Bonnes pratiques 11 : Exigences pour le contrôle d’accès

Nous entamons aujourd’hui l’étude du chapitre 9 de la norme ISO 27002 de 2013, qui s’intéresse au contrôle d’accès.

Pour information, le contrôle d’accès pris en compte ici est le concept global et non la simple action de vérifier les autorisations de celui qui se présente. On ne s’étonnera donc pas de commencer par les aspects de gestion des droits et des accès.

Le premier objectif de contrôle (9.1) est de limiter l’accès à l’information et aux moyens de traitement de l’information. Rien de plus simple et de plus fondamental.

1. Une politique de contrôle d’accès

Si ce sont les propriétaires des actifs (du bâtiment aux données en passant pas les locaux, armoires, réseaux et applications) qui déterminent qui a droit d’accès et selon quelles modalités, ils ne devraient pas les accorder « au petit bonheur » ou « selon l’humeur du jour. » Afin que chacun dans l’entreprise réagisse dans le même sens, il est donc recommandé de fixer les règles et les procédures que chacun va utiliser de façon cohérente.

Il n’est pas toujours raisonnable de se contenter d’une règle unique qui sera appliquée dans tous les cas (« one size fits all »).

La politique doit prendre en compte :

  • le niveau de classification de l’information (BP9),
  • les besoins métier et le rôle fonctionnel de chacun,
  • l’attribution et la révision régulière des droits en cohérence avec la politique de classification,
  • la procédure de demande et de retrait/modification des droits,
  • l’enregistrement de l’évolution des droits accordés tout autant que de leur application (les opérations quotidiennes),
  • le cloisonnement des différents rôles dans la gestion des droits d’accès.

Les droits d’accès physiques (bâtiments, locaux et équipements) doivent être coordonnés avec les droits logiques (aux applications, données et informations) au sein d’une unique politique qui repose sur les résultats d’une étude cohérente des risques. Elle devrait également prendre en compte les droits et conditions d’utilisation des accès privilégiés.

Le principe de base devrait être une fermeture de tous les accès sauf ceux qui sont formellement autorisés.

Il est important également de contrôler régulièrement que la politique est correctement appliquée et de corriger ce qui n’est pas efficace.

2. Accès aux réseaux et services en réseau

On oublie souvent que les réseaux et les services en réseau (par exemple l’accès à l’internet et les applications ‘à distance’ ou non résidentes dans les ordinateurs) doivent également être mis à disposition selon des principes de contrôle des accès qui ne doivent pas être différents de ceux appliqués par ailleurs.

Les trois aspects : physique, logique et réseau, doivent être traités de la même manière.

En entreprise, certaines activités sont réalisées dans des locaux qui ne sont pas accessibles à tous dans n’importe quelles conditions, par exemple la Gestion des Ressources Humaines et la Recherche et Développements. Il convient donc que, parallèlement, les applications, les données, les (segments de) réseaux et les services associés soient uniquement réservés à ceux qui sont concernés.

 

Trop souvent ces règles, généralement simples et statiques, sont définies par le service informatique et le propriétaire n’a que peu à dire.

 

Ces règles élémentaires sont-elles appliquées dans votre entreprise ? En comprenez-vous le sens et la portée ?

 

A bientôt, plus en sécurité avec vos informations.

Jean-Luc

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *