3 manières d’utiliser un logiciel de Gestion des Identités et des Accès pour les audits
HIPAA, Bâle II, SOx, NEN 7510, HKZ, etc. Il existe diverses normes, lois et réglementations sur la base desquelles les organisations sont évaluées. On parle alors d’un audit, et votre organisation y sera probablement confrontée tôt ou tard.
Lors d’un tel audit, en tant que responsable IT, vous devez démontrer que votre informatique est entièrement sous contrôle. Cela signifie notamment que vous:
vous devez pouvoir démontrer, immédiatement et à tout moment, qui est autorisé à faire quoi sur le réseau et ce qui a été fait, autorisations et rapports. Par exemple, quels collaborateurs sont autorisés à approuver et à payer des factures, et qui a réinitialisé le mot de passe de l’employé X et à quel moment.
mettre en place une politique de mots de passe renforcée.
Les solutions de Gestion des Identités et des Accès (GIA) de Tools4ever apportent un soutien supplémentaire pour se conformer aux lois et réglementations, à savoir:
1. Qui peut faire quoi ?
Le contrôle d’accès basé sur les rôles (RBAC) est une méthode permettant de mettre en place une gestion des autorisations au sein d’une organisation et d’obtenir une vision claire de qui peut faire quoi sur le réseau, et surtout de ce que chacun n’est pas autorisé à faire. Selon la méthode RBAC, les autorisations ne sont pas attribuées individuellement, mais sur la base de rôles RBAC, ces rôles étant composés du service, de la fonction, du site et du centre de coûts d’un employé dans l’organisation. Le risque d’erreur est réduit, car avec RBAC les actions et modifications dans le réseau ne peuvent être effectuées que par des personnes autorisées sur la base de leur rôle ou fonction.
De nombreuses organisations travaillent sur le RBAC sous une forme ou une autre: exploration, projet, mise en œuvre, alimentation ou gestion. Tools4ever accompagne des dizaines d’organisations dans l’élaboration d’une matrice d’autorisations RBAC. Il s’agit d’un processus extrêmement laborieux, complexe et coûteux. Grâce aux logiciels intelligents de Tools4ever, il est possible d’alimenter en grande partie de manière automatisée la matrice d’autorisations RBAC.
Avec UMRA, les rôles organisationnels, la façon dont un collaborateur est décrit dans le système RH, notamment fonction, service et centre de coûts, sont mis en correspondance avec les rôles techniques, applications et dossiers, existant actuellement dans l’organisation. Tools4ever peut juxtaposer le système RH et le réseau, puis analyser quelles autorisations moyennes s’appliquent par rôle organisationnel dans la situation actuelle. L’organisation peut elle-même déterminer quels attributs RH sont utilisés pour définir le rôle organisationnel.
Le résultat d’un tel rapprochement peut montrer que 90 % d’un rôle organisationnel donné, par exemple infirmier en service de cardiologie, dispose de certaines autorisations. Sur cette base, il est logique d’accorder automatiquement ces autorisations à tous les nouveaux collaborateurs dans ce rôle. En faisant de la couverture le critère directeur pour l’attribution des autorisations, il est facile de franchir une première étape pour alimenter la matrice RBAC. Cette approche permet d’économiser beaucoup de temps et d’argent.
Vous souhaitez faire un premier pas avec le RBAC ? Besoin d’aide pour alimenter votre matrice d’autorisations ? Contactez-nous.
2. Politique de mots de passe renforcée
La mise en place d’une politique de mots de passe renforcée est imposée par de nombreuses lois et réglementations. Pour implémenter une politique plus complexe, il est possible d’activer les règles de complexité dans Windows Active Directory. Il convient toutefois de se demander si ce niveau de complexité correspond réellement à votre besoin. Il faut également garder à l’esprit que cela a des conséquences importantes pour les utilisateurs finaux.
Les règles standard de complexité de mots de passe de Windows Active Directory sont souvent insuffisantes. Les administrateurs système souhaitent une solution plus flexible qui permette par exemple de définir quand appliquer quelles règles. Pour ces organisations, Tools4ever propose Password Complexity Manager (PCM). PCM permet d’appliquer plusieurs niveaux de sécurité pour différents types d’utilisateurs finaux, en se basant sur les fonctions et les rôles au sein de l’organisation.
