Identités, rôles et habilitations : quelle feuille de route adopter ?
La gestion des identités a pour finalité première de s'assurer que les habilitations de chaque utilisateur sont correctement administrées. Néanmoins, la clé du succès dans ce domaine consiste à adopter une approche centrée sur la fonction de la personne - où les habilitations de chacun sont liées à son rôle dans l'organisation.
PublicitéLa gestion des identités est une problématique majeure qui tend parfois à en occulter une autre, pourtant tout aussi complexe : la gestion des habilitations. En effet, la gestion des identités est généralement un domaine bien maîtrisé par les entreprises mais dont la finalité reste de contrôler ce que chacun peut accomplir. Il est donc particulièrement surprenant qu'il n'existe aucun modèle commun à ces deux domaines. Pourtant, il semble bien qu'une approche centrée sur le rôle organisationnel de chaque utilisateur propose cette méthodologie commune - tout particulièrement si elle est implémentée conjointement à une technologie de prévention des pertes de données (dite 'DLP' pour 'Data Loss Prevention'). Pour examiner sérieusement cette possibilité, il faut tout d'abord se pencher sur les véritables défis auxquels les entreprises sont confrontées dans ce domaine. Constatons tout d'abord que chaque organisation informatique s'appuie sur ses propres modèles de gestion des droits d'accès - et sur une interface tout aussi spécifique pour les administrer. De surcroît, lorsque les utilisateurs se comptent en dizaines de milliers, les habilitations se comptent en dizaines de millions ! Cette multiplicité complique singulièrement l'approche dès qu'il s'agit de garantir que les processus d'administration confèrent à chaque utilisateur les ressources et droits d'accès dont il a réellement besoin. Naturellement, la validation par un administrateur de la cohérence entre les droits d'accès d'un utilisateur et le détail de ses habilitations présente le même niveau de complexité. Et ce n'est pas tout ! Les processus de gestion des identités et des habilitations sont généralement dissociés et pris en charge par des entités différentes (par exemple, la gestion des identités par des responsables fonctionnels; les habilitations par des administrateurs techniques). Cette approche divergente conduit en pratique à faire de la gestion des habilitations un frein au déploiement de projets globaux de gestion des identités. Principes importants de gestion des habilitations La gestion des habilitations doit se plier à un certain nombre de principes : - Celui du « moindre privilège » joue un rôle important pour protéger les données et fonctionnalités contre les risques de fautes ou d'erreurs et sécuriser les données. Selon ce principe, les utilisateurs (et les autres composants du système) doivent disposer du minimum d'habilitations - strictement nécessaires à l'accomplissement de leur mission. - Séparation des tâches (ou « Separation of duties ») - Toutes les entreprises commerciales savent parfaitement que la confusion des tâches génère des conflits et des risques de fraude (par exemple, lorsqu'un fournisseur est également client). La séparation des tâches est donc naturellement un gage de sécurité et de réduction des risques. - Contrôle d'accès « discrétionnaire » - Ce modèle de contrôle d'accès donne aux utilisateurs des prérogatives complètes sur les données auxquelles ils ont accès. Par exemple, si un utilisateur peut accéder à un fichier .doc ou .xls, il peut également l'imprimer ou l'envoyer par e-mail - sans restriction. - Contrôle d'accès « impératif » - Ce modèle contrôle ce que les utilisateurs peuvent réaliser avec les données auxquelles ils ont accès. Par exemple, l'utilisateur peut être autorisé à ouvrir un fichier mais pas à l'imprimer ni à l'envoyer par e-mail. Un thème souvent regroupé sous le vocable de « technologie de prévention des pertes de données » (ou DLP). - Contrôle d'accès basé sur le rôle - Cette approche restreint l'accès aux systèmes aux utilisateurs habilités en fonction de leur « rôle » ou fonction organisationnelle. Au niveau système, les « objets-rôle » représentent ces différentes fonctions organisationnelles. Les habilitations pour accéder à des données ou réaliser des opérations spécifiques sont affectées à travers ces objets-rôle. Approche basée sur le rôle pour rationaliser l'administration et l'audit La gestion des habilitations basée sur le rôle simplifie l'administration et l'audit dans la mesure où l'obtention des droits d'accès est toujours indirecte - à travers