Comment l’organigramme de votre entreprise impacte-t-il la cybersécurité?

Par Bertrand Milot

La mise à jour et l’entretien régulier (quasi en temps réel) de l’organigramme sont un réel processus clef de la sécurité de l’information. Il est fondamental de bien comprendre cette notion, car, parfois sans le savoir, les RH sont à la tête et responsables de l’un des contrôles de cybersécurité les plus importants de l’organisation.

 

Vous savez sûrement qu’il est vraiment déconseillé de partager son mot de passe avec l’un ou l’une de vos collègues. Vous êtes certainement également au fait que détenir un compte informatique pour 2 ou plus est une très mauvaise idée. À l’inverse, saviez-vous que dans une organisation, un individu peut détenir plusieurs comptes d’accès usager, mais seulement UNE identité?

 

Plus les organisations sont importantes en taille et structure, plus la présence d’un architecte spécialisé en gestion des accès est nécessaire.

 

Laissez-moi vous présenter succinctement une architecture assez générique de ce que l’on trouve, ou de ce que l’on devrait trouver, dans toute organisation. Un individu dans l’organisation doit théoriquement détenir un seul rôle primaire. Il arrive qu’un individu, pour les besoins d’un projet à moyen/long terme ou à l’occasion d’un transfert interdépartement ou même dans le cadre de fonctions intérimaires, dispose également d’autres rôles secondaires (à limiter au maximum dans la mesure du possible). Qui donne ce rôle à l’employé? Il s’agit de son supérieur hiérarchique (ou dans le cas d’un rôle secondaire : un chef de projet, un exécutif, un sponsor ou tout autre responsable de division). Ce mandant est donc la personne capable à la fois de déterminer, vérifier et certifier que l’individu à qui il confie ce rôle pour une période donnée est bien le bon.

 

Ce rôle doit permettre à celui qui le détient de pouvoir effectuer techniquement et technologiquement des manipulations sur des ressources en transit ou au repos : c’est‑à‑dire créer, modifier, lire, supprimer un fichier ou un dossier, effectuer des transactions dans un logiciel ou même accéder à une ressource physique telle qu’un bâtiment, une salle ou une machine. Comment un rôle peut-il permettre cela?

 

Il faut assigner des profils techniques à chaque rôle.

Dans ces profils techniques, on trouve, par exemple, l’utilisateur informatique standard. Ce profil technique permet à l’utilisateur d’accéder à son ordinateur via un compte MS Windows, d’accéder aux dossiers partagés standards de l’organisation et d’accéder au logiciel pour entrer les feuilles de temps. Si on parle des profils techniques d’un gestionnaire de talent, il aura le profil utilisateur standard et un autre lui permettant d’accéder aux dossiers partagés restreints aux RH et de valider ou vérifier les feuilles de temps.

 

Vous comprenez donc qu’un profil technique comporte plusieurs types d’accès en lecture, écriture et exécution sur différents systèmes spécifiques.

 

Récapitulons :

▪      un individu a un (ou potentiellement plusieurs) rôle(s),

▪      ce rôle comporte plusieurs profils techniques

▪      et chaque profil technique est composé de plusieurs accès à différents systèmes. 

Crédit Photo: bigstockphoto.com

Tout cet écosystème d’accès et de dépendances s’appelle pour un individu : l’identité.

Pour des raisons de sécurité, un individu ne doit avoir qu’UNE SEULE IDENTITÉ (sauf, dans des cas exceptionnels, pour des usagers fictifs ou des usagers de tests). Dans cette jungle complexe de rôles, profils, accès et droits en tous genres, qui vérifie les attributions de chacun?

 

Vous imaginez bien que ce n’est pas le rôle d’une seule personne, ce serait une punition!

 

Comme expliqué plus haut, en ce qui concerne le rôle, la certification se trouve dans les mains du supérieur hiérarchique (ou le chef de projet, le sponsor dans le cas de rôles secondaires) qui détermine qui doit le détenir.

 

Pour les profils techniques, c’est un comité d’architecture (composé de personnes issues de toutes les unités d’affaires) qui détermine quels sont les profils techniques à positionner pour chaque rôle. Je vous entends déjà souffler ou soupirer, en arguant que « c’est trop complexe » ou « trop lourd » et pourtant c’est cette absence de comité et de gouvernance qui permet aujourd’hui à la majorité des administrateurs de systèmes (échelons hiérarchiques bas) d’avoir accès à tous les fichiers des échelons hiérarchiques les plus hauts (président, vice-présidents, etc.).

 

Vient ensuite le tour des droits directs sur les ressources informationnelles; c’est là où, je vous l’accorde, cela devient complexe : chaque propriétaire d’un actif informationnel est responsable des accès qu’il donne au dit actif, c’est donc ce même propriétaire qui est responsable du processus de recertification des accès à cette ressource informationnelle.

 

Voilà, en quelques lignes, une vision globale de ce qu’est la gestion des identités et des accès : l'IAM (Identity and Access Management). Vous comprenez aussi qu’il est très difficile d’assurer une réelle maturité et un niveau de recertification satisfaisant pour une organisation qui dispose de beaucoup d’usagers et de données.

 

Ce processus de recertification des identités et des accès ne peut se faire de façon efficace sans une liste d’employés à jour et avec des fonctions et des relations claires dans l’organigramme.

 

Il est donc vraiment très important que les RH portent une attention toute particulière aux JML (Joiners, Movers, Leavers) : ceux qui se joignent à l’organisation, ceux qui bougent dans l’organisation et ceux qui la quittent. Ainsi avec une liste JML toujours actuelle et fiable, on peut plus facilement s’assurer de limiter les risques d’accès non autorisé aux ressources informationnelles de l’organisation qui sont la première cause de fuites de données en 2014 et 2015.