La révision des accès est souvent une activité négligée dans les organisations. Pourtant, il y a plusieurs signes qui indiquent qu’elle devrait être faite.
Ah la révision des accès aux données! Beaucoup d’organisations au Québec ne la font pas. Pourquoi? On évoque que c’est souvent compliqué pour les gestionnaires d’interpréter les accès attribués, que ce n’est pas une priorité, etc. Bref, tous les prétextes sont bons pour ne pas faire des exercices de révision des accès.
Pourtant, il y a souvent des signes qui doivent être pris en compte et que s’ils ne sont pas considérés, ils peuvent conduire vers de graves problèmes liés à la sécurité des informations des organisations. On a qu’à se rappeler ces attaques ayant eu lieu cet été envers des organisations québécoises (voir le billet « Découvrir des attaques via les réseaux sociaux« ). Peut-être que ces intrusions ont été causées par l’exploitation d’accès ou d’identités disponibles et oubliés?
Dans le but de faire un peu de sensibilisation à l’égard de la gestion des identités et des accès (GIA), j’ai décidé d’écrire un billet dans ce blogue sur les signes à considérer pour effectuer des exercices de révision des accès.
Signes pour amorcer une révision des accès
1. Absence de certitude de « qui a accès à quoi »
C’est le signe numéro 1 pour amorcer une révision des accès. Lorsque des directeurs ou des détenteurs d’actifs n’ont plus de certitude sur les accès accordés, c’est un signe qu’on doit réviser les accès. Ces gestionnaires doivent être en contrôle des accès accordés, car advenant un accès illégitime, c’est eux qui seront imputables de cette bévue.
2. Absence de solutions de gestion des demandes d’accès
Si vous n’avez pas une solution pour gérer les demandes d’accès, cela peut occasionner des problèmes. Une demande légitime qui n’est pas documentée et qui est mal réalisée peut s’avérer une belle occasion pour l’exploitation de données sensibles par exemple. Lâchez le chiffrier Excel ou la boîte de courriel utilisée pour les demandes d’accès et dotez-vous au moins d’un système de billets Open Source comme Freshdesk ou Spiceworks.
3. Absence de traçabilité aux accès aux renseignements personnels
En ne traçant pas l’accès à certaines données sensibles, vous n’êtes pas en mesure de certifier qui a accédé aux données. C’est donc possible qu’un utilisateur affecte malencontreusement des données qui peuvent avoir de graves conséquences dans l’organisation! Il est donc requis d’activer la journalisation aux accès qui permettront d’effectuer une révision des accès efficaces.
4. Conformité à des obligations légales
Si votre organisation doit se conformer à des obligations légales, les auditeurs chercheront à vérifier que vous êtes en pleine maîtrise des accès accordés. Lors de leur passage, ils feront la lecture de rapport d’accès que vous devrez produire et/ou ils analyseront des accès au hasard. Le passage de ces représentants de firmes externes (ou d’équipes internes) spécialisés dans la vérification est souvent un élément déclencheur pour instaurer au préalable, une révision des accès.
5. Mauvaise gestion des accès
Lors des mouvements de personnel, vos préposés qui sont responsables de traiter les demandes ne retirent pas les anciens accès et ajoutent les nouveaux accès tout simplement. Un classique! Cette façon de procéder qui est très commune occasionne à coup sûr des accumulations d’accès pour vos utilisateurs. Vous devez changer cette façon de procéder.
Également, gardez un œil sur vos « super » utilisateurs qui travaillent sur plusieurs projets. C’est souvent ces individus qui ont le plus d’accès dans votre organisation et qui font en sorte que la révision des accès doit être commencée (à cause que leur jeton Kerberos explose!)
6. Restructuration administrative
On sous-estime souvent les revers au remaniement d’une structure administrative. La redéfinition du découpage de l’arborescence organisationnelle implique parfois un brasse-camarade au sein des directions qui font en sorte que des employés vont changer d’équipe.
Ces changements impliquent alors de rebrasser les rôles qui vont d’une direction à l’autre. Dans ce contexte, il est requis de revoir les accès en fonction de ces changements.
7. Multiplicité des opérateurs de comptes d’utilisateurs
Avez-vous plusieurs administrateurs Windows qui interviennent dans votre infrastructure? Outre votre personnel qui s’occupe des demandes d’accès et d’identités, est-ce possible pour ces administrateurs d’attribuer des accès? Est-ce que certaines personnes dans les équipes de développement peuvent s’attribuer des accès? Si vous avez répondu « Oui » à l’une de ces questions, c’est un signe que la révision des accès soit requise.
8. Changement de gestionnaires
Un nouveau gestionnaire vient de s’insérer dans votre structure administrative. Ce dernier se doit de connaître le fonctionnement de sa direction, les rôles et les responsabilités, « qui fait quoi » et « qui a accès à quoi ». Dans ce contexte, il sera requis pour ce dernier d’avoir la liste des accès de sa direction. Peut-être remettra-t-il en question certains accès qui ont été attribués?
9. Lancement de nouveau service ou de solution
Lors du lancement d’un nouveau service ou une nouvelle solution, une organisation se doit à l’occasion d’attribuer de nouvelles tâches à son personnel pour pouvoir l’opérer. Ces changements aux lignes d’affaires demanderont pour eux de définir de nouveaux rôles ou d’en supprimer quelques-uns. C’est encore un signe pour entreprendre une révision des accès.
Au final
En lisant ces signes, vous avez sûrement constaté que la révision des accès est fortement liée avec les rôles et les responsabilités d’une organisation et du même coup, de sa structure administrative. Vous devinez aussi qu’il pourrait y avoir beaucoup plus de signes pour démarrer des activités de révision.
Alors, n’hésitez pas de démarrer des projets pour améliorer les rapports d’accès pour les gestionnaires ou pour faciliter l’initiation de campagnes de révision des accès. Ils provoqueront des branle-bas de combat, mais au moins, vous diminuerez beaucoup de problèmes liés à la sécurité.
Photo: Pixabay
[maxbutton id= »4″]