La revue des comptes est une étape essentielle dans la gestion des entreprises. Elle consiste à vérifier la conformité des comptes des utilisateurs avec les droits qui leur sont accordés en fonction de la politique de droits de l’entreprise.
La revue des habilitations revêt aussi un caractère obligatoire dans bien des cas et sécuritaire pour toutes les entreprises.
Cependant, cette tâche peut être fastidieuse et chronophage pour les équipes informatiques, qui doivent parcourir des centaines, voire des milliers de comptes utilisateur. L'automatisation de cette tâche pourrait apporter une solution efficace pour les entreprises.
Dans les précédents articles traitant de la gestion des habilitations, j’ai abordé le sujet de l’automatisation sans le détailler.
Les risques liés à la non réalisation d'une revue des habilitations.
Une gestion des habilitations en 10 points.
La gestion des habilitations, ce sont les actions de création, modification, suspension et suppression de comptes que vous réalisez au quotidien. Vous ne saviez peut-être pas que vous réalisiez une gestion des habilitations en exécutant ces actions, un peu comme Monsieur Jourdain qui faisant de la prose sans le savoir !
La revue des habilitations, c'est une action longue et fastidieuse dans laquelle, une personne de l’informatique doit recenser l’ensemble des collaborateurs et des utilisateurs afin de n’en former qu’une liste qui sera le référentiel unique d’utilisateurs. Puis de recenser l’ensemble des applications et des comptes et de les lier aux utilisateurs dans le but de créer un référentiel de comptes.
Enfin, de nettoyer ces fichiers des anomalies diverses telles que les utilisateurs partis avec des comptes actifs, des droits accordés qui ne sont pas conformes à la politique de l’entreprise.
Cependant, le temps de réaliser ce long travail de collecte et de recoupement, des mouvements ont lieu dans l’entreprise et l’information est déjà caduque et à refaire.
Cette revue des comptes s’effectue dans un cadre législatif bien souvent mais l’aspect sécuritaire est bien plus important.
Le constat, c’est que peu de services de la DSI ont le courage de réalisation une revue des comptes régulière et les erreurs s’accumulent, entraînant par la même des failles de sécurité.
Avec l'expansion de l'utilisation des applications et logiciels, il devient de plus en plus difficile de gérer les identités et les accès de tous les utilisateurs du système.
La multiplication des comptes, les outils SaaS et On-premise, rendent difficile la consolidation et l'unification des données.
La réalisation d'une revue des comptes informatiques manuelle requiert une méthode rigoureuse, une bonne organisation et une attention particulière aux détails.
Souvent réalisée à l’aide d’un fichier Excel, cette méthode peu chère est très chronophage et surtout peu fiable, car elle nécessite une rigueur absolue et comme je l’ai signifié auparavant, des mouvements ont lieu en même temps qu’elle est réalisée.
Une revue des comptes est ainsi nécessaire à réaliser. Il est difficile de l’externaliser, car elle demande des connaissances et la participation des services RH et informatique, mais aussi des managers.
Elle est, comme on l’a vu, inévitable parce qu'il en va de la sécurité de l’entreprise.
Qui va gérer ça ?
En priorité, c’est le RSSI puis le propriétaire du SI qui va gérer cette revue des comptes. Puis, il faudra intégrer le gestionnaire des applications (attribution) et le management.
Les managers sont incontournables pour la validation des habilitations. Ce sont eux, qui, en relation avec le service IT, ont défini des droits et qui seront à même valider ou non les accès et les droits de leur équipe.
L’automatisation intelligente prend ainsi tout son sens : elle saura analyser les anomalies et les faire ressortir. Dans ce cas, votre revue des comptes, passerait d’un mois de travail à quelques jours.
Une solution d’IAM dans ce cas remporte plusieurs avantages :
Les équipes informatiques peuvent développer leurs propres outils d'automatisation de la revue des comptes informatiques en utilisant des langages de programmation tels que Python, Java ou Ruby. Les avantages de cette option sont la personnalisation des outils aux besoins spécifiques de l'entreprise et la possibilité de les adapter en fonction de l'évolution des besoins.
Un développement d'outils en interne prend du temps et mobilise des ressources importantes. De plus, les équipes de développement doivent être compétentes en matière de sécurité informatique et de conformité réglementaire pour garantir l'efficacité de ces outils.
Et pour vous dissuader encore de choisir cette solution, l’entreprise devient extrêmement dépendante d’une technologie souvent maison et d’un collaborateur qui seul, en a la connaissance.
Une solution d’IAM facilite et accélère la mise en œuvre, la fiabilité des outils et la mise à disposition de fonctionnalités avancées telles que la surveillance continue de la conformité réglementaire.
De plus, une solution d’IAM, en SaaS, permet d’avoir une version toujours à jour et des évolutions pertinentes en fonction de l’évolution des besoins des clients.
Si j’ai aussi précisément défini la réalisation d’une revue des comptes manuelle, c’est parce que l’IAM automatise l’ensemble de ces étapes.
Reste à la charge des utilisateurs de la solution, la validation des accès et des droits de chaque utilisateur, en général effectuée par les managers.
Il faudra bien définir en amont les applications qui vont être concernées. L’IAM vous facilite le travail, puisque vous retrouvez sur chaque utilisateur la liste des applications sur lesquelles il a un compte. Ensuite, vous retrouvez dans la solution d’IAM, la liste de tous les managers. Ces derniers vont avoir la liste des collaborateurs qu’ils managent avec la liste des logiciels et applications qui leur sont rattachés.
Sans solution d’IAM, vous devrez lister toutes les applications qui sont utilisées par les utilisateurs avec le risque d’en oublier. Vous devrez avoir une liste des managers, la liste des collaborateurs pour chaque manager, la liste des applications de chaque utilisateur pour chaque manager… C’est presque un puits sans fond.
Puis, vous devrez envoyer chaque fichier à chaque manager en passant par du publipostage.
Outre l’aspect réglementaire qu’on a déjà abordé, la revue des comptes permet surtout de sécuriser son système d’information.
Cela permet de réaligner les droits de vos utilisateurs et de nettoyer votre SI, donc de ne pas accorder trop d’accès et par conséquent de limiter les intrusions sur des comptes administrateurs.
Cela vous permet aussi de nettoyer votre fichier utilisateur : doublons, comptes orphelins qui sont autant de risques d’intrusion avec ransomwares.
C’est aussi un accélérateur de décisions. Quand vous avez un référentiel à jour et propre de votre SI, les décisions sont plus faciles et rapides à prendre, pour les ressources humaines et pour l’informatique.