La revue des droits d’accès, appelée également recertification des habilitations, est une composante essentielle de votre stratégie IAM, étroitement liée à la gestion du cycle de vie des identités et au provisioning des comptes et des droits.
Il s’agit de s’assurer que les droits d’accès des utilisateurs du système d’information sont bien conformes à ce qu’ils doivent être, et de les certifier, ou – le cas échéant – de réaliser les opérations de remédiations en cas de non-conformité par rapport à la politique d’habilitation de l’entreprise.
Cette composante IAM s’inscrit donc dans une logique de gouvernance et de contrôle des habilitations, afin d’apporter les garanties de conformité attendues. Elle permet non seulement de s’assurer du bon respect de la politique de sécurité de l’entreprise et de limiter les risques opérationnels, mais également de répondre aux nombreux enjeux réglementaires, tels que ceux liés aux audits réguliers de la société mère ou des commissaires aux comptes par exemple.
Quelles bonnes pratiques pour des campagnes de revues de droits efficaces ?
Pour que la revue des droits d’accès soit réellement efficace, un des enjeux est de pouvoir impliquer les managers fonctionnels : ils doivent être à même d’évaluer simplement si les habilitations dont bénéficient leurs équipes sont légitimes et justifiées.
A minima, il s’agira de :
- Définir un périmètre pertinent et raisonnable de la revue : quelles populations d’utilisateurs, quelles applications, quels responsables métiers, etc.
- Sensibiliser, outiller, former et accompagner les responsables métiers impliqués dans la campagne de revue
- Industrialiser la revue d’habilitation en s’appuyant sur les bons outils et une méthodologie rigoureuse
De fait, si la revue des droits d’accès est un processus très opérationnel de contrôle et de gouvernance des identités et des accès, il est indispensable de la lier étroitement à votre plateforme de gestion des identités et des accès. Celle-ci doit être capable d’organiser des campagnes de recertifications, où toutes les parties prenantes seront impliquées selon leur périmètre de responsabilités, et disposer d’une grande richesse fonctionnelle :
- Configuration avancée des campagnes de revue des droits (durée, périodicité, ressources visées et populations ciblées, administrateurs et approbateurs de la campagne, etc.),
- Capacité à effectuer des simulations préalables sur les droits à recertifier afin d’anticiper les traitements des anomalies,
- Possibilité de s’appuyer sur des processus workflow de notifications et d’approbations afin que les personnes concernées par la campagne valident ou non les habilitations dont elles sont responsables,
- Capacité à réaliser les opérations de recalcul du modèle de droits si nécessaire et de remédiation des anomalies constatées via notamment des opérations de provisioning automatique,
- Fourniture de rapports détaillés sur les campagnes de revue des droits et de suivi de l’état d’avancement des campagnes, du pourcentage des droits revus, de statistiques, etc.
Découvrez les fonctionnalités avancées de revue des droits d’accès de notre solution de gestion des identités et des habilitations Meibo People Pack
Principaux enjeux et bénéfices
de la revue des droits d’accès
La revue des droits d’accès contribue non seulement à maîtriser davantage les risques opérationnels liés aux habilitations réellement en vigueur dans l’organisation, mais également à répondre aux enjeux de conformité réglementaire auxquels sont soumises de plus en plus d’organisations.
1
Sécurité / diminution des risques opérationnels
- Supprimer les comptes orphelins
- S’assurer de la clôture effective des comptes pour les personnes ayant quitté l’entreprise
- S’assurer que chaque personne possède bien le minimum de droits suffisants et nécessaires sur les ressources du SI
- Contrôler les droits sur les comptes génériques et leur association aux personnes physiques
2
Conformité / Audits réglementaires
- Répondre aux contraintes du contrôle interne, des régulateurs, des commissaires aux comptes
- Faciliter les revues d’habilitations et la réalisation d’audits et de contrôles
- Contrôler le respect du principe de la SoD (Segregation Of Duties)
- S’assurer du non-cumul de droits toxiques
Parmi nos projets réussis
incluant des revues de droits
d’accès et habilitations
avec Meibo People Pack
Parmi nos projets réussis incluant des revues de droits d’accès et habilitations avec Meibo People Pack
Nos articles de blog liés
Gestion des identités : les 6 pièges à éviter pour réussir votre projet
Nos experts vous livrent leurs conseils pour réussir votre projet de gestion des identités....
#BackToBasics : la gestion des habilitations, des principes fondamentaux à l’industrialisation de la démarche
Habiliter les utilisateurs du système d’information d’une organisation consiste à leur accorder les bons droits d’accès. Chaque acteur...