|
Dans
l'ensemble des préoccupations de sécurité liées au système
d'information, les problèmes d'habilitation vont devenir
de plus de plus en lourds à gérer. Et de plus en plus
coûteux. En effet, il s'agit de déterminer à quelle
partie du système d'information l'utilisateur a le droit
d'accéder en fonction du poste qu'il occupe dans l'entreprise.
Et dans une optique e-business où les applications sont
de plus en plus intégrées, de plus en plus communicantes,
le responsable du système d'information va se trouver
face au dilemme suivant. Il lui faudra d'une part faire
bénéficier les utilisateurs des différents départements
de cette possibilité d'accéder à l'ensemble des applications,
politique d'ouverture donc; d'autre part, mettre en
place les verrous, les vannes nécessaires pour pouvoir
redéfinir facilement les droits d'accès d'un utilisateur
s'il change de fonction dans la structure, une politique
de contrôle strict cette fois. Si cette gestion des
habilitations n'est pas centralisée, mutualisée disent
certains, elle deviendra vite un casse-tête et demandera
des ressources considérables. Pourquoi cela ? Parce
qu'il ne s'agit pas d'accorder ou de refuser l'accès
au système en bloc mais de permettre aux usagers d'en
utiliser telle ou telle sous partie, voire de ne leur
donner accès qu'à un morceau d'application.
Comme
l'a clairement énoncé Octo Technology dans un livre
blanc sur la sécurité, l'habilitation peut concerner
différentes parties du système d'information :
Accès à des ressources systèmes : il s'agit de contrôler
l'accès des utilisateurs aux fichiers et aux répertoires.
Ces fonctions de contrôles peuvent être contenues dans
les systèmes d'exploitation eux-mêmes.
Accès à des applications : il s'agit de contrôler l'accès
à des applicatifs ou à des sites Web. Ces fonctionnalités
peuvent être gérées directement par le système ou par
des outils spécifiques.
Accès à des fonctionnalités : il s'agit de restreindre
l'accès à certaines fonctions selon les droits de l'utilisateur.
C'est généralement l'application elle-même qui met en
place ses verrous. Octo Technology fournit l'exemple
suivant : un chef comptable aura le droit d'effectuer
des virements alors que la secrétaire ne pourra effectuer
que des consultations.
Accès restreint selon des valeurs : c'est le degré d'habilitation
le plus fin où l'on restreint les accès suivant la valeur
de certaines variables. Par exemple, le responsable
informatique pourra effectuer des achats de 200 000
euros, alors que son adjoint sera limité à 40 000 euros.
La
combinatoire des situations risque d'être particulièrement
complexe. C'est pourquoi il faudra partager les habilitations
en deux classes : d'une part, celles qui concernent
les accès à des pans entiers du système d'information
(sites web, applications, etc.) ; ici on essaiera de
mutualiser la gestion autant que faire se peut : certains
outils pourront être employés à cet effet comme ceux
fournis par Tivoli, Netegrity ou Securant ; d'autre
part, celles qui concernent l'accès à des fonctions
internes aux applications. Pour simplifier la gestion,
on raisonnera par profils d'utilisateurs : il sera alors
assez simple de faire passer un usager d'un groupe à
un autre, ses droits seront immédiatement remis à jour.
Enfin, la gestion des habilitations repose sur l'identification
et la certification des utilisateurs. En effet, il est
inutile de définir des techniques d'accès très sophistiquées
si l'on est pas certain que l'usager qui se connecte
dans le système est bien celui pour lequel on a défini
ces droits. Si l'on désire mutualiser la gestion, et
donc en réduire les coûts, on s'orientera vers la mise
en place d'un identifiant unique (Single Sign On) qui
centralise les données d'authentification au sein d'une
infrastructure dédiée.
|