les objets-rôle. Cette approche permet également d'adapter rapidement et simplement les jeux d'habilitation les plus complexes. Les activités d'audit sont également simplifiées dans la mesure où tous les droits d'accès d'un utilisateur sont traçables à travers les objets-rôle auxquels ils sont assignés. Les entreprises disposent généralement de multiples systèmes de sécurité et une nouvelle définition des rôles et habilitations peut générer des perturbations imprévues. Des outils existent néanmoins pour « découvrir les rôles » et suggérer des classifications fonctionnelles et des politiques représentant correctement l'état organisationnel existant (en fonction des « caractéristiques » des utilisateurs et de leurs habilitations actuelles). Le challenge reste alors de rapprocher l'ensemble des comptes d'un utilisateur donné. La fonctionnalité majeure de ces outils réside dans leur capacité à effectuer rapidement une analyse exhaustive d'une quantité considérable de données pour en extraire une « palette de rôles » complète et couvrant la majorité des utilisateurs. Les acteurs des services financiers et nombre d'autres entreprises sont tenus de respecter des réglementations encadrant les accès à certaines données par certains utilisateurs et de certifier ces habilitations. Les managers doivent notamment certifier que les habilitations de leurs subordonnés sont bien légitimes. Sans une approche centrée sur le rôle, ce processus est d'évidence lent et fastidieux car il appartient alors aux managers de certifier des droits d'accès exprimés de façon technique et non fonctionnelle. Idéalement, ce processus de certification doit être pris en charge par une technologie de découverte des rôles et automatisé dans le cadre d'un processus de workflow auditable. Un rapport sur les habilitations de chaque personne peut alors être adressé par e-mail au responsable approprié afin qu'il confirme que ces habilitations sont légitimes, qu'il demande des modifications ou qu'il accepte le risque si les habilitations sont excessives. Lorsqu'une bonne définition des habilitations à travers les rôles est obtenue, il devient possible d'automatiser la gestion des droits d'accès à travers un système de « provisioning basé sur le rôle » garantissant une affectation et un retrait cohérent des habilitations lorsqu'un nouveau collaborateur rejoint l'entreprise, la quitte ou change de poste. Prévention des pertes de données Les technologies de prévention des pertes de données connaissent un succès croissant en entreprise dans la mesure où la sécurité applicative ne permet généralement pas de contrôler ce que les utilisateurs peuvent faire des données auxquelles ils ont légitimement accès. Cependant, ces technologies restent encore isolées et ne sont pas pleinement intégrées aux infrastructures de gestion des accès et des identités. La prévention des pertes de données doit idéalement intégrer les fonctionnalités suivantes : - Utilisation d'un référentiel commun d'identités utilisateur - Utilisation d'un jeu commun de définitions de rôle - pouvant inclure des politiques de prévention des pertes de données. - Utilisation d'un processus commun de « provisioning » afin que les politiques de prévention des pertes de données soient automatiquement affectées avec les autres habilitations. La gestion des identités a pour finalité première de s'assurer de la juste allocation des moyens et ressources de chaque utilisateur ainsi qu'elle soit correctement administrée. La clé du succès dans ce domaine consiste à adopter une approche centrée sur le rôle - c'est-à-dire où les habilitations de chacun sont liées à son rôle fonctionnel dans l'organisation. En pratique, cela exige de déployer une technologie de gestion des rôles (métiers) capable de découvrir les habilitations (techniques) en service (et de les « nettoyer »). Cette approche doit naturellement être intégrée aux technologies d'affectation des identités (« provisioning ») et de protection des pertes de données.
Article rédigé par
Arnaud Gallut, Directeur des Solutions de Sécurité, CA France
Arnaud Gallut est Directeur des Solutions de Sécurité chez l'éditeur de logiciels CA en France. Il possède plus de dix ans d'expérience dans le domaine des technologies de l'information, acquise en France et aux Etats-Unis. Arnaud a développé son expertise des problématiques de gestion de la sécurité notamment au sein de Calendra puis BMC et Oracle. Il est diplômé de l'EFREI (Ecole Française d'Electronique et d'Informatique).
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire