FINANCES PERSONNELLES
+ L’achat d’une propriété aux États-Unis
+ Inquiétudes post-emploi
+ Plus
PME
+ En mode survie
+ 10 services valeur ajoutée
+ Marchés étrangers
+ La juste evaluation
+ Faire croître ma PME
+ Vos actifs à la rescousse
+ Plus
IFRS et ISA
+ Sept normes côte à côte
+ Normes canadiennes d'audit
+ Pour réussir le passage obligé
+ Plus
TECHNOLOGIES
+ Systèmes CRM
+ Gestion de performance
+ Enquête 2010 sur les logiciels
+ Plus
LIEU DE TRAVAIL
+ Profession plurielle
+ La RSE : vraiment gagnante
+ Santé et productivité
+ Prévention de la fraude
+ CV chronologique gagnant
+ Gare aux fausses notes
+ Générations et objectifs
+ Les primes gardent la cote
+ Plus
ÉTUDIANTS CA
+ Certifié entreprise
+ Destination: CA
EXPERTISE
+ Les prix de transfert
+ Plus
+ Informations et contacts
RSS
+ Recevez les nouvelles qui vous intéressent
NOUVELLES EN LIGNE
+ Notre cyberlettre mensuelle
Gérer les risques à l’entrée
Par Philippe Ricart et Pascal Théoret
Illustration : Baiba Black
Une gestion informatique des accès basée sur les risques protège les actifs cruciaux de l’entreprise
La gestion informatique des accès et des identités est désormais une question capitale pour les entreprises depuis la mise en place de contrôles internes renforcés, compte tenu d’un contexte réglementaire de plus en plus exigeant. Il ne s’agit plus aujourd’hui de gestion traditionnelle des portes d’entrées des systèmes d'information par un administrateur de systèmes, mais de gestion complexe et décentralisée.
La mondialisation des échanges a entraîné un besoin accru de liens de communications avec les clients et les fournisseurs, par exemple au moyen de plateformes spécialisées, de réseaux extranet, d’échanges de données informatisées (EDI), d’espaces de collaboration sécurisés ainsi que de serveurs FTP. L’évolution des technologies permet maintenant la mobilité de l’information et un trafic important de voix et de données (Wi-Fi, Blackberry, etc.). Par conséquent, la frontière entre la vie professionnelle et la vie privée s’amenuise de plus en plus. À cette évolution s’ajoutent l’utilisation croissante des médias sociaux (Facebook, LinkedIn, Twitter, etc.), le recours fréquent à l’impartition ainsi que la multiplication des places d’affaires et des bureaux de représentation.
Enfin, les concentrations d’entreprises, les fusions ou acquisitions de même que la dématérialisation de certains actifs et de certains services ont modifié la structure de l’entreprise d’origine. Elle a dépassé ses frontières traditionnelles et se caractérise maintenant par la coentreprise, la délocalisation et la virtualisation.
Comment l’entreprise peut-elle poursuivre ses activités selon le schéma traditionnel d’administration de ses systèmes sans tenir compte du contexte radicalement différent dans lequel elle doit maintenant évoluer? Nous proposons une approche de gestion des accès et des identités fondée sur les risques, afin de minimiser l'incidence de situations qui pourraient être préjudiciables à l’entreprise, à sa réputation, à ses actifs, aux conditions de travail de ses employés et à ses relations d’affaires avec des tiers.
Vers une gestion de plus en plus complexe
Les administrateurs de systèmes et les responsables de la sécurité informatique d’une entreprise sont confrontés à de nouveaux défis. L’évolution du contexte réglementaire, combinée à l’éclatement des TI hors des murs de l’entreprise, créent des situations complexes sur lesquelles il est difficile de statuer. Des problématiques comme l’accès à Facebook pour les employés pendant les heures de travail peuvent susciter de vives discussions quant à la sécurité de l’information figurant sur les pages personnelles. Cet accès peut compromettre la confidentialité des données de l’entreprise.
De plus, la multiplication des téléphones intelligents dotés de leurs propres paramètres d’authentification, qui peuvent être activés ou désactivés à volonté génère un surcroît de travail pour les services de soutien informatique qui doivent veiller à ce que les mécanismes d’accès à l’information restent robustes. Mentionnons aussi l’utilisation croissante des supports amovibles, comme les clés USB, une source additionnelle de fuite potentielle d’informations.
