Gestion des habilitations
: un exercice délicat Par Pierre Lombard (Directeur e-business, Benchmark Group) Par JDNet Solutions (Benchmark Group) URL : http://www.journaldunet.com/solutions/0302/030225_chro_lombard.shtml Lancer l'impression
Dans l'ensemble des préoccupations de sécurité liées au système d'information, les problèmes d'habilitation vont devenir de plus de plus en lourds à gérer. Et de plus en plus coûteux. En effet, il s'agit de déterminer à quelle partie du système d'information l'utilisateur a le droit d'accéder en fonction du poste qu'il occupe dans l'entreprise. Et dans une optique e-business où les applications sont de plus en plus intégrées, de plus en plus communicantes, le responsable du système d'information va se trouver face au dilemme suivant. Il lui faudra d'une part faire bénéficier les utilisateurs des différents départements de cette possibilité d'accéder à l'ensemble des applications, politique d'ouverture donc; d'autre part, mettre en place les verrous, les vannes nécessaires pour pouvoir redéfinir facilement les droits d'accès d'un utilisateur s'il change de fonction dans la structure, une politique de contrôle strict cette fois. Si cette gestion des habilitations n'est pas centralisée, mutualisée disent certains, elle deviendra vite un casse-tête et demandera des ressources considérables. Pourquoi cela ? Parce qu'il ne s'agit pas d'accorder ou de refuser l'accès au système en bloc mais de permettre aux usagers d'en utiliser telle ou telle sous partie, voire de ne leur donner accès qu'à un morceau d'application. Comme l'a clairement
énoncé Octo Technology dans un livre blanc sur la sécurité, l'habilitation
peut concerner différentes parties du système d'information : La combinatoire des situations risque d'être particulièrement complexe. C'est pourquoi il faudra partager les habilitations en deux classes : d'une part, celles qui concernent les accès à des pans entiers du système d'information (sites web, applications, etc.) ; ici on essaiera de mutualiser la gestion autant que faire se peut : certains outils pourront être employés à cet effet comme ceux fournis par Tivoli, Netegrity ou Securant ; d'autre part, celles qui concernent l'accès à des fonctions internes aux applications. Pour simplifier la gestion, on raisonnera par profils d'utilisateurs : il sera alors assez simple de faire passer un usager d'un groupe à un autre, ses droits seront immédiatement remis à jour. Enfin, la gestion des habilitations repose sur l'identification et la certification des utilisateurs. En effet, il est inutile de définir des techniques d'accès très sophistiquées si l'on est pas certain que l'usager qui se connecte dans le système est bien celui pour lequel on a défini ces droits. Si l'on désire mutualiser la gestion, et donc en réduire les coûts, on s'orientera vers la mise en place d'un identifiant unique (Single Sign On) qui centralise les données d'authentification au sein d'une infrastructure dédiée. Tribune publiée par Pierre Lombard le 24/02/2003 Pour tout problème de consultation, écrivez au Webmaster Copyrights et reproductions . Données personnelles Copyright 2006 Benchmark Group - 69-71 avenue Pierre Grenier 92517 Boulogne Billancourt Cedex, FRANCE |
|