La sécurité doit se penser dès la conception de l’application et non panser les écarts aux exigences sécurité. L’IAM (Identity Access Management) ou la gestion des identités et des accès est souvent la dernière action mise en œuvre avant le déploiement d’une application. Or pour une gestion efficace des accès, il faudrait prendre en compte les spécificités de l’IAM et de ses outils dès le début de la conception de l’application !
A quoi sert une gestion des habilitations?
La gestion des habilitations regroupe l’ensemble des processus permettant de définir les accès des utilisateurs à des actifs. Ces processus comprennent bien évidemment la demande d’accès, mais aussi la révocation et la recertification. L’ensemble de ces processus, une fois définie, doivent permettre de sécuriser les accès aux actifs et donc respecter certains principes de sécurité, comme leur revue périodique, leur traçabilité, leur limitation dans le temps, le besoin d’en connaitre et la séparation des tâches. De plus, une bonne gestion d’habilitations doit refléter les besoins métiers et prendre en compte les contraintes organisationnelles. Sans cela, la gestion des habilitations ne pourra être mise en œuvre et respectée. Toutes ces exigences doivent se retrouver dans la procédure de gestion d’habilitation et être mise à disposition de l’ensemble des acteurs impliqués dans les processus d’habilitations ainsi décrits. C’est un contrat que les utilisateurs du service passent entre eux.
Une mauvaise gestion des habilitations peut conduire à donner des accès non légitimes à des fonctionnalités de l’applications pouvant entrainer des fuites de données et des dysfonctionnements applicatifs.
Avec un outil de gestion des accès accompagné de sa procédure
Le déploiement d’un outil de gestion des accès permet d’améliorer le niveau de sécurité des processus d’habilitation, car il intègre bien souvent des contraintes sécurité comme la traçabilité et permet d’automatiser un certain nombre d’étapes du processus de gestion des habilitations grâce à des workflow intégrés. L’automatisation ou la semi-automatisation des processus d’habilitations permet de limiter les erreurs et de réduire les délais. Afin d’intégrer au mieux cet outil dans les applications et de profiter ses avantages, il est parfois nécessaire de revoir l’application, d’où l’importance de connaitre les spécificités de l’outil d’IAM et de prévoir son intégration en amont. L’utilisation d’un outil d’IAM ne se substitue pas à la création d’une procédure de gestion des habilitations. Celle-ci doit expliciter ce qui est implémenté dans l’outil. L’outil reste un support à la procédure de gestion des habilitations.
Quelques règles à respecter pour une gestion des habilitations efficaces
Pour une gestion des habilitations efficace, je privilégie des processus avec un valideur unique. Cela évite une responsabilité diffuse dans le processus. Le valideur est le seul et unique responsable lors de la validation de l’accès pour un utilisateur. Une fois les accès donnés, ceux-ci doivent être revalidés et justifiés régulièrement, via des campagnes de recertification. Les accès les plus critiques comme les profils administrateurs ou à des applications sensibles doivent être revus plus fréquemment et peuvent donner lieu à des sensibilisations spécifiques.
De plus, on sait toujours comment demander les accès, mais on ne pense jamais à les retirer: « au cas où… », « un jour… », « peut-être… « . Je préconise pour cela, d’indiquer systématiquement et obligatoirement une date de fin d’habilitation en cohérence avec son métier, la sensibilité du profil et de l’application. Pour éviter un trop grand nombre de compte dormant, il faut aussi penser à supprimer automatiquement les accès qui ne sont pas utilisés, tout comme les comptes orphelins et automatiser les processus de révocation. Enfin, les règles toxiques (SOD) doivent être implémentées à différents niveau : au sein de l’application, au sein d’un métier et à l’intérieur de l’organisation
L’IAM ne doit pas être vue comme une contrainte sécurité mais comme une opportunité afin d’améliorer sa sécurité, la gestion des accès et de mettre en œuvre une automatisation des processus, si l’outil le propose.