L’importance accrue accordée aux coûts fixes des entreprises et la course à la compétitivité sur le marché mondial poussent celles-ci à délocaliser leurs activités et leurs services de soutien. Ces tendances, combinées à l'essor de l’informatique en nuage (cloud computing) et de la virtualisation présentent des risques quant à la confidentialité, à l’intégrité, à la disponibilité et à la non-répudiation de l’information échangée. Quelles sont les garanties de l’impartiteur que les accès aux informations de l’entreprise dont il est le fournisseur sont exempts de tout risque de divulgation à l’interne et à l’externe? Cette question est d’autant plus pertinente que ce même impartiteur peut à son tour devoir externaliser une partie de ses propres activités.
Les divers contextes réglementaires comme la Loi Sarbanes-Oxley et le règlement 52-109 avaient cerné certains des enjeux liés à la gestion des accès et des identités : la suppression systématique des accès après le départ d’un employé pour prévenir tout risque d’utilisation non autorisée de ceux-ci, la création d’accès autorisés par le gestionnaire responsable et la révision périodique des accès pour garantir leur adéquation aux besoins d'affaires.
La démocratisation des solutions progicielles, alliée aux solutions internes, la multiplication des logiciels spécialisés, la diffusion des fichiers de nature logicielle (tableurs Excel, bases de données Access, etc.) s'ajoutent à la complexité de l’administration de ces systèmes. En définitive, ceux-ci s’appuient la plupart du temps sur l’adoption d’un système d’authentification unique (single sign-on) regroupant toutes les authentifications en un seul outil. Ces solutions ne règlent cependant pas tous les problèmes liés aux identités.
Par exemple, un employé cumulant plusieurs années de service et dont les tâches ont évolué peut devoir assumer plusieurs profils d’accès dans un ou plusieurs systèmes, ce qui lui confère des droits trop étendus par rapport à ses responsabilités.
L’analyse de ces conflits, appelés conflits de séparation de tâches, s’effectue manuellement dans la mesure où l'analyse est restreinte et les profils d’accès peu complexes. Toutefois, dans le cas d’une multinationale caractérisée par un taux élevé de roulement de personnel et dotée d’un système de gestion de type progiciel, la gestion des accès peut devenir impossible à gérer en raison, par exemple, des restrictions quant aux objets (accès en lecture, en exécution, en modification, etc). La société doit alors utiliser un outil de gouvernance, gestion des risques et conformité (GRC) (Governance Risk and Compliance). En somme, en matière de gestion des accès et des identités, une stratégie appropriée s’impose.
Adopter une approche par étapes
Une approche fondée sur les risques a l’avantage de se concentrer sur les enjeux capitaux pour l’entreprise en matière d’accès et d’établir des plans d’actions concluants. Elle consiste à :
- recenser les actifs cruciaux pour l’entreprise, car ils doivent être traités en priorité. Il est inutile de créer des mécanismes de gestion d’accès pour des actifs de faible valeur;
- catégoriser ces actifs par rapport à leurs critères de sécurité afin d’évaluer leur exposition au risque et ce, sur les plans de la confidentialité, de l’intégrité et de la disponibilité;
- établir une liste de tous les acteurs (propriétaires, utilisateurs internes, tiers de l’entreprise, etc.) qui doivent interagir; ces personnes ont une responsabilité quant à ces actifs, sur les trois plans mentionnés précédemment;
- décrire les moyens d’accès à ces actifs et leur type d’utilisation, soit d’inventorier les cas d’usage (lecture seule, exécution, écriture, etc.) et leur mode d’accès (à distance, avec un compte privilège, etc.);
- déterminer les risques inhérents et leur probabilité pour cerner les enjeux des situations évoquées précédemment quant à l’environnement dans lequel l’entreprise doit évoluer (accès non restreint aux données de l’entreprise et de ses partenaires, etc.) et examiner les possibilités que ce risque se matérialise;
- recenser les mécanismes d’atténuation existants afin de concentrer les efforts sur les situations «à risque élevé» pour lesquelles les dispositifs d’atténuation sont insuffisants ou inexistants , comme la possibilité de modifier les données et de les corrompre sans journalisation des accès ni sauvegardes des données d'origine). Cette étape permettra aussi de relever les contrôles adéquats;
- établir une liste des risques peu couverts ou non couverts;
- valider la stratégie de gestion de ces risques par contournement (le fait d’éviter les situations à risque), acceptation (le statu quo), mitigation (l’implantation de mesures correctives) ou transfert (l’endossement par un tiers);
- entreprendre une analyse coût-avantage, pour que la solution la meilleure et la plus efficace soit mise en œuvre à moindre coût pour réduire les risques relevés.
