Suivre les accès et les identités déclarées au niveau du SI

La gestion des identités et des accès (l’IAM pour Identity & Access Management) est un des sujets IT les plus complexes à gérer au niveau du SI d’une entreprise. Les solutions d’IAM en place permettent d’outiller les processus de gestion de ces identités et d’attribution des accès aux différentes ressources du SI et bien sûr maintenant des applications SaaS et des services Cloud.

Au fil du temps et des événements liés à l’entreprise et à l’utilisateur (acquisition, fusion, filialisation, etc.), les données contenues dans le système IAM peuvent dérivées et ne plus être représentatives de la réalité. Généralement, dans un système IAM, l’identité est positionnée en fonction de 3 référentiels :

  1. Un référentiel organisationnel – A quelle organisation appartient la personne ?
  2. Un référentiel fonctionnel – Quel est son rôle et/ou sa fonction ?
  3. Un référentiel géographique – Où est basée cette personne ?

Ces éléments vont définir finalement le profil de la personne qui peut être associé à un modèle d’habilitation de l’entreprise.

Les questions qui peuvent se poser maintenant dans le contexte de télétravail long termes sont :

  • – Les référentiels sont-ils à jour et les données rattachées à l’utilisateur sont-elles actualisées ?
  • – Suis-je en mesure de dire qui a accès à quelles ressources ou actifs de l’entreprise ?
  • – Quels droits ou pouvoirs disposent les utilisateurs sur certaines applications ?

Advisecurity a identifié la solution Brainwave Identity GRC de la société Brainwave (Europe : France) qui va permettre de réaliser un inventaire des utilisateurs du SI et des accès aux ressources SI de l’entreprise. Ainsi, vous reconstituez le catalogue des droits d’accès à l’infrastructure, aux applications métiers et aux données et retrouvez une visibilité sur ce qu’est la réalité de l’IAM de l’entreprise.

Lorsque l’on parle d’IAM, l’annuaire Active Directory de l’entreprise est généralement concerné ou du moins en interaction avec l’outil IAM. Brainwave Identity GRC permet de suivre les événements d’administration de cet annuaire AD et offre ainsi une traçabilité de ce type d’actions.

Il est possible aussi de mettre en place une démarche basée sur des rapports réguliers dans le cadre d’audits sécurité ou contrôles internes intégrant les revues de comptes et de privilèges. La solution Brainwave Identity GRC va permettre de cibler une application en particulier en mettant en œuvre les connecteurs adéquats 

Certaines contraintes réglementaires ou des régulations imposent des revues régulières de l’état des identités/comptes utilisateurs et des accès associés afin de vérifier aussi si le modèle de séparation des rôle/pouvoirs est bien effectif dans l’entreprise. On peut toujours continuer à exporter au format csv les listes d’utilisateurs (avec les groupes d’appartenance et les informations de privilèges), les ouvrir dans Excel, réaliser des RECHERCHEV et utiliser d’autres formules Excel pour arriver à établir une cartographie des droits d’accès pour présenter en final un graphique dans Powerpoint. Mais cette approche ne permet pas de gérer l’historique des différentes revues et risque d’être peu efficace avec l’éparpillement des données à réconcilier.

Brainwave Identity GRC offre la possibilité de disposer d’une base de référence hébergeant les données et permettant de comparer différentes itérations de revues de comptes et d’audits et participe ainsi à l’amélioration continue de la cybersécurité dans l’entreprise.

Nous recommandons de regarder 2 approches très intéressantes proposées par Brainwave :

  1. Le sujet d’actualité de la gestion des comptes à fort privilèges (PAM : Privileged Access Management). Brainwave : https://www.brainwavegrc.com/fr/h/produits/booster-for-privileged-access-governance/ 
  2. L’offre de service opéré d’audit des habilitations BAAYGO : https://www.brainwavegrc.com/fr/h/produits/check-and-review-access-rights/

 

 Besoin d’un conseil ou d’un accompagnement ?

Vous recherchez un partenaire pour vous aider à mettre en œuvre un projet de sécurité

RENCONTRONS-NOUS