|
Quel apport d'une bonne gestion des identités à la sécurité
? Réponses avec Pascal Antonini, vice-président de l'AFAI (Association
Française de l'Audit et du Conseil Informatique) en charge du pôle Sécurité.
A quelles attentes répondent les projets
de gestion des identités mis en place par les entreprises ?
Pascal
Antonini. En matière de sécurité, un projet de gestion des identités va permettre
d'assurer aussi bien l'ajout que la suppression des droits aux utilisateurs lors
de leurs mouvements d'un service vers l'autre. Cela évite par exemple l'accumulation
de droits d'accès obsolètes.
Il devient également envisageable
d'obtenir une vue globale des privilèges d'accès aux applications octroyés aux
utilisateurs et ainsi détecter une modification de privilèges, autorisée ou non.
Enfin, la traçabilité des connexions des utilisateurs aux différents systèmes
informatiques peut être assurée. Ces deux derniers avantages participant
également directement au respect des législations sur le contrôle interne tels
que la Loi de Sécurité Financière ou encore Sarbanes-Oxley.
L'efficacité est par exemple assurée par l'utilisation d'une seule signature pour
accéder à l'ensemble des systèmes, la répercussion de la modification d'un mot
de passe dans l'ensemble des systèmes ou bien la délégation de certains privilèges
par un utilisateur vers un autre utilisateur, sans intervention d'administrateurs.
Pourquoi mettre en place un projet de gestion
des identités ? Le lancement d'un projet de gestion
des identités peut résulter de carences mises en évidence en matière de contrôle
interne, carences associées à des enjeux métiers ou réglementaires significatifs.
Des travaux de cartographie des risques sur les systèmes d'information peuvent
être l'occasion d'identifier le besoin.
Un
projet de gestion des identités doit être mené par le contrôle
interne | S'agissant de gestion des
risques, les responsables du contrôle interne et des risques apparaissent les
plus à mêmes de mener à bien un tel projet. Il s'agit de persuader la
direction générale d'octroyer des budgets suffisants à la direction des risques
et du contrôle interne, car aucune direction opérationnelle ne mettra ce sujet
en priorité. Quant à la DSI, elle n'a pas vocation à porter ce projet, au risque
de le rendre uniquement technique. Dans tous les cas, il est essentiel
de bien cadrer les objectifs du projet notamment en terme de provisioning,
de synchronisation de mots de passe, de SSO, de self-service, référentiel,
gestion de privilèges. Il apparaît également important d'identifier les différents
référentiels au sein de l'entreprise et d'appréhender les problématiques d'interopérabilité
entre les systèmes et applications en place et les outils qui pourraient potentiellement
assurer la gestion des identités. Comment
bien aborder son projet de gestion des identités ? Il
apparaît important qu'une revue indépendante soit réalisée par l'audit interne
ou des intervenants externes compte tenu de l'impact de la solution de gestion
des identités sur la sécurité de l'ensemble du système d'information.
Enfin, il est nécessaire de s'entourer d'une équipe de personnes compétentes pour
traiter ce type de projet. La détention de certifications de sécurité telles que
le CISM pour Certified Information Security Manager, délivrée par l'Isaca,
ou bien le CISSP pour Certified Information Systems Security Professional,
reconnues internationalement, constitue à ce titre un bon point de
départ. |