Révision périodique de l’approche
Nos expériences diverses dans le domaine de la gestion des identités nous permettent de dresser deux constats auxquels les organisations doivent être sensibilisées :
1) les organisations qui adoptent une approche globale de leur gestion des accès consacrent énormément d'efforts sans que le résultat final ne soit concluant. Selon la taille de l’organisation et de l’infrastructure, on observe souvent que les projets de refonte de gestion des accès se déroulent sur plusieurs années.
2) les processus et les systèmes de gestion des identités mis en place par les organisations connaissent, avec le temps, des problèmes de défaillances liés à un manque de ressources, d’outils efficaces ou de cohérence dans l’application du processus. Une approche méthodique et simple, telle que présentée à la section précédente, devient donc prioritaire. L’approche choisie doit tenir compte de l’évolution constante de l'environnement de l’organisation (exigence de conformité à une nouvelle loi, nouvelle application, etc.).
Le fait de développer ou d’ajouter des outils de gestion des accès à une nouvelle application n’est plus une option car elle alourdit le processus. Il faut plutôt se concentrer sur le renforcement du processus de gestion des accès et adopter une approche d’amélioration continue.
Jumelée à une approche simplifiée, l’optimisation du processus de gestion des identités devrait faire partie intégrante de ladite approche et serait axée sur l’évaluation périodique de la pertinence de chaque activité, des rôles et des responsabilités des intervenants touchés et des outils utilisés pour répondre aux demandes d’accès. Comme plusieurs experts le confirment, 75 % du succès tient à l’application d’un processus et 25 % aux technologies.
Par où commencer?
Voici quelques facteurs de succès d’une saine gestion des identités :
- Intégration de la gestion des accès et des identités au processus de gestion des risques d’entreprise. Les objectifs de l’organisation s’aligneront sur les besoins de sécurité qui feront partie des processus de gestion des accès. Une fois ces deux aspects alignés, l’approche décrite précédemment pourra se dérouler de façon plus efficiente et efficace. En outre, la revue annuelle des risques d’entreprise obligera les responsables des processus de gestion des accès à revoir les actifs cruciaux relevés dans l’approche axée sur les risques de l’organisation. Les risques de conformité ne seront donc plus les seuls éléments auxquels il faudra prêter attention.
- Maintien de processus simples et optimisés de gestion des accès. Les rôles et les responsabilités sont assumés principalement par les gestionnaires d’entreprise. Le succès de l’opération dépend de leur prise en charge de l’application de la politique et des procédures. Une meilleure compréhension et une meilleure communication des processus ainsi qu’une responsabilité définie et acceptée par les gestionnaires lèvera toute ambiguïté.
- Sensibilisation d’abord auprès des gestionnaires d’entreprise et des dirigeants TI. L’organisation doit inclure cet aspect dans son exercice de gestion intégrée des risques d’entreprise (GRE). Par conséquent, les gestionnaires et les dirigeants TI définiront les politiques et procédures à mettre en place, les contrôles nécessaires, et ils conviendront d’une meilleure façon de gérer les risques communs quant aux actifs cruciaux pour l’organisation.
Les projets réussis que nous avons pu observer étaient fondés sur la responsabilité conjointe de plusieurs services, mais aussi des gestionnaires d’entreprise et du service de la vérification interne. Les gestionnaires d’entreprise sont les propriétaires des processus et par conséquent, des actifs informationnels inhérents à ces processus. - Élaboration d’une approche «segmentée» de la gestion des accès. Les organisations qui ont bien relevé le défi de la gestion des accès ont réparti la mise en place de cette gestion en plusieurs phases. Ce type de projet comporte plusieurs variables qui ne sont connues qu’une fois le projet réalisé. Il faut donc pouvoir s'ajuster rapidement afin de ne pas prendre des orientations non souhaitées qui pourraient donner lieu à une utilisation inefficiente des ressources.
L’approche suggérée mobilise moins de ressources humaines et financières et permet aux organisations d'allouer des budgets spécifiques pour assurer la mise en place des processus de gestion des accès, comme l'acquisition d’un outil automatisé de GRC.
Pascal Théoret, CGA, est premier directeur au sein du même groupe au bureau montréalais de RSM Richter Chamberland.
Yves Nadeau, CA et associé, Gestion des risques et vérification au même bureau montréalais, dirige cette rubrique.
