Avant Propos
La fréquence et l’ampleur des fuites de données augmentent au rythme du progrès technologique. Les conseils d’administration et les directions, en plus des services informatiques, se concentrent plus que jamais sur une meilleure protection de leurs données. De ce fait, le contrôle des accès applicatifs reste le vecteur principal pour les sécuriser.
Le contrôle des accès permet aux organisations d’identifier, de gérer et de prévenir le risque d’accès non autorisé.
En effet, le maintien d’une gestion des droits d’accès transverse à l’ensemble des systèmes & applications d’une entreprise reste une base essentielle pour :
”Effective Segregation of Duties (SoD) controls can reduce the risk of internal fraud by up to 60% through early detection of internal process failures in key business systems.”
Le GARTNER, Market Guide for SOD Controls Monitoring Tools-ID: G00293793
Les projets de gestion des identités et des accès (IAM), pilotés par l’informatique, semblent souvent complexes et prennent rarement en compte l’ensemble des besoins métiers en matière de contrôle d’accès. Ainsi, le volet de conception des rôles et des autorisations est fréquemment mis de côté lors des projets d’implémentation ERP au profit d’un accès étendu donné aux utilisateurs finaux.
Aussi, faute d’outils ou de procédures permettant de garantir la pérennité de la solution autorisations, on constate également une régression de la maitrise des accès au fil des années, notamment dû au fait que :
- Les paysages Systèmes & Applicatifs (SAP ERP ou autre) deviennent complexes avec de plus en plus d’utilisateurs,
- Les rôles évoluent sans cesse, ils se cumulent et génèrent des risques communément appelés « risques de séparation des tâches » (SoD),
- la gestion technique des autorisations du système d’informations demeure chronophage pour les administrateurs:
- ils croulent sous les demandes de droit d’accès, parfois sans workflow d’approbation et sans aucun contrôle SoD à priori,
- ils multiplient les tâches manuelles à faible valeur ajoutée, telles que l’affectation de droits aux utilisateurs, la réinitialisation de mots de passe, entre autres…
Partant de ce constat, les régulateurs (CAC, AFA, FDA, CNIL, …) et les investisseurs imposent aux entreprises de couvrir les risques de droits d’accès et de SoD. Par conséquent, la gestion desdits risques est de plus en plus revue par les commissaires aux comptes (CAC) ainsi que par les fonctions de surveillance interne (audit interne et/ou contrôle interne).
Cette problématique est bien connue de l’ensemble de nos experts IAM & Autorisations/GRC. Nous accompagnons de nombreux clients à se conformer et à sécuriser leurs dispositifs de gestion des droits d’accès par une bonne gestion des identités, des autorisations, de la SoD et du cycle de vie des utilisateurs dans son ensemble.