Politique de gestion des droits d’accès, comment et pourquoi ?

La politique de gestion des droits d’accès revêt de nombreux noms : gestion des identités et des accès, Identity and Access Management (IAM), revue ou gestion des habilitations… C’est un premier pas essentiel vers une cybersécurité maîtrisée pour toute entreprise gérant des accès à des services.

Qu’est-ce qu’une politique de gestion des droits d’accès ?

La gestion des identités et des accès est un ensemble de politiques, de processus et de technologies qui aident les organisations à :

• Identifier les individus et les accès,
• Authentifier ces identités pour accéder aux données ou à d’autres ressources du SI,
• Autoriser les utilisateurs à accéder à ces ressources,
• Gérer les identités et les habilitations,
• Contrôler les identités et les droits accordés.

Pour cela, la politique IAM se base sur deux piliers :

• L’identité : en vérifiant que l’utilisateur est bien celui qu’il prétend être,
• Les accès : en déterminant les ressources auxquelles les utilisateurs ont accès.

Pourquoi la gestion des identités et des accès est-elle importante pour sécuriser votre entreprise ?

Des cyberattaques de plus en plus fréquentes

Phishing, attaques par rebond, exploitation de failles, les attaquants exploitent la moindre brèche pour s’introduire dans votre système d’informations. En 2021, les chiffres sont éloquents :

• 1 entreprise sur 2 déclare avoir subi une cyberattaque (7^ème édition du baromètre annuel du CESIN)
• +255% de ransomware enregistrés (ANSSI)
• Des TPE, PME de plus en plus visées, +53% en 2020 selon l’ANSSI 

Derrière ces statistiques, des entreprises subissent de plein fouet les conséquences des cyberattaques. Alors que leurs accès sont souvent bloqués contre le paiement d’une éventuelle rançon, le plus dur reste à venir : pertes financières, perte de confiance des clients et des partenaires, mauvaise réputation…

Un bon moyen de prévenir les comptes inactifs

Les comptes inactifs (ou comptes fantômes) sont des accès à votre SI qui ne sont plus utilisés par aucun collaborateur :

• Orphan account / Comptes orphelins : l’utilisateur a changé de service, de projet, ou a quitté l’entreprise et n’utilise plus ces accès
• Comptes systèmes : créés automatiquement par certaines applications ou services tiers

En plus d’être une porte d’entrée discrète à votre SI, ces comptes peuvent être piratés et exploités pendant un long moment avant que quelqu’un ne s’aperçoive que celui-ci est compromis.

Souvent, il suffit d’un seul compte pour mettre à mal l’intégralité de la société. Comme chez Sophos qui a été infecté par le ransomware Nemty, entré par le compte d’un administrateur haut niveau décédé depuis 3 mois. Le logiciel malveillant a alors pu explorer les ressources de l’entreprise et exfiltrer des données sans que personne ne s’en rende compte.

Pourtant, avec une bonne stratégie de gestion des droits d’accès, l’intégralité des droits d’un utilisateur qui quitte un projet ou l’entreprise est désactivée dès son départ. Cette simple mesure aide à prévenir les comptes fantômes.

… et les risques de sabordage

Salarié ou sous-traitant, inattentif ou mécontent, les risques de sabordage sont également nombreux lorsque les accès ne sont pas contrôlés. Des données peuvent être supprimées, par vengeance ou simplement par inadvertance, d’un site internet mis à jour avec de mauvaises informations, et des secrets industriels volés.

L’aspect réglementaire

Pour certains secteurs d’activité, le monde bancaire ou la santé, un contrôle d’accès strict est obligatoire. Il s’agit en effet de protéger la confidentialité et prévenir les accès non autorisés. Les réglementations DSP2, NIS2 ou la RGPD obligent les professionnels de ces secteurs à montrer patte blanche.

Pour les entreprises opérant dans la finance, ou celles ayant un seul acteur à réaliser un ensemble de tâches qui pourrait conduire à des fraudes, un système IAM permet d’inclure les règles de segmentation des droits ou SoD (Segregation of Duties) et de simplifier les contrôles.

