Qu'est-ce que le cycle de vie du compte utilisateur ?
Le « Cycle de vie du compte utilisateur » définit les processus de gestion pour chaque compte utilisateur. Ces processus peuvent être décomposés en création, revues / mise à jour et désactivation. Si votre organisation utilise des ressources informatiques, vous utilisez des comptes d’utilisateurs pour y accéder.
Comme un compte informatique mis à disposition suit son propre calendrier selon un utilisateur spécifique, les efforts de gestion du cycle de vie se chevauchent souvent. Ce chevauchement entraîne des difficultés dans les environnements reposant sur une gestion manuelle où les efforts doivent être constament répliqués. Les difficultés sont exacerbées pour les grandes organisations en raison de leur volume.
Création
À compter du jour 1, chaque utilisateur doit avoir un compte pour accéder à ses ressources informatiques. Les comptes d’utilisateurs contiennent des informations d’identité dont l’accès varie, comme un passeport numérique. Les ressources informatiques peuvent être plus générales (par exemple, Active Directory, compte de messagerie) ou plus spécifiques aux rôles de cet utilisateur (par exemple, Adobe Creative Cloud, système de paie, etc.).
La création d’un compte nécessite bien plus que la saisie du nom, du prénom et de l’adresse e-mail d’une personne. La plupart des organisations devront saisir un utilisateur dans leurs systèmes RH et de paie. L’utilisateur a également besoin d’un compte d’accès au réseau, c’est un compte (Microsoft) Active Directory (AD) pour la plupart des cas.
Les utilisateurs nécessitent toujours des autorisations et des appartenances à des groupes, qui déterminent les droits d’accès à divers dossiers et partages au sein du réseau. Vous ne voudriez pas que chaque employé ait un accès illimité à une armoire du dossier RH de chacun. De même, vous ne voudriez pas que ces mêmes fichiers soient stockés sur le réseau sans protection. Les autorisations réseau et les appartenances aux groupes sont encore compliquées par les différents niveaux de la structure hiérarchique du système de fichiers. Pour des raisons de simplicité, certains utilisateurs nouvellement créés ont trop accès.
La création de compte se poursuit avec l’approvisionnement des utilisateurs. L’utilisateur a-t-il besoin d’accéder aux ressources Google (G Suite) ? Ils auront besoin que ce compte soit configuré. Qu’en est-il du stockage Dropbox de l’organisation ? Ils en auront besoin aussi. Qu’en est-il d’un système CRM comme Salesforce ? Dans les environnements commerciaux modernes, les applications logicielles facilitent les opérations. La plupart des applications logicielles d’entreprise nécessitent des comptes utilisateurs.
Revues et mises à jour
Les droits d’accès doivent être régulièrement revus pour maintenir un réseau rationalisé et conforme. Les besoins et les autorisations d’un utilisateur changeront au fil du temps en raison des promotions, des changements de rôle, des réorganisations ou des ressources informatiques nouvellement mises en œuvre. L’accumulation de droits d’accès est souvent qualifiée de « permission gonflée ».
Le gonflement des autorisations est intrinsèquement problématique car il rend la détermination de qui a accès à quoi un veritable cauchemar et risque élevé de non conformité. La prévention manuelle du gonflement des autorisations nécessite une mémoire presque parfaite. Vous devez vous souvenir de l’accès que chaque rôle devrait avoir pour comparer avec quels utilisateurs ont quels droits et autorisations.
La revue et la mise à jour manuelles des comptes utilisateurs et de leurs droits d’accès nécessitent une communication entre les responsables et le personnel informatique. Les solutions de gouvernance des accès ou de contrôle d’accès basé sur les rôles conservent les droits d’accès en fonction de la configuration de rôle d’un utilisateur donné. Les configurations pour chaque rôle doivent cependant être conservées. Un accès inutile est simplement une violation de la conformité, une mauvaise action ou une incitation à la fraude en attente de se produire.
Les revues et les mises à jour sont l’aspect le plus cyclique du cycle de vie du compte utilisateur. Théoriquement, le processus d’examen et de mise à jour d’une organisation ne se termine jamais. Par exemple: au moment où les processus sont «terminés», les premiers 20% des comptes doivent recommencer cette étape. Le processus n’accomplit donc jamais vraiment plus de 80% d’achèvement à tout moment. L’exemple 80% / 20% sonne particulièrement vrai pour les efforts manuels. Les solutions automatisées peuvent exécuter des mises à jour mais nécessitent toujours des revues de configuration pour garantir que chaque rôle reste conforme et sécurisé.
Désactivation
Lorsqu’un utilisateur quitte une organisation, tous ses comptes associés doivent être désactivés et déprovisionnés. Les risques de sécurité sont la raison la plus évidente pour suivre les procédures de désactivation. Un ancien employé malveillant peut prendre des données sensibles (par exemple, les informations sur le client, la propriété intellectuelle, les informations d’identification du compte) ou endommager votre environnement dans les pires scénarios. Les anciens employés peuvent accéder à vos ressources informatiques jusqu’à leur désactivation pendant des jours, des semaines, des mois ou des années. La non-désactivation est particulièrement dangereuse pour les ressources hébergées dans le cloud.
L’autre raison principale de mettre en place un processus de désactivation est d’empêcher l’accumulation de « comptes orphelins ». Les comptes orphelins ne sont plus associés à un utilisateur actif et restent dans votre environnement. Ce détritus numérique encombre votre capacité à évaluer avec précision votre environnement tout en occupant de l’espace de stockage. De plus, si votre organisation est attaquée avec succès par un intrus malveillant, les comptes orphelins leur camouflent parfaitement.
CRUD
L’acronyme « CRUD » signifie en anglais « Créer, lire, mettre à jour, supprimer ». Les opérations CRUD font référence aux 4 commandes de base requises pour le stockage persistant et les bases de données relationnelles. Les commandes SQL remplacent respectivement « Créer » et « Lire » par « Into » et « Sélectionner » pour les tables de base de données. CRUD sert de rappel simple pour la gestion des comptes utilisateurs:
- Créer : création d’un compte utilisateur et tous ses attributs nécessaires (par exemple nom, adresse e-mail, autorisations)
- Lire : affichage de tous les comptes utilisateurs et leurs attributs sans modifier aucune donnée
- Mettre à jour : remplacement des attributs de compte utilisateur existants pour apporter des modifications
- Supprimer : suppression d’un compte utilisateur et de ses attributs
i: https://searchdatamanagement.techtarget.com/definition/CRUD-cycle
ii: https://www.sqlshack.com/crud-operations-in-sql-server/
