Quels risques y a-t-il à ne pas réaliser une gestion des habilitations ?

Articles
>
IAM - gestion des accès et des identités
>
Quels risques y a-t-il à ne pas réaliser une gestion des habilitations ?
La gestion des habilitations permet de sécuriser son IT en limitant les accès et en donnant une granularité à l'attribution des droits aux utilisateurs. Cela implique de maitriser le cycle de vie, les besoins en logiciels et en droits d'accès des utilisateurs. On peut s'aider du RBAC pour créer finement des groupes d'utilisateurs, ce qui permettra d'automatiser et de scaler l'attribution des droits.

“Accorder les bons droits à la bonne personne”

La gestion des habilitations pourrait se résumer ainsi.

Mais pourquoi est-ce si important d’attribuer les bons droits à la bonne personne en entreprise ? Finalement, si on donnait un accès élevé pour tout le monde, cela simplifierait grandement la vie des services IT plutôt que d’apporter une granularité à chaque utilisateur.

Pour comprendre pourquoi la gestion des habilitations n’est pas un luxe mais une nécessité absolue en entreprise, regardons le contexte actuel.

Le cloud prend de plus en plus d’importance dans les applications en entreprise. Aujourd’hui 35% ont plus de la moitié de leurs app dans le cloud et d’ici 12 à 18 mois elles seront plus de 50% selon Check Point Software.

Le problème avec les solutions SaaS c’est qu’il y a une moins bonne maîtrise des droits d’accès, elles ont un niveau d’attribution de droits plus élevés par défaut. On peut facilement introduire des configurations non conformes aux politiques IAM. Ainsi, on retrouve deux fois plus d’autorisations non utilisées dans les politiques intégrées que dans un logiciel on-premise.

27% des failles de sécurité en entreprise sont dues à des mauvaises configurations selon It Social et 65% des incidents de sécurité dans le cloud sont des mauvaises configurations.

Donc le voilà le hic.

Si nous avons connaissance de ces chiffres, les cybercriminels aussi. 
Les habilitations sont à définir et ont une durée de vie limitée.

Qu’est-ce que la gestion des habilitations ?

Il s’agit de définir des profils d’utilisateur afin d’en limiter l’accès aux seules données nécessaires et de supprimer les permissions dès que celles-ci ne sont plus alignées au profil de l’utilisateur. La CNIL définit très bien cela.
On se posera la question : Qui est habilité à quoi et avec quel besoin ?

On parlera aussi de gestion des privilèges ou de gestion des permissions.

La gestion des habilitations

Maîtriser le risque

L’objectif de la gestion des accès et des habilitations est de lutter contre les attaques internes ou externes, en conséquence de limiter le risque.
On protège les données d’un dysfonctionnement humain, d’une utilisation frauduleuse, d’une perte ou d’un vol.

Les entreprises ont déjà mis en place une revue annuelle des droits et des accès afin d’identifier les erreurs qui pourraient entrainer des failles de sécurité.
Une stratégie d’habilitation va vérifier plusieurs éléments :

  • les comptes non utilisés, doublons, comptes orphelins
  • l’alignement des droits en fonction de chaque utilisateur
  • la définition des besoins en termes de ressources pour chaque typologie d’utilisateurs
  • le niveau de droits et elle prendra plus son temps sur des hauts niveaux de droits d’accès

Cela implique de suivre le cycle de vie des utilisateurs, 

  • l’onboarding avec l’attribution des ressources et des droits d’accès, 
  • un changement de poste avec parfois des ajustements de droits à réaliser et 
  • l’offboarding avec la suspension des droits.

L’entreprise doit définir un process de revue des habilitations dans lequel elle intègre tous ces éléments afin d’être en conformité avec les règles établies par la CNIL notamment et dans le cadre d’audits.

On comprend dès lors qu’une gestion des accès et des privilèges ne peut pas s’administrer manuellement mais qu’il lui faut de l'automatisation, sans quoi les services IT vont tout simplement être débordés et dépassés.
Pour être automatisé, il est nécessaire d’avoir des process, des workflows et une gestion par lot.

Principe du moindre privilège appliqué en groupe

Afin de limiter le risque, il est nécessaire de restreindre les accès et les droits au minimum pour chaque utilisateur. Il doit disposer des droits strictement nécessaires à son travail/poste.

