La capacité de provisionnement des utilisateurs de l’IAM (gestion des identités et des accès) et la fonction de gestion de l’accès aux données gèrent toutes deux l’accès. Toutefois, le provisionnement ne se substitue pas à, et ne remplace pas, la gestion de l’accès aux données. Les nuances qui existent entre les deux suffisent à les placer dans deux catégories différentes. Toutes deux sont importantes et connaître leurs différences aide à déterminer l’outil adapté à chaque tâche.
Qu’est-ce que le provisionnement des utilisateurs ?
Le provisionnement des utilisateurs est la création et la gestion de l’accès aux ressources de l’organisation. L’accès peut aller des comptes informatiques (CRM, Salesforce, messagerie, etc.) jusqu’aux équipements non informatiques et ressources telles que badge d’accès, téléphone, voiture, etc.
Les administrateurs informatiques responsables de la fourniture des accès savent qu’un provisionnement manuel peut être fastidieux, complexe et propice aux erreurs, même armé d’une liste de contrôle.
Bien entendu, il est toujours possible d’utiliser les services d’annuaire pour automatiser le workflow de provisionnement. Et la gestion de ces droits d’accès doit se poursuivre même lorsque les responsabilités de ces personnes évoluent et qu’elles quittent l’organisation.
Les systèmes d’IAM automatisent ce processus. Pour rationaliser le provisionnement, les organisations créent des modèles, appelés « rôles » qui regroupent et affectent des valeurs spécifiques aux comptes. Par exemple, tout employé travaillant à temps complet dans le service financier recevra le même type d’accès : un compte de messagerie électronique, une autorisation de stationnement et l’accès aux systèmes de facturation et de paiement. Au cours de sa carrière, il pourra arriver que l’employé du service financier change de poste et rejoigne le service juridique. L’IAM facilitera le changement de rôle. L’utilisateur étant toujours un employé, il conservera son adresse e-mail et son accès au parking, mais le système révoquera ses droits d’accès aux systèmes de facturation et de paiement, et lui accordera un accès à l’outil eDiscovery et de gestion des dossiers.
Jusque-là, rien ne donne à penser qu’il n’est pas possible de fournir l’accès aux données de la même façon : autoriser l’accès aux utilisateurs qui en ont besoin et le gérer selon les besoins.
Alors, où est le problème ?
Les organisations qui utilisent des solutions d’IAM partent souvent du principe que les groupes de sécurité et les rôles en place correspondent aux structures de données sous-jacentes contenant les données de l’organisation. Malheureusement, même s’il arrive que les utilisateurs soient dans les bons groupes, ils finissent inévitablement par disposer d’un accès aux données bien plus large que nécessaire ou que leur poste ne l’exige.
Bien sûr, les solutions d’IAM disposent de listes complètes des utilisateurs et groupes, issues des services d’annuaire. Toutefois, l’une des principales difficultés est de mapper ces utilisateurs et groupes sur les listes de contrôle d’accès (ou Access Control Lists – ACL) qui contrôlent l’accès aux données elles-mêmes.
De plus, l’IAM n’a pas la capacité de déterminer quels utilisateurs accèdent à quels fichiers et, plus important encore, il n’identifie pas quels dossiers et fichiers contiennent des données sensibles.
Comment l’accès aux données fonctionne réellement ?
Les ACL contrôlent l’accès aux données.
Ainsi, si l’ACL d’un objet de fichier contient (Allen: lecture, écriture ; Jared: lecture), Allen a alors un droit en lecture et en écriture sur les données du fichier tandis que Jared pourra uniquement lire les données.
La meilleure pratique de gestion des accès passe par les groupes. Une ACL type est constituée de groupes disposant de droits divers – par exemple, l’ACL possèdera un groupe doté de droits en lecture et un autre groupe possédant des droits en lecture et écriture. Ensuite, pour accorder l’accès, il suffit d’ajouter des utilisateurs aux groupes correspondant aux accès souhaités.
En théorie, il semble qu’il soit assez facile de contrôler et de gérer les accès aux données en veillant à ce que les bons utilisateurs soient dans les bons groupes et les groupes adéquats dans les ACL.
Voilà ce qui se produit en réalité : avec le temps, les liens entre les utilisateurs, les groupes et les données se brisent. Souvent, des utilisateurs sont ajoutés aux groupes et n’en sont jamais retirés. Les ACL sont modifiées pour inclure des groupes qui ne sont pas liés aux données que l’ACL n’était pas chargée de protéger initialement – ou même pire, des groupes sont ajoutés à d’autres groupes, ce qui complique encore la situation et entraîne un effet ricochet encore plus large.
Pour gérer correctement l’accès aux données, il est essentiel de veiller à ce que les groupes de sécurité accordent véritablement l’accès aux bons ensembles de données. Ce lien est essentiel pour éviter toute conséquence imprévue comme l’ajout d’un utilisateur à un groupe en apparence inoffensif mais permettant, via un phénomène d’imbrication de groupe, d’accéder à des données professionnelles critiques ou sensibles.
Tout est dans les détails
Oui, le provisionnement des accès des utilisateurs aux ressources informatiques est une forme de gestion des accès et donc est très important pour la sécurité, mais il ne constitue pas à lui seul une forme adaptée d’accès aux données ni de sécurité des données.
___________
Christophe Badot est directeur général France Varonis