits d’accès en conséquence, et prendre les décisions qui s’imposent en se posant les questions suivantes :
• Les droits d’accès de chaque personne de mon équipe ont-ils été approuvés ?
• Sont-ils indésirables, doivent-ils être révoqués ?
• Qui accède à quoi, quand, comment et pourquoi ?
Les droits d’accès seront ainsi passés au peigne fin ! Une fois la campagne terminée, les problèmes identifiés feront ensuite l’objet de remédiations de façon à réduire le nombre de situations à risques associées.
Revue et recertification : quelles distinctions notables ?
Au vu des nombreux points communs constatés entre ces deux dispositifs de contrôle, pas étonnant que nous soyons nombreux à confondre la revue des habilitations et la recertification des droits d’accès ! L’approche, de la configuration à l’exécution de l’exercice, est relativement similaire. Pour autant, les données sources examinées sont radicalement différentes et impactent leur portée.
Revue des droits d’accès : cap sur la conformité réglementaire
La revue périodique des habilitations s’appuie sur les droits réels et effectifs des utilisateurs tels que relevés dans chaque système, chaque application.
C’est une activité incontournable pour quiconque souhaiterait :
• Protéger et sécuriser les ressources au sein des SI de son entreprise, de son organisation.
• S’assurer que les politiques de sécurité en vigueur au sein de l’organisation sont bel et bien respectées (ISO 27001, ISO 27002, ISAE 3402, SOC 1 et 2, SOX, CMMC, HiTrust, Hipaa, CRBF, Solvency, etc.)
• Démontrer la conformité des droits d’accès utilisateurs de l’entreprise et ainsi répondre aux auditeurs.
En effet, la revue périodique des accès travaille sur le périmètre exhaustif des accès, quelle que soit leur nature ou la façon dont ils ont été obtenus (par une demande approuvée, automatiquement ou par un processus exceptionnel, par exemple). Elle permet de répondre au principe de “Complétude et Exactitude” (en anglais : completeness and accuracy) cher aux auditeurs.
Revue et conformité des droits d’accès : quel pré-requis pour relever le challenge ?
Avant de lancer une campagne, il vous faudra dresser l’inventaire des droits d’accès des utilisateurs pour l’ensemble des ressources qui doivent être examinées et vous assurer que la portée de la révision reflète fidèlement la situation des droits d’accès au moment de la révision, suivant une approche « bottom-up ».
Ainsi, la revue des droits d’accès utilisateurs permet un examen plus approfondi et plus complet des accès, qui permet également de contrôler l’efficacité du processus de demande d’accès.
Recertification des droits d’accès : focus sur les demandes d’accès
La recertification des accès étudie, elle, les demandes d’accès validées. Les comptes et droits d’accès qui auraient été créés en dehors du processus de demande d’accès risquent donc de ne pas être inclus dans le périmètre de la recertification.
La recertification des droits d’accès permet-elle de démontrer la conformité de vos droits d’accès ?
Contrairement à la revue des droits d’accès, la recertification des droits d’accès ne tient pas compte des droits réels : elle s’appuie uniquement sur les informations gérées dans le système IGA (Identity Governance and Administration) ou d’IAM (Identity and Access Management). Cela peut poser plusieurs problèmes.
Tout d’abord, le système IGA/IAM peut ne pas gérer l’ensemble des comptes du périmètre. Par exemple, les comptes bureautiques des utilisateurs sont gérés dans le système IGA tandis que les accès à privilèges sont gérés dans un système PAM. Plus important encore, les systèmes IGA/IAM n’ont qu’une connaissance partielle des droits attribués aux comptes : les droits “macro” (rôles applicatifs ou attribués via des groupes de sécurité) sont gérés dans le système IGA, tandis que les permissions fines sont gérées directement (et souvent manuellement) dans l’application. Dans ce cas, la recertification des accès IGA ne sera pas forcément un reflet fidèle des droits réels des utilisateurs dans l’application.
Pour cette raison, la mise en place d’un processus de recertification des accès est le plus souvent jugée insuffisante par les auditeurs lorsqu’il s’agit d’assurer la conformité des droits d’accès sur les applications et systèmes sensibles.
Revue et recertification des droits d’accès : deux démarches distinctes et complémentaires
Vous l’aurez compris : si la protection et la sécurité des ressources de l’entreprise reste une priorité partagée que l’on exécute une revue ou une recertification des droits d’accès, l’objectif visé et la nature des données examinées diffèrent dans les deux cas.
Une chose est sûre : s’outiller est une priorité pour quiconque souhaite gagner en temps et en efficacité à l’exécution de ses campagnes de revue des droits d’accès, notamment via une meilleure implication des responsables d’équipes qui en ont la charge.
Il faut également noter qu’il est possible de combiner les deux approches de revue et de recertification au sein du même processus. Par exemple, un plan de contrôle approprié permet de faire le rapprochement automatique entre les droits réels, effectifs, des utilisateurs dans les applications d’une part, et les demandes d’accès enregistrées dans le système IGA d’autre part. Les écarts détectés peuvent être mis en exergue durant le processus de revue périodique des accès, ce qui alertera le réviseur sur le caractère potentiellement illégitime d’un accès qui n’aurait pas été attribué selon le processus “officiel”.
Pour en savoir plus sur tous les bénéfices générés par l’automatisation de vos campagnes, contactez-nous ! Ensemble, franchissons le cap de la conformité de vos droits d’accès sans effort !
Aller plus loin
Recevez nos derniers articles
Des innovations en matière d’identité aux tendances façonnant l’industrie, explorez le monde de la sécurité numérique avec l’équipe de Radiant Logic.