La maitrise des accès au système d’information est une problématique de plus en plus présente dans les audits de conformité. Elle est particulièrement importante pour les entreprises soumises à règlementation comme les institutions financières ou les sociétés cotées.
L’IAG ou « Identity and Access Governance » porte sur la maitrise et le contrôle des accès au système d’information ainsi que sur la traçabilité des actes de gestion.
Il s’agit de pouvoir répondre aux questions de base :
– qui peut accéder à quelle ressource de l’entreprise ?
– ce droit d’accès est-il légitime au regard du profil métier du récipiendaire ?
– quel a été le processus d’attribution de ce droit d’accès ?
– quels étaient les droits d’accès pour une personne à un instant T dans le passé ?
– est-ce que les droits réels dans les applications correspondent bien aux droits théoriques ?
Pour atteindre cet objectif, les entreprises procèdent généralement à des campagnes de révisions de droits couplées à des campagnes de contrôles des droits d’accès.
Déjà déployé chez de nombreux clients, Usercube Compliance Management permet de gérer toute l’activité de recertification (on parle aussi de révision) des droits d’accès au Système d’Information. Le principe consiste à faire réviser régulièrement par un responsable la validité d’une collection de droits applicatifs ou de ressources. On va par exemple faire valider par son manager un certain nombre de droits d’accès du collaborateur, mais on va également faire valider par un responsable applicatif la légitimité des droits attribués au collaborateur. La réalisation de campagnes de recertification permet de s’assurer de la conformité du SI à intervalles réguliers tout en engageant la responsabilité du réviseur.
Cependant, même s’il s’agit d’une avancée majeure dans la maitrise du SI, la réalisation de campagnes de recertification n’est pas suffisante. Entre deux campagnes, tout est possible, y compris l’attribution de combinaisons de droits « toxiques » (par exemple un demandeur hérite également d’un droit de valideur). C’est la raison pour laquelle, il est nécessaire de coupler les campagnes de recertification avec des campagnes de contrôles des habilitations.
Néanmoins, la mise en place des campagnes de contrôles est compliquée et coûteuse, car il s’agit de transformer un besoin métier (par exemple un commercial ne peut pas valider lui-même ses demandes de rabais dans l’ERP sauf s’il est également chef d’agence) en combinaison de rôles et droits applicatifs. De la même manière, les campagnes d’audit, par leur aspect imprévisible et non récurrent, sont lourdes et très consommatrices de ressources IT pour un usage unique.
Usercube Control Management entend modifier radicalement ce paradigme en offrant une interface conviviale de génération et d’exploitation des campagnes de contrôles et d’audit afin d’en permettre l’automatisation et l’industrialisation.
Usercube Control Management s’appuie sur le moteur et les connecteurs de Usercube Identity Management pour constituer un référentiel des identités et des droits d’accès aux applications. Une fois ce référentiel consolidé, il est maintenu à jour en permanence.
Une interface simple d’accès permet de mettre en œuvre et de gérer toute l’activité de contrôle et d’audit du SI. A l’aide d’un assistant, on commence par réaliser des contrôles de base, par exemple le respect des conventions de nommage ou la détection des comptes orphelins. Ces contrôles de base sont ensuite combinés en « groupes ». Par exemple, l’application « ingénieur d’affaires » regroupe les contrôles de base à réaliser pour ce type de population.
Une fois les contrôles regroupés en groupes, on peut alors programmer des « sessions » de contrôle en définissant la période d’application, la récurrence, la portée. On peut par exemple programmer une session sur le groupe « ingénieur d’affaires » avec une récurrence mensuelle.
Les résultats des contrôles sont présentés au format Excel avec la possibilité d’importer ses propres modèles. Les résultats de toutes les « sessions » de contrôle sont historisés et les rapports sont disponibles à chaque instant pour comparaison et analyse de l’évolution.
« Au-delà de l’effet de mode lié à la Cyber sécurité, il ne faut pas oublier le « back to basics » si cher à l’ANSSI et parfaitement illustré dans « le guide d’hygiène informatique, explique Christophe Grangeon, Directeur général associé de Usercube. Il convient ainsi de décliner la PSSI (Politique de Sécurité du Système d’Information) en règles d’accès logiques aux applications et de contrôler régulièrement l’application de ces règles. Avec Usercube Control Management, nous apportons au marché une solution extrêmement innovante qui remplace très souvent des procédures de contrôles quasi manuelles très coûteuses en ressources humaines, généralement peu documentées et réalisées par des techniciens. Usercube Control Management permet d’industrialiser la conception et la réalisation des campagnes de contrôles et induit un changement majeur de paradigme en permettant aux donneurs d’ordres (RSSI, auditeurs, responsables de la conformité…) de gérer eux même la conception des contrôles et la réalisation des campagnes. En conséquence, notre principale plus-value est d’augmenter drastiquement le niveau de sécurité global du système d’information sans augmenter la taille des équipes. En effet, alors que les approches traditionnelles sont basées sur des audits trimestriels ou semestriels des applications les plus sensibles dont chaque campagne est fortement consommatrice de ressource, Usercube Control Management permet d’enrichir au fil de l’eau aussi bien le nombre d’applications contrôlées que la profondeur du niveau des contrôles ainsi que la fréquence des campagnes. La conséquence est de pouvoir maintenir en permanence les droits applicatifs théoriques alignés avec les droits réels. Nous avons actuellement une très forte demande dans les secteurs de la banque-finance et chez les OIV (Organisme d’Importance Vitale). Notre offre est disponible « on premise » ou en mode Software as a Service », complète Christophe Grangeon.