On peut appliquer ce principe à l’aide d’une stratégie de RBAC.
RBAC ou role based access control : modèle de contrôle où chaque décision d’accès est basée sur le rôle de l’utilisateur (Wikipédia).

Le RBAC est la solution la plus prisée en entreprise parce qu’elle est scalable et convient à beaucoup de modèle mais il existe d’autres modèles si celui-ci ne vous convient pas.
Pour la mettre en place, il faut définir des typologies d’utilisateurs avec des critères tels que le poste, le rôle managérial, la position hiérarchique, etc…
Définissez les profils entre service IT et les managers vous aurez une plus grande finesse des profils et ceux-ci seront mieux compris et acceptés en interne. L’IT veillera néanmoins à ce que les managers ‘n’exagèrent pas’ les besoins de leurs équipes en termes de ressources et de droits d’accès. On gardera en tête le principe du moindre privilège.

L’avantage de cette segmentation est un gain de temps dans l’attribution des droits puisque faisant partie du groupe, il devient légitime à un certains nombres d’applications et d’accès.

Il faudra porter une attention toute particulière sur les groupes administrateurs. Ces derniers auront des accès élevés avec un risque accru sur la sécurité des données. Ces comptes à privilèges nécessiteront une supervision permanente et automatisée, une révision régulière des accès et des droits et une surveillance sur le cycle de vie des utilisateurs.

Une séparation des tâches est même un excellent moyen de limiter le risque. Un utilisateur ne peut pas être sur toute la chaine de contrôle d’une même action (initier, valider, contrôler). Cette condition est même obligatoire dans le secteur bancaire et est une démarche nécessaire dans le cadre du RGPD.

Ce qu’il faut faire - la mise en place

✅ Les must do dans la gestion des habilitations :

  • suivi accru des comptes à privilèges
  • workflows d’onboarding et d’offboarding afin d’être rigoureux sur les process définis en amont
  • définir un niveau de sensibilité des ressources dans le but de ne pas se focaliser avec la même intensité sur chaque ressource puis surveiller les plus sensibles
  • le personnel externe devra être suivi par les IT de la même manière que celui de l’interne. Leurs droits et accès doivent être maîtrisés.
  • un nettoyage régulier des doublons, des comptes orphelins et de toutes anomalies
  • une revue des droits régulière
  • sanctions en cas de non respect des mesures de sécurité pour les groupes administrateurs

❌ On notera le pire à éviter :

  • des comptes partagés qui ne seront pas monitorables en cas d’incident. Qui a fait l’erreur ? Cela implique aussi un risque de partage de mots de passe.
  • l’octroie de droits administrateur sans raison qui offre des brèches importantes pour la sécurité de l’entreprise
  • trop de privilèges ne respectant pas la règle du moindre privilège
  • l’autorisation temporaire de droits supplémentaires non supprimée
  • l’oubli de suppression des comptes d’utilisateur parti
  • le non suivi du cycle de vie d’un utilisateur
  • la non-révision de sa politique de gestion des habilitations

Grand nombre d’entreprises souhaite donc une solution sécurisée, externe et indépendante qui permettra de centraliser toutes les applications. Cependant, les outils présents sur le marché rebutent, car ils sont techniques et difficiles à prendre en main.

Gestion des habilitations Youzer

Youzer peut vous aider dans cette démarche, spécialiste de l’IAM, nous nous sommes focalisés sur la gestion des utilisateurs et des applications SaaS et on-premise dans une optique de simplification et de lisibilité des informations.

Contrairement aux IAM techniques, nous abordons l’IAM dans sa version ‘administrative’ en vous permettant de regrouper l’ensemble de vos utilisateurs et de vos applications sur une même plateforme. Vos applications se synchronisent, facilitant ainsi votre gestion des habilitations.

Maintenant passons à la pratique, comment réaliser un plan d'action pour mettre en place une gestion des habilitations, 10 points pour réussir !

Quels risques y a-t-il à ne pas réaliser une gestion des habilitations ?
Mélanie Lebrun
Responsable marketing chez Youzer
lire l'article suivant :
Un logiciel pour faire une revue des comptes et des habilitations

Découvrez Youzer, la première plateforme
pour gérer simplement vos utilisateurs et leurs accès

Demander une démoDécouvrir Youzer