Bonnes Pratiques 12: Gestion des accès utilisateurs

L’article 9.2 de la norme ISO/CEI 27002 de 2013 traite de la gestion des accès utilisateurs. Son objectif est de maîtriser l’accès utilisateur par le biais d’autorisations et empêcher les accès non autorisés aux systèmes et services d’information. Il s’articule sur 6 contrôles qui devraient être documentés.

1. Enregistrement et désinscription des utilisateurs

La procédure d’enregistrement et de désinscription doit être formelle afin de permettre l’attribution des droits. Cela se fait en deux étapes :

  • attribuer et activer / désactiver un identifiant
  • accorder / retirer les droits à cet identifiant.

Il s’agit de formaliser l’attribution d’un identifiant unique et univoque qui identifie chaque utilisateur à ses actions. Il n’y aura donc pas de comptes redondants (avec le même identifiant) ni d’attribution des comptes redondants à d’autres utilisateurs.

Il n’est pas recommandé d’utiliser des comptes communs, sauf si les circonstances opérationnelles l’exigent : par exemple dans des fonctions de supervision et de contrôle comme le trafic aérien. Ces comptes communs seront alors approuvés par la direction et documentés. On prendra également les mesures afin de conserver un enregistrement de qui était actif sur cet identifiant à chaque moment. Dans les environnements opérationnels d’urgence, c’est assez simple.

2. Maitrise de la gestion des accès utilisateurs

Les autorisations d’utilisation et les droits sont donnés par le propriétaire (BP7), ou par délégation le gestionnaire, du bien ou service selon les activités de chacun. Les droits d’accès sont conformes à la politique d’accès (BP11) et respectent la ségrégation des rôles (afin que personne ne puisse effacer ses traces ou être juge et partie).

<< Un rôle = un droit d’accès >>

La complexification des rôles et activités impose des droits variés. Au besoin, afin d’éviter les abus ou les transferts non autorisés d’informations, on prévoira deux ou plusieurs identifiants pour certaines personnes, avec des droits différents… à moins de régler les conflits potentiels par des techniques spéciales.

L’activation des droits (et leur désactivation) n’est exécutée que quand le processus d’approbation est terminé.

L’approbation des droits et la gestion de ceux-ci reposent souvent sur des rôles ou fonctions différentes dans l’entreprise.

Il est recommandé de tenir un journal centralisé des droits accordés à chaque identifiant.

L’utilisation de comptes avec des droits standards pour une ou plusieurs catégories de personnes est souvent plus approprié dans les plus grandes organisations.

Le contrat ou le règlement de travail devraient contenir les sanctions en cas de tentatives d’accès non autorisés ou d’abus de ses accès.

3. Gestion des privilèges d’accès

Les privilèges sont des droits spéciaux qui sont assortis d’un régime particulier comme la durée d’attribution ou une supervision (un enregistrement) spécifique. Ils sont attribués au cas par cas.

Les privilèges sont accordés à des personnes de confiance pour des activités comportant des risques particuliers pour l’entreprise, comme l’accès à des données à caractère personnel, à des fonctionnalités ou réglages de systèmes ou d’applications.
Un représentant syndical, un administrateur système ou un réviseur d’entreprise sont des exemples de rôles à privilège.

Chaque privilège correspond à un identifiant spécifique différent de celui utilisé pour le travail habituel.

Les règles d’autorisation des privilèges suivent la politique de gestion des accès et les contrôles sont plus stricts.

4. Gestion des informations secrètes d’authentification

Les « informations secrètes d’authentification » – ou ‘codes d’accès’ – sont les mots de passe et autres mécanismes d’authentification comme les cartes d’accès magnétiques ou ‘à puce’.

Ces codes d’accès sont personnels et incessibles. Les utilisateurs s’engagent à ne pas les transmettre à d’autres personnes. Ils ne sont attribués qu’après vérification de l’identité des personnes.

De toute façon, les utilisateurs sont responsables de tout ce qui est fait sur leur compte avec les codes d’accès qui leur ont été confiés.

Lors de l’ouverture d’un nouveau compte (avec identifiants et droits d’accès), il est préférable d’attribuer un mot de passe temporaire et de le transmettre de manière sécurisée. Ce mot de passe temporaire est unique et impossible à deviner.

Attention : les mots de passe ‘par défaut’ – très souvent ‘Admin’ – qui se trouvent sur certains systèmes, y compris les objets (et les jouets) connectés doivent immédiatement être remplacés par un mot de passe personnel. Si vous ne le faites pas, vous laissez la porte ouverte à tous les pirates informatiques.

Le mot de passe temporaire/par défaut doit être remplacé par un mot de passe choisi par la personne dès sa première utilisation. Il convient donc ce mettre à disposition une directive sur la création de mots de passe ‘solides’ qui ne peuvent être devinés par d’autres personnes ou par une application pirate. Vous pouvez vous inspirer du site : << https://www.safeonweb.be/fr/utilisez-des-mots-de-passe-surs>> ainsi que de plusieurs articles écrits il y a déjà quelques années sur ce blog.

5. Revue des droits d’accès utilisateur

Les droits sont régulièrement revus par le propriétaire des biens afin qu’ils restent alignés avec les besoins fonctionnels (changements de fonction), la situation de et dans l’entreprise, et les risques évalués.

Le journal centralisé enregistre toutes les modifications.

6. Suppression ou adaptation des droits d’accès

Les comptes et les identifiants associés des personnes quittant l’entreprise sont désactivés puis supprimés dans les meilleurs délais afin que personne d’autre ne puisse les utiliser.
Il convient d’appliquer cette mesure pour les comptes informatiques tout comme on le fait tout naturellement pour l’accès aux bâtiments.

Toute personne changeant de fonction dans l’entreprise voit également ses droits d’accès modifiés, même s’ils garde le même identifiant.

Attention : si la personne qui part connaît, de par sa fonction, le mot de passe d’autres personnes ou dispose de privilèges (par exemple le mot de passe d’un système), ces mots de passe doivent impérativement et immédiatement être modifiés après son départ.
Puisque le locataire d’un appartement dispose des moyens de réaliser une copie des clés, le propriétaire veille à changer la serrure de la porte d’entrée avant d’accueillir un nouveau locataire.

Attention : il est recommandé de superviser le travail et, éventuellement, de restreindre les droits d’accès aux moyens de traitement de l’information à la fin de la période d’emploi selon les risques auxquels l’entreprise peut être exposée.

 

Ces principes sont-ils utilisés dans votre entreprise ?

N’hésitez pas à m’interroger si un point ou l’autre était imprécis.

 

A bientôt, plus en sécurité avec vos informations

Jean-Luc

Crédit photo: Réserve personnelle.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.