Comme indiqué, l’introduction d’une politique plus stricte en matière de mots de passe a de fortes conséquences pour les utilisateurs finaux et l’organisation elle-même. Les utilisateurs finaux doivent mémoriser des mots de passe plus complexes. Cela leur pose des difficultés et entraîne davantage d’appels de réinitialisation de mot de passe au service d’assistance.
Pour réduire le nombre d’appels de réinitialisation de mot de passe au service d’assistance, Tools4ever propose SSRPM (Self Service Reset Password Management) qui permet aux utilisateurs finaux de réinitialiser eux-mêmes leur mot de passe sur la base de quelques questions simples prédéfinies.
Une politique plus stricte en matière de mots de passe a également un impact sur la productivité des collaborateurs. Ils doivent en effet retenir beaucoup plus de mots de passe complexes pour toutes leurs applications et n’en sont pas satisfaits. De nombreuses organisations déploient donc une solution SSO pour soutenir les utilisateurs finaux.
Notre solution SSO, E-SSOM (Enterprise Single Sign On Manager), permet aux utilisateurs finaux de s’authentifier une seule fois, après quoi l’accès à toutes les applications et ressources du réseau est accordé automatiquement, sans nouvelle authentification. E-SSOM fonctionne comme une couche logicielle supplémentaire qui intercepte tous les processus de connexion et renseigne automatiquement les identifiants, connexion automatique. E-SSOM veille également à ce qu’un mot de passe fort soit appliqué automatiquement, non seulement dans Active Directory mais aussi dans toutes les applications en aval.
Lorsque le SSO n’est pas mis en œuvre, mais que les organisations souhaitent néanmoins réduire l’impact d’une politique de mots de passe plus stricte pour les utilisateurs finaux, Password Synchronization Manager (PSM) est une solution adaptée. Password Synchronization Manager (PSM) garantit que les utilisateurs finaux disposent et conservent le même mot de passe pour chaque système ou application, mot de passe unique. Lorsque le mot de passe Active Directory d’un utilisateur final est réinitialisé, PSM s’assure que tous les systèmes et applications reliés reçoivent ce nouveau mot de passe et l’appliquent comme nouveau mot de passe.
Authentification à deux facteurs
Lorsque la mise en place d’une simple politique de mots de passe renforcée ne suffit pas, par exemple parce que les utilisateurs finaux écrivent leurs mots de passe sur papier, il est possible d’appliquer une authentification renforcée à deux facteurs. Au lieu du couple nom d’utilisateur/mot de passe, l’utilisateur s’authentifie alors en présentant une carte à un lecteur puis en saisissant un code PIN. Cela garantit un moyen d’authentification fort. L’authentification à deux facteurs repose en effet sur quelque chose que l’utilisateur possède (la carte) et quelque chose qu’il connaît (le code PIN). L’ID de la carte est alors lié aux informations d’identification, nom d’utilisateur et mot de passe, de l’utilisateur dans Active Directory.
Il est également possible de réaliser une authentification forte sans acquérir de matériel supplémentaire. Le smartphone devient alors essentiel. Le smartphone offre en effet plusieurs possibilités d’authentification. Par exemple la reconnaissance faciale, via la caméra, la reconnaissance vocale, via un enregistrement audio, et la géolocalisation, via le GPS. Nous appelons cela Low Cost Authentication et il s’agit d’une étape supplémentaire dans le monde de l’authentification.
Vous souhaitez mettre en place une politique de mots de passe renforcée et soutenir vos collaborateurs en proposant le Single Sign-On ou la réinitialisation de mot de passe en libre-service ? Contactez-nous.
3. Journalisation automatique
Les solutions de Tools4ever veillent à ce que tous les processus laissent une trace d’audit. Chaque action consigne automatiquement qui a effectué quelle activité d’administration et à quel moment. Cela offre à tout moment une visibilité sur les processus exécutés et la possibilité d’évaluer et de contrôler a posteriori. Une bonne tenue des registres est une condition indispensable pour un audit.
Écrit par :
Tjeerd Seinen
Depuis plus de 20 ans, Tjeerd Seinen travaille en tant que gestionnaire de compte technique chez Tools4ever. Il a une expérience à la fois technique et commerciale et est donc capable de convertir les opportunités de marché en fonctionnalités pour les produits et les services de conseil.