Pensez-vous que vous gérez correctement les droits d’accès à vos outils informatiques ?
Vous êtes bien conscients des risques que vous font courir les accès abusifs ou intrusions dans vos outils informatiques. Ceci peut aller de la simple consultation d’informations privées ou confidentielles à l’altération des données, voire du code source, sans oublier les falsifications, détournements ou fraudes en tous genres.
Vous ne voulez pas prendre ces risques, ce document qui décrit les principes fondamentaux de la gestion des habilitations est fait pour vous aider.
Pour télécharger la dernière version, rendez vous sur la page "http://futurpartage.fr/communaute/le-processus-de-gestion-des-habilitations"
2. • La protection des informations
• La maîtrise des transactions
• La prévention des risques
• Le management
3. La protection des informations
Une gestion des droits d’accès pour des informations mieux
protégées
oIntégrité
oDisponibilité
oAccessibilité
oRestriction de diffusion
Les enjeux
Les principes
fondamentaux
Le processus Les acteurs
La mise en
œuvre
Conclusion
4. La maîtrise des transactions
Une gestion des droits d’accès pour sécuriser les opérations et les
transactions
o Autorisation pour les opérations et les transactions dans l’entreprise
(autorisations / ajouts / suppressions / modifications)
o Validations
o Non répudiation des décisions
Les enjeux
Les principes
fondamentaux
Le processus Les acteurs
La mise en
œuvre
Conclusion
5. La prévention des risques
La gestion des habilitations prévient des risques importants pour
l’entreprise:
o Processus inefficace
o Arrivées, départs et transferts de personnes non transcrits dans le système
d’information
o Incohérence des rôles applicatifs avec la séparation des fonctions
o Mauvaise détection des intrusions
o Absence de contrôle des droits sensibles
o Etc.
Les enjeux
Les principes
fondamentaux
Le processus Les acteurs
La mise en
œuvre
Conclusion
6. Le management
Un élément essentiel pour le management
o Incontournable pour le contrôle interne
o Important pour les certifications ISO (9001, 14000, 26000 etc.)
Traçabilité
o Documentation et preuves pour les audits
Les enjeux
Les principes
fondamentaux
Le processus Les acteurs
La mise en
œuvre
Conclusion
7. • Les délégations de pouvoir et de signature
• La séparation des fonctions
• Les rôles
8. Les délégations
Les droits d’accès sont conformes aux seuils de délégation de
pouvoir et de signature.
◦ Les décisions reviennent à celles et ceux qui sont investis de l’autorité
Les enjeux
Les principes
fondamentaux
Le processus Les acteurs
La mise en
œuvre
Conclusion
9. La séparation des fonctions
Les droits d’accès matérialisent les séparations de fonctions pour :
o Les personnes disposant des compétences et de l’autorité
o Sécuriser les transactions incompatibles
o Prévenir les collusions
Les enjeux
Les principes
fondamentaux
Le processus Les acteurs
La mise en
œuvre
Conclusion
10. Les rôles
Les droits d’accès sont octroyés selon des rôles prédéfinis dans
l’organisation
o Fonction
o Activité
o Métier
o Profil informatique
o Rôle applicatif
Les enjeux
Les principes
fondamentaux
Le processus Les acteurs
La mise en
œuvre
Conclusion
11. • La gestion des droits
• Les revues des droits d’accès
12. La gestion des droits
Les créations, modifications, suppressions des droits.
Un processus au fil de l’eau
o Documenté
o Des acteurs
o Des preuves
Les enjeux
Les principes
fondamentaux
Le processus Les acteurs
La mise en
œuvre
Conclusion
13. Les revues des droits d’accès
Une supervision pour :
o Détecter les erreurs
o Corriger les accès indus
o Détecter les intrusions
Les enjeux
Les principes
fondamentaux
Le processus Les acteurs
La mise en
œuvre
Conclusion
15. Les responsabilités
Les responsabilités sont identifiées pour:
o Établir les demandes - Valider les demandes
o Attribuer - supprimer les droits
o Revoir les droits ouverts
o Assurer la conformité des rôles applicatifs avec la séparation des fonctions
o Valider les cas atypiques
o Analyser les intrusions éventuelles
Les enjeux
Les principes
fondamentaux
Le processus Les acteurs
La mise en
œuvre
Conclusion
17. Le processus
A fil de l’eau :
o Initialisation d’une demande – Validation de la demande
o Attribution du rôle applicatif demandé
o Ouverture des droits dans le SI
Supervision :
o Revue périodique des droits d’accès
o Revue de la matrice de séparations des fonctions
o Revue du catalogues des profils (métiers / rôles applicatifs)
Les enjeux
Les principes
fondamentaux
Le processus Les acteurs
La mise en
œuvre
Conclusion
18. L’organisation
Positionner les responsabilités selon l’organisation de l’entreprise
Gérer les droits pour les processus externalisés (outsourcing)
Les enjeux
Les principes
fondamentaux
Le processus Les acteurs
La mise en
œuvre
Conclusion
19. Les procédures
Documenter procédures et modes opératoires
Conserver les documents de preuves
Les enjeux
Les principes
fondamentaux
Le processus Les acteurs
La mise en
œuvre
Conclusion
20. La gestion des droits d’accès au système
d’information :
• Protège l’entreprise contre les erreurs, la
perte d’information, les actes frauduleux.
• Facilite le pilotage des processus.
• Garantit le respect des règles de gestion.
• S’appuie sur un processus documenté,
piloté et auditable.