Les 7 clés du Contrôle des Accès

025_001

Cela fait un bout de temps que je cherche un sujet ‘porteur’. Celui-ci devrait répondre à vos attentes.

La gestion des accès est, en effet, le premier maillon de la chaine de protection de vos informations. C’est la pierre d’angle sur laquelle repose la protection de la confidentialité, de l’intégrité et de la disponibilité.

Si on ne peut mettre la main sur une information, il sera très difficile de la diffuser, de la modifier ou de la détruire.

De quoi a-t-on besoin ?

Je prends volontairement à rebours le discours des ‘spécialistes’ car, dans la mise en œuvre, on s’arrête généralement au profil et aux ‘techniques d’accès’ en laissant les autres aspects de côté. C’est pourtant là que le bât blesse.

Une Cible

Il faut d’abord identifier ce que l’on veut protéger. Cela commence avec le périmètre ainsi que tout ce qu’il contient. Le niveau de protection sera toujours soumis à la valeur de la cible : l’objet ou de l’information. On en revient, encore une fois, à la classification.

Des Responsabilités

Il est nécessaire ensuite de déterminer les responsabilités, principalement

  • qui décide des autorisations, des accès et de ses règles, généralement le ‘propriétaire’
  • qui gère, celui qui organise les techniques nécessaires et
  • qui est autorisé à accéder.

Un Profil

Les règles sont la clé de tout. Pour les informations, on peut définir les droits suivants : lire, écrire, modifier, mettre à jour, transformer, copier, effacer ou transmettre. Rien n’empêche d’être plus créatif encore.

Vous vous souvenez du ‘Besoin d’en Connaître’ et du ‘Besoin d’Utilser’ ? Là est le cœur de la question.

On crée généralement les profils combinant plusieurs droits, selon la fonction dans l’entreprise (ou dans la famille) et les informations à manipuler .

Les profils sont attribués à des entités – personnes ou applications informatiques sur une machine – selon leur besoin d’accéder et selon la valeur des informations.

Le profil peut être assorti de conditions : durée, endroit, mode d’accès, horaire d’accès, etc.

Un Identifiant

Chaque entité devra avoir un identifiant unique (nom, numéro de machine, etc.) qui l’identifie parmi tous les autres.

Une entité = un et un seul identifiant

L’identifiant sera également univoque :

Un identifiant = une seul et unique entité.

Le profil d’accès de M. A ne sera pas le même que celui de Mme B, sauf s’ils occupent la même fonction.

option-prestation-douane

Un Authentifiant

Mais le nom ne suffit pas car le monde informatique ne connaît que les 1 et les 0. On doit s’assurer que l’entité demandant l’accès est vraiment qui ou ce qu’elle prétend être.

On parle de trois types d’authentifiants :

  • quelque chose que l’on connaît : mot de passe, pin code, etc.
  • quelque chose que l’on possède : clé, marte magnétique ou à puce
  • quelque chose que l’on est : empreinte digitale, oculaire, vocale ou ADN ;

Plus la cible aura de la valeur, plus on cherchera à combiner plusieurs types d’authentifiants.

Un contrôle

Le contrôle consiste à comparer le coupleidentifiant/authentifiant’ avec la liste des entités autorisées et avec la liste des profils et des cibles autorisées pour cette entité : c’est la Liste de Contrôle d’Accès (LCA ou Access Control List [ACL])

Si une entité veut accéder mais que son profil ou les conditions ne correspondent pas, sa demande est rejetée.

Des Traces

Toute demande et son résultat – surtout tout refus – doivent être enregistrés : date, heure, identifiant, contenu de la demande et résultat.

Cela permet de détecter les problèmes éventuels, les erreurs et, surtout, les tentatives d’accès illicites.

L’identifiant unique et univoque permet d’attribuer sans contestation les demandes d’accès authentifiées à l’entité qui l’a émise.
Raison de plus de garder nos mots de passe secrets et d’éviter les ‘passe-partout’.

35_1_3

Où est le problème ?

Contrôler qui entre dans votre maison ne vous empêche pas de fermer certaines armoires à clé et de mettre celle-ci de côté. Ne fut-ce que les produits dangereux que les enfants pourraient avaler, si on en croit les publicités de lessive…

Le problème des contrôles d’accès déficients vient essentiellement du fait que :

  • les cibles à protéger ne sont pas suffisamment identifiées et leur valeur estimée pour déterminer le niveau de protection adéquat,
  • les responsabilités du propriétaire ne sont que rarement prises pour les informations, mettant tout sur le dos du gestionnaire des accès (l’informaticien, en oubliant que les informations sur papier ou affichées doivent également être protégées),
  • les profils sont trop génériques et généraux, ce qui donne quasi tous les droits à toutes les entités,
  • l’identifiant est souvent tellement standardisé (regardez les adresses mail) que les ‘cloner’ est un jeu d’enfant,
  • les authentifiants se limitent trop souvent aux mots de passe qui restent triviaux,
  • on ne contrôle généralement que les entrées… la ‘sortie’ est le plus souvent libre, même si on sort avec quelque chose que l’on n’est pas autorisé à prendre,
  • rares sont les gestionnaires qui prennent le temps d’analyser les traces. Ce ne sera que si le système génère une alarme que l’on se posera des question… et l’intrus (celui qui entre en dehors des règles admises) sera reparti avant que l’on aie pu faire quoi que ce soit.

Un lecteur prévenu en vaut deux…

Et vous, tombez-vous également dans la facilité qui génère les problèmes présentés ? Il est temps de prendre nos responsabilités de propriétaire et de gérer les accès à nos informations !

A bientôt, plus en sécurité avec vos informations

Jean-Luc

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *