Peut-on prévenir les risques d’accès illicites avant qu’ils ne se produisent ?
Herve Liotaud, VP Western Europe, chez SailPoint
Prévenir les risques d’accès, c’est comme construire les défenses d’un château. Il y a des remparts qui forment un périmètre et des douves pour dissuader les envahisseurs, car il est beaucoup plus facile d’empêcher les ennemis d’entrer que de les éliminer une fois qu’ils sont entrés. Essayer de débarrasser un système des risques après que des menaces ont été détectées est analogue à la construction de douves autour d’un château alors que l’ennemi est déjà entré.
La sécurité des identités peut ressembler aux douves qui obligent les visiteurs à passer par le poste de contrôle en bas du pont levis. L’identification des utilisateurs est la garantie de sécurité la plus pertinente, mais des risques invisibles peuvent également être présents. Par exemple, des autorisations d’accès contradictoires peuvent conduire à de graves intrusions ultérieures si elles ne sont pas identifiées dès le départ. C’est pourquoi la fourniture des accès est la première étape – et la plus importante – de la prévention des risques, en particulier lorsqu’il s’agit de systèmes critiques qui sont au cœur de l’activité d’une organisation.
Pour prévenir les risques liés aux accès avant la fourniture de ces derniers, la plateforme Identity Security de SailPoint offre désormais une simulation préventive des risques. Grâce à l’intégration de SailPoint Access Risk Management (ARM), les organisations peuvent effectuer une analyse « Et si ? » dans le cadre du processus de demande d’accès des utilisateurs. Elles ont ainsi la possibilité d’éliminer les risques avant qu’ils ne deviennent réalité en les simulant pour tout utilisateur – avant que les accès ne soient accordés.
En intégrant cette importante simulation et analyse des risques d’accès dans le workflow de fourniture des accès, les organisations ne peuvent plus manquer cette étape critique. Ceci permet également d’accélérer et de renforcer la confiance dans le fait que les demandes d’accès sont toujours appropriées et conformes, ce qui n’est pas réalisable avec une analyse manuelle.
Cette intégration offre également une meilleure visibilité sur la séparation des tâches (SoD), ce qui est essentiel pour la gestion de systèmes complexes. Dans SAP, par exemple, les utilisateurs se voient attribuer des rôles via l’accès à des codes de transaction qui contrôlent chaque écran qu’ils peuvent visualiser. Il existe également des objets d’autorisation qui contrôlent ce qu’un utilisateur peut faire sur chaque partie de cet écran. Mais sans une compréhension des risques jusqu’à ce niveau de granularité, il est impossible d’obtenir une vue complète et précise de tous les accès et des risques potentiels.
Une analyse simulée des risques pendant l’étape de fourniture des accès peut également aider à prévenir la “dérive des privilèges”, c’est-à-dire l’accumulation involontaire de droits d’accès au fil du temps, lorsque les employés sont promus, changent de responsabilités professionnelles ou sont réaffectés. Le fait de ne pas supprimer les droits d’accès antérieurs avant d’accorder de nouvelles autorisations est un facteur important de ce que l’on appelle le trop plein des accès. Le fait d’avoir trop de droits d’accès peut créer des conflits d’intérêts potentiels et, en fin de compte, permettre aux utilisateurs de commettre plus facilement des fraudes. C’est pourquoi la possibilité d’effectuer une simulation des risques au moment de la fourniture des accès permet aux entreprises de prendre des décisions d’approbation plus judicieuses et plus conscientes des risques.
Il est temps pour les organisations de construire ce rempart autour de leurs systèmes les plus critiques, et de passer à l’étape suivante pour empêcher les risques de les envahir. En automatisant la simulation des risques au sein du workflow de fourniture des accès, elles peuvent simultanément diminuer les risques et réduire le temps nécessaire pour approuver les demandes d’accès des utilisateurs – deux objectifs clés de la sécurité des identités et de la gestion des accès.