En cas d’audit informatique réalisé par un commissaire aux comptes, une analyse des habilitations sera réalisée. Contrôle interne, risque de fraude, qualité des processus interne, la bonne gestion des habilitations permet d’apprécier l’intégrité et le bon fonctionnement du système d’information.

Bonnes pratiques : surveiller, informer, avoir des outils, traçabilité

Déployer des actions rapides pour gérer et sécuriser les accès

A défaut de se lancer tout de suite dans la mise en place d’une politique de gestion des accès, voici quelques bonnes pratiques rapides à mettre en place :

• Lister les outils qui contiennent des données sensibles pouvant mettre en danger la santé de l’entreprise s’ils étaient piratés
• Cartographier les utilisateurs et les droits qui leur sont accordés
• Envoyer un mail de rappel des bonnes pratiques et des règles à toute l’entreprise
  • Ne pas partager vos accès
  • Ne pas mettre en place de nouveaux outils sans validation de la DSI
  • Utiliser un gestionnaire de mots de passe
  • Activer le 2FA sur les comptes et outils clés

Comment mettre en place une politique de gestion des accès ?

1. Faire un état des lieux des utilisateurs et des accès

Avant toute chose, la première étape est de lister exhaustivement tous les dossiers, les applications, les services qui hébergent des données de votre entreprise ou qui sont indispensables à la poursuite de son activité :

• Banque,
• Cloud,
• CRM,
• Gestion de la paie et des absences,
• Outils de messagerie clients…

Il est primordial de noter quels services hébergent des données ou des rôles sensibles, quels utilisateurs ont accès à quels dossiers, avec quels droits de modifications et de partage ?

2. Revue des droits d’accès avec les managers et sensibilisation

Maintenant que vous avez une liste des services et des utilisateurs y ayant accès, il est temps de prévoir un échange avec les managers de chaque service. Ensemble, vous pourrez définir quels utilisateurs ont accès à quelles applications.

C’est également l’occasion de sensibiliser et d’accompagner les responsables de service pour une meilleure considération des enjeux de cybersécurité. La sensibilisation des salariés aux bonnes pratiques et aux principales menaces (dont le phishing) doit être renforcée. Ces formations leur permettront de prendre conscience des enjeux et des impacts.

Les DSI doivent également proscrire des comptes partagés par plusieurs personnes, refuser de donner des droits administrateurs à des utilisateurs n’en ayant pas besoin ou accorder à un utilisateur plus de privilèges que nécessaire (règle dite « du moindre privilège » qui doit être régulièrement actualisée, en fonction des évolutions de postes des salariés).

Cette règle du moindre privilège doit être en particulier appliquée aux situations de nomadisme. Les organisations peuvent se tourner vers des solutions de ZTNA (Zero Trust Network Access) qui facilitent la granularité des accès. Elles offrent donc plus de sécurité que les VPN qui donnent accès à un réseau dans son ensemble.

Enfin, pour que ce travail d’habilitations puisse être pérenne dans le temps, vous devez penser à vous équiper d’un outil de gestion des identités des accès pour automatiser la gestion des droits. 

3. Déployer des outils

3.1 📖​ Un service d’annuaire (AD / LDAP)

Entrée et sorties, modification de droits, votre base d’utilisateurs interne doit vivre et être mise à jour au gré des mouvements de votre entreprise. Outre la structuration et la centralisation des informations, l’annuaire centralisé permet la création de mécanismes d’authentification grâce à des protocoles standards comme LDAP ou RADIUS.

En couplant l’annuaire à un service de SSO, les utilisateurs n’ont plus qu’un seul identifiant/mot de passe pour toutes les applications configurées dans le SSO.

3.2 🔑​ Le SSO

Point d’authentification unique, le SSO (Single Sign On) permet aux utilisateurs d’accéder à leurs services quotidiens grâce à une seule et même authentification.

