Cela passe également, et même en amont, par le contrôle et par une politique solide des accès au système : qui peut y avoir accès ? et quelles sont ses actions une fois l’accès obtenu au sein de celui-ci ?

• Le contrôle des droits d’accès ne doit pas incomber qu’à une seule et même personne (Comme le dit l’adage, il ne faut pas mettre tous ses œufs dans le même panier…)
• Quelles politiques mettre en place pour un processus efficace de gestion des droits d’accès à mes systèmes ?

Contexte

Dans toutes les applications informatiques, on définit pour le premier lancement des profils métiers afin que l’ensemble des informations soit progressivement enrichi par les employés en appliquant des procédures prédéfinies. Ces profils métiers sont ensuite attribués aux utilisateurs de manière cohérente et représentative de la production de l’entreprise.

Dans les faits, si au départ la situation est claire pour chaque processus métier, dans la vie réelle, le constat est souvent plus compliqué. En effet, certains employés ont plusieurs rôles ou encadrent des personnes aux fonctions différentes. De fait, leur accès aux systèmes d’information comportera plusieurs profils correspondants à tout ce qu’ils savent faire ou contrôler.

Suite à l’affaire Enron en 2003, le régulateur américain a défini un contrôle complémentaire de revue de séparation de fonctions pour principalement éviter les risques de fraudes financières¹. Bien que cette revue ait rappelé l’importance d’attribuer des droits d’accès et de contrôler les cas d’exception avec des procédures de reporting dédiées, la situation ne s’est pas améliorée pour autant. La présence d’intérimaire, la période des congés (annuels, maladie ou de naissance) font que bien souvent on « empile » les droits d’accès et lors de l’arrivée d’un nouvel employé dans l’entreprise, on reprend des profils attribués à des personnes sans en revoir la nécessité (c’est ce qu’on appelle le fameux privilege creep²).

Dans le même temps, l'automatisation croissante des systèmes d'information entraîne une réduction des tâches à accomplir, principalement celles de nature électronique, ce qui conduit les entreprises à rationaliser leurs effectifs pour des motifs financiers. Cette tendance met en lumière l'octroi de nouveaux droits d'accès aux profils existants voire même directement à certains employés, lesquels deviennent des acteurs clés au sein de l'entreprise.

Avec l’affaire Enron en 2003, et la publication de 150000 eMails³, ou encore le cas d’école de Jérôme Kerviel à la Société Générale⁴, on a pu prendre conscience que les règles de management ou des actions effectuées par certains employés ne sont pas conformes à leur fonction. Il est donc évident qu’une surveillance des droits d’accès va réduire le risque de fraude ou de corruption des données.

L’utilité de l’identification d’un « Process Owner » unique

Entre la théorie et la pratique, il ne doit y a voir qu’un contrôle de l’écart !

En théorie, un groupe de personnes composé de « responsables métiers » et d’un informaticien, définissent les profils et lors du lancement de l’application, un accompagnement est effectué pour expliquer à l’utilisateur comment il devra dorénavant utiliser l’application pour faire son travail. On s’aperçoit que les RH ne sont pas impliqués dans ce processus ou alors, bien tardivement. De fait, le rôle des RH se réduit à la rémunération des employés pour leur présence au travail.

Ne faudrait-il pas redonner aux RH plus de responsabilités dans l’organisation ? Est-ce que leur fonction n’est pas de définir une organisation qui soit capable de répondre aux attentes de développement stratégique de l’entreprise ?

Dans la pratique, c’est souvent la direction métier (ou un manager) qui sollicite la direction informatique pour mettre à jour des droits d’accès ; il est rare que la RH soit informée des changements (sauf en cas de sortie d’employé pour des raisons d’indemnité de départ).

C’est la raison pour laquelle il est nécessaire de définir un seul responsable (Process Owner) de la gestion des droits d’accès à l’information et non plusieurs !

Le formulaire de mise à jour des droits d’accès

De manière à supporter et à enregistrer les évolutions des droits d’accès, il est recommandé de définir un formulaire qui contiendra l’identité du demandeur, la nature des droits demandés et la personne qui a validé cette modification de droits. L’avantage de ce formulaire est qu’il permettra lors du changement ou de la sortie de l’employé de décommissionner tous les droits acquis. Enfin, en cas d’analyse forensique, une trace est ainsi conservée.

La procédure de modification des droits d’accès

Initié par le demandeur et validé par son chef de service, le formulaire est remis pour validation aux RH qui l’adresseront alors à l’informatique pour mise à jour. En cas de sortie de l’employé, le formulaire est envoyé de manière anticipée à la RH pour préparer le solde de tout compte le jour du départ effectif. Ce même jour, l’employé sera passé par tous les responsables de services qui lui avaient attribué des droits, ou autorisé à utiliser des matériels ou des équipements dans le cadre de ses fonctions. Le manager concerné signera le formulaire qui confirmera que l’ensemble des droits et équipements ont bien été rendus à l’entreprise.

Pour conclure, la gestion des droits d'accès dans les environnements informatiques complexes est essentielle pour prévenir les risques de vulnérabilités et de failles susceptibles de compromettre la sécurité des données. Comme nous l'avons souligné, les entreprises sont confrontées à des défis croissants liés à la multiplication des profils d'accès, à l'évolution des pratiques de travail et à l'automatisation des systèmes. Pour répondre à ces défis, il est impératif d'adopter une approche proactive et stratégique, impliquant une collaboration étroite entre les responsables métiers, les services informatiques et les ressources humaines. En adoptant de bonnes pratiques, les organisations peuvent renforcer leur résilience face aux menaces cyber et ainsi garantir la protection de leurs actifs les plus précieux : leurs données et leur réputation.

Par Julien Cassignol, VP Global Business Strategy chez WALLIX et Michel Juvin, expert Cybersécurité Indépendant

¹ Sarbanes-Oxley (SOX) dont la section 404 définit la revue des droits d’accès www.leanix.net/fr/wiki/ea/conformite-sox
² www.keepersecurity.com/blog/fr/2024/03/12/what-is-privilege-creep/
³ www.captaineconomics.fr/-scandale-enron-nul-anomalies-theories-reseaux
⁴ www.lefigaro.fr/economie/dossier/affaire-kerviel-societe-generale