Gestion des identités et des accès : les bonnes pratiques à adopter

Pour les entreprises, les solutions d’IAM apparaissent comme de véritables remparts face au nombre croissant de menaces. Provisionnement piloté par les RH, matrices de rôles, prise en compte des données non structurées… Voici quelques bonnes pratiques pour optimiser les solutions IAM.

 

Dans une étude intitulée « Growth in remote work fuels zero trust investment », consacrée aux impacts de la pandémie de Covid 19 sur les choix IT des entreprises, la société Ping identity, spécialiste du contrôle d’accès distant, dévoile que 68 % des entreprises françaises planifient des investissements dans ce domaine en 2021. Une tendance soutenue par la hausse du télétravail et le nombre croissant d’attaques touchant les organisations, quelle que soit leur taille.

Dans une autre étude, intitulée « Évaluation de la gestion des identités et des accès en 2018 », One Identity, éditeur de solutions de gouvernance des identités, de gestion des accès et de gestion des privilèges, a interrogé 1 005 personnes majoritairement responsables de la sécurité informatique et ayant de bonnes connaissances en IAM (gestion des identités et des accès) et en PAM (gestion des accès à privilèges) dans plusieurs pays dans le monde, dont la France. L’étude a révélé qu’un tiers des entreprises avait encore recours à des méthodes manuelles ou à des feuilles de calcul pour gérer les informations d’identification des comptes à privilèges.

Dans ce contexte, les solutions d’IAM apparaissent comme de véritables remparts contre les risques auxquels les entreprises sont exposées. Grâce à une gestion centralisée et automatisée des identités, elles permettent de réduire les risques mais aussi de garantir la conformité règlementaire. Voici 4 bonnes pratiques à respecter en matière de gestion des identités et des accès pour optimiser l’efficacité opérationnelle de votre système d’information et de votre organisation.

 

  • Opter pour le provisionnement piloté par les RH

Le provisionnement piloté par les RH consiste à gérer les identités numériques (arrivée d’un nouveau collaborateur, départ d’un salarié, réembauche d’un intérimaire…) en fonction du système RH de l’entreprise. Ce système devient alors la source unique pour ces nouvelles identités numériques.

Par exemple, lorsqu’un nouveau salarié est embauché, la création de son identité numérique au sein du système RH de l’entreprise déclenche ensuite le provisionnement d’un compte utilisateur dans un service d’annuaire, comme Active Directory par exemple.

Utiliser le système RH de l’entreprise comme source unique de votre système de gestion des accès et des identités permet d’éviter les oublis, les doublons et autres sources de non-qualité au fur et à mesure de la croissance de votre organisation.

 

  • Définir le rôle de la DSI et des propriétaires des données

Quel est le rôle de la DSI dans une stratégie de gestion des identités et des accès ? Est-il de définir les règles d’accès aux ressources de l’entreprise ? Non, pas forcément. Cette tâche revient aux propriétaires des données. Ils doivent gérer et contrôler les accès aux applications, systèmes, bases de données et autres services qui rentrent dans leur périmètre et dont ils sont responsables.

La DSI joue plutôt un rôle de conseil auprès de ces propriétaires des données. Elle peut les accompagner dans des phases d’audit des accès, de cartographie des groupes d’utilisateurs ou bien encore d’analyse des droits des utilisateurs sur les données. Elle peut également formuler des recommandations en réponse aux politiques métiers et réglementaires de l’entreprise.

 

  • Élaborer des matrices de rôles pour éviter les conflits

Dans une stratégie IAM, définir des modèles d’habilitation, reposant sur la définition de rôles (RBAC : Role-Based Access Control), permet d’attribuer les autorisations à des rôles professionnels plutôt qu’à des personnes.

Les rôles établissent des profils pouvant accéder – ou pas – à certaines ressources. Les profils exerçant des fonctions proches ou identiques font alors partie d’un même rôle métier auquel sont attribuées des autorisations correspondant aux besoins des collaborateurs au quotidien.

La création de matrices de rôles, c’est-à-dire de règles de conflits entre différents profils ou entre un profil et les autorisations dont bénéficie une personne donnée, permettent d’éviter, par exemple, qu’un salarié puisse à la fois créer et valider une action sensible, comme un virement bancaire.

 

  • Penser aux données non structurées

Contrairement aux données structurées, issues d’applications métier et organisées dans des bases de données, les données non structurées sont le plus souvent produites par des outils bureautiques et stockées dans des messageries ou dans des espaces de travail collaboratif. Elles échappent de ce fait à toute démarche de classification mais leur caractère stratégique n’en demeure pas moins élevé (propriété intellectuelle, données financières, accords stratégiques…).

Il est donc nécessaire, à intervalles réguliers, de procéder à des audits approfondis permettant de savoir où se trouvent ces données, de déterminer qui en sont les propriétaires, de cartographier les groupes d’utilisateurs clés et de définir quels rôles peuvent y accéder, pour quels types d’actions, etc.

L’équipe Exclusive Networks –  Juin 2021