Archives du mot-clef sox

Eléments à prendre en considération pour la réussite d’un projet RBAC

On trouve de plus en plus d’articles sur Internet montrant comme quoi la gestion des accès basée sur des Rôles (Role Based Access Control ou RBAC en anglais) est un concept qui ne tient plus la route.

Avec 10 années d’expérience dans l’Identity Management, Tools4ever – il est vrai – a souvent, même très souvent, été témoin d’initiatives de gestion des accès basée sur des rôles qui …ne tenaient pas la route.

Quelles sont les raisons d’un tel échec? Et quelles sont les bonnes pratiques pour réussir son projet?

Voici quelques éléments :

1/ N’essayez surtout pas de créer une matrice des accès et des rôles complète
Lors de l’implémentation de projet de RBAC, on rencontre souvent des sociétés de conseil qui consacrent beaucoup de temps – parfois des années – a faire des interviews et autres actions nécessitant pas mal d’efforts dans le but de construire la matrice parfaite contenant tous les rôles et accès qui existent dans l’organisation. C’est une approche très couteuse qui amène rarement au résultat voulu. Puisque l’organisation elle-même ne peut pas être considéré comme statique, viser la matrice des rôles ‘complète’ risque de devenir une histoire sans fin.

2/ Essayez de travailler selon un modèle pyramidale
– Si l’on veut vraiment obtenir de bons résultats sans démarrer un projet couteux, la méthode pyramidale est à conseiller. L’idée principale est que l’ensemble des accès peut être vu comme une pyramide, avec des accès fondamentaux et d’autres moins essentiels. Exemple des différents niveaux
– Niveau organisation (OS, login + e-mail)
– Niveau département/service (dossier(s) de partage , applications métier)
– Niveau fonction intitulé de poste (plus détaillées)
– Niveaux des autorisations / rôles les plus détaillés (exemple rôles dans SAP)

Les avantages principaux de cette méthode sont : des résultats immédiats et l’application de la règle des 80/20 (80% du résultat avec 20% des efforts)

3/  Faites la différence entre les autorisations et accès structurées et ad-hoc :
Un des risques des projets relatifs à la gestion des accès basée sur des rôles est de se perdre dans la jungle des autorisations. En effet, il n’est pas concevable d’extraire un modèle type de rôles à partir des autorisations et accès de bas niveau dans la pyramide car bien souvent ils ont été attribués arbitrairement ou exceptionnellement et, de ce fait, ne sont pas structurées. En revanche, certains accès et autorisations sont structurées et peuvent très bien représenter un rôle précis s’inscrivant donc complètement dans la définition du modèle. Il faut impérativement différentier ces deux types dès le début du projet car le processus de gestion et la collecte des informations se rapportant à ces deux types d’autorisations sont différents.

Au départ les accès et autorisations non-structurées peuvent très bien être gérés par un système de demande par workflow, avec traçabilité pour alimenter par la suite la matrice avec plus de détails.

Autres éléments
D’autres éléments importants sont :
– Les pré-requis de conformité (exemple ‘segregation of duty’ dans SOX)
– Gestion de l’existant par rapport au future (as is – to be)
– Les descriptions des rôles /accès fonctionnels et techniques (demande fonctionnelle vs. réalité technique)

Pour en savoir plus sur la gestion des rôles, et la gestion des accès n’hésitez pas à prendre contact avec nous.

SOX et la Gestion des Accès

Quand nous discutons avec des spécialistes de la DSI sur les problèmes de gestion des identités et des accès, nous avons régulièrement affaire à des compagnies qui doivent se conformer à la législation SOX.

Ceci a généralement un impact important sur les processus mis en place par l’organisation en général et le département informatique en particulier, surtout en ce qui concerne la gestion des droits d’accès.

Les trois problèmes les plus fréquemment rencontrés sont :

1. Le workflow et la validation des droits d’accès :

Qu’il s’agisse d’un compte régulier sous Active Directory, de droits NTFS, de groupes au sein d’Active Directory, d’un compte e-mail ou de  toute autre application, toutes les demandes et validations doivent se conformer aux lois SOX, ce qui peut signifier que, de façon à créer un compte utilisateur, le Département informatique aura besoin de signatures en cascade  (la signature du demandeur, du N+1 et du responsable informatique).

Nous avons rencontré des compagnies où ces processus sont sous forme papier et à chaque audit SOX, le département informatique va passer des jours, voire des semaines à rechercher les documents exigés par l’auditeur. Un système de gestion automatisée du workflow tel qu’UMRA (User Management Resource Administrator) peut automatiser toutes les étapes de validation et transformer un audit SOX en une partie de plaisir pour la DSI.

Au lieu d’avoir des demandes écrites qui s’égarent en cours de chemin et des salariés qui attendent leurs droits d’accès, UMRA va automatiquement alerter les personnes habilitées à donner les autorisations  et ces dernières pourront d’une simple action valider une demande avant qu’elle ne soit automatiquement transmise à la personne suivante ou au département informatique pour accord.

2. La traçabilité

Évidemment toute demande d’accès ou d’autorisation d’accès doit pouvoir être « tracée » aisément. C’est une caractéristique de la solution de gestion des identités et des accès de Tools4ever.

3. La séparation des tâches

Un des aspects de la législation SOX est que certaines tâches ne doivent pas pouvoir être effectuées par une seule et même personne. Par exemple une commande peut être passée par X mais ne pourra être validée que par Y. Cela aura des conséquences au niveau de la gestion des accès dans la mesure où cela implique d’avoir accès uniquement à certaines données et donc les droits d’accès à chaque application doivent être fortement sécurisés.

En termes de gestion des accès cela veut dire que le système doit automatiquement se verrouiller  et/ou alerter si deux autorisations sont octroyées à un seul et même utilisateur. Ceci est facile à réaliser avec le système de gestion des identités et des accès de Tools4ever ; il est juste nécessaire de savoir quelles autorisations ne peuvent pas se combiner et le programme gérera automatiquement les droits d’accès.

N’hésitez pas à contacter votre bureau Tools4ever le plus proche si vous avez des questions concernant les exigences imposées par la Loi SOX en matière d’informatique et de gestion des accès et des identités.