Simplifiant la vie des utilisateurs, il facilite également la mise en œuvre des politiques de gestion d’accès et étant un point unique à configurer pour l’accès à de multiples services. Il permet également le déploiement de méthodes d’authentification renforcées à l’ensemble des services de l’entreprise (MFA, MFA dynamique, authentification basée sur des attributs …).

Le choix de ces méthodes alors est uniquement contraint par les capacités du fournisseur de SSO et pas par chaque service.

Une vigilance toute particulière doit être portée sur le choix de la méthode d’authentification sur le SSO : c’est la porte d’entrée à tous les services !

3.3 🛡️​ Un bastion pour passer au niveau supérieur 

Depuis quelques années, les bastions ont le vent en poupe pour répondre aux problématiques de sécurité et de traçabilité. Facile à mettre en œuvre, cette solution de cybersécurité permet de cloisonner l’accès aux applications de l’entreprise. Point de passage obligatoire pour accéder aux services, elle facilite au passage la conformité règlementaire sur l’accès aux infrastructures.

Bonus : Le bastion décide de ses règles d’authentification et peut imposer par exemple un second facteur.

3.4 🔐​ La carte OneWave et sa solution SaaS

Qui dit authentification, dit obligatoirement identité.
La preuve d’identité dans beaucoup de systèmes informatiques repose sur une chose que l’on connaît (le mot de passe). La OneWave permet de s’affranchir de la difficulté de gérer ses identités numériques. Elle porte l’identité du collaborateur et permet de construire une politique de gestion d’accès forte basée sur un objet qui s’occupe de la preuve d’identité (biométrie) et sécurise l’ensemble des accès utilisés au quotidien.

4. Monitorer, mettre à jour et améliorer votre gestion des accès

Une fois vos outils choisis et déployés, il est important d’en assurer le suivi sur une base régulière prédéfinie :

• Vérifier la bonne santé des outils,
• Modifier les droits d’accès et les habilitations,
• Faire des points avec les responsables métiers,
• Vérifier les droits des nouveaux arrivés, l’état des comptes des employés partis
• …

Il est également recommandé de vérifier les statistiques de permissions et d’accès aux données (les plus et les moins consultés) pour revoir les niveaux d’accès selon les profils, les départements…

Pour conclure

Protéger et simplifier, voilà donc les maîtres-mots d’une bonne gestion des accès numériques d’une entreprise.

Plusieurs étapes sont nécessaires pour arriver à un résultat satisfaisant dans ces deux domaines, mais l’essentiel est d’abord de comprendre que mettre en place cette gestion des droits accès revient à pérenniser l’activité de l’entreprise, dans un monde de plus en plus numérique. En limitant l’exposition aux risques cyber et en permettant aux salariés de se concentrer sur leur véritable travail, ce changement de pratique sera perçu comme une évolution, un investissement pour l’avenir et non une contrainte.

Les administrateurs seront plus sereins au quotidien en sachant l’activité mieux protégée, tout en pouvant gérer efficacement les équipes et les habilitations. Les collaborateurs n’auront plus à composer avec des aspects sécuritaires complexes, qui dépassent souvent leurs compétences. Et pour tout le monde, la fin de la fatigue mot de passe et de la perte de temps à renouveler la phase d’authentification sur chaque service.

Gérer les droits d’accès peut paraître compliqué au premier abord, mais quelques bonnes pratiques, faciles et rapides à instaurer permettent de plonger avec assurance dans le grand bain de la cybersécurité.

C’est pour répondre à ce besoin de protection simple à l’administration et à l’utilisation que OneWave propose sa carte biométrique. Capable de gérer les mots de passe et d’apporter une solution d’authentification forte avec le MFA par OTP, elle a été pensée pour être facile et rapide à déployer et à administrer. Ses autres fonctionnalités comme le partage de mots de passe par un canal sécurisé et le SSO répondent aussi aux enjeux d’une gestion saine des accès numériques en entreprise.