Aller au contenu principal

Comment gérer des identités, des accès et des habilitations

Preambule

La gestion des accès et des identités, également connue sous l’acronyme IAM (Identity and Access Management), désigne les activités relatives à la réglementation et à l’administration :

  • des identités numériques des collaborateurs ;
  • des droits et niveaux d’autorisation requis pour avoir accès au réseau, aux applications et à l’ensemble des ressources de l’entreprise de manière générale.

D’ordinaire piloté par le service IT, ce processus concerne l’ensemble des salariés, mais également d’autres parties prenantes, telles que les prestataires externes ou encore les clients.

L’IAM implique diverses activités, et accompagne tout le cycle de vie du collaborateur, dès son onboarding (attribution de son identité numérique, de ses identifiants de connexion, etc.) et jusqu’à son départ de la société.

info

Les pratiques à proscrire

  • Donner des droits d’administrateurs à des utilisateurs n’en ayant pas besoin ;
  • Fournir des privilèges d’administration sur des périodes plus importantes que nécessaire ;
  • Oublier de retirer des autorisations temporaires accordées à un utilisateur (pour un remplacement, par exemple) ;
  • Accorder à un utilisateur plus de privilèges que nécessaire ;
  • Créer ou utiliser des comptes partagés ;
  • Oublier de supprimer les comptes utilisateurs des personnes ayant quitté l’organisation ;
  • Ne pas réviser les habilitations des personnes ayant changé de fonction ou de statut dans l’organisation ;
  • Ne jamais revoir sa politique d’accès et d’habilitations.

Introduction

Tous les caractères [X] du document devront être remplacés et adaptés au contexte de l’entreprise. Exemple : Dans la phrase « Le [X] est chargé de gérer les révisions du présent document », le [X] est à remplacer par RSSI ou autre personne en charge de la révision du document.

Objet du document

Ce document décrit la politique de gestion des accès, des droits et des habilitations applicables au sein [X].

Champ d’application du document

Ce document s’applique au périmètre [X]. Celui-ci est défini dans la [X (PSSI, Charte …)].

Responsabilités et revue du document

Le [X] est chargé de gérer les révisions du présent document. Cette politique est revue au moins sur une base annuelle. De plus une revue peut être effectuée dans les cas suivants :

  • évolution du périmètre du SI ;
  • évènement exceptionnel ;
  • changement ou incident majeur.

Toute nouvelle version de ce document est vérifiée par le [X] (ou son assistant) et validée par le DSSI.

Définissez les rôles de chacun dans la politique de gestion des accès

La Direction du Système d’information pilote communément les processus de gestion des identités et des accès. Pour autant, si elle est amenée à procéder aux contrôles ou encore à édicter les bonnes pratiques, elle n’est pas toujours la mieux placée pour savoir qui doit avoir accès à quoi. Ce rôle échoit souvent aux managers et propriétaires des données, forts de leur niveau de connaissance quant aux besoins métier.

Par conséquent, le déploiement de la politique de la gestion des identités et des accès (GIA) doit être bien cadré au départ, dans le but de déterminer le niveau de compétence et de responsabilité de chacun.

Les systèmes de gestion des droits doivent être en mesure d’effectuer les tâches suivantes :

  • Définir les rôles utilisateurs ;
  • Définir et gérer les autorisations et les ressources utilisateurs ;
  • Appliquer et révoquer les privilèges utilisateurs, selon les besoins ;
  • Gérer des conditions de contrôle des accès complexes (octroi et blocage) ;
  • Appliquer des droits d’accès aux logiciels.

De plus, chacun agit selon son rôle et ses responsabilités.

remarque

Les utilisateurs : ils doivent avoir connaissance des règles relatives à l’authentification et les respecter ;

  • Les responsables de service : ils doivent approuver les demandes d’habilitation ;
  • Equipe de support Infrastructure SI : elle a en charge la gestion des droits d’accès logiques (création des identifiants, attribution des mots de passe initiaux, allocation de droits, etc.) ;
  • Services généraux : il a en charge la gestion des droits d’accès physiques (création des identifiants, attribution des badges, allocation des droits, code de l’alarme, etc.) ;
  • Responsable cyber : il est responsable de la supervision du contrôle des droits d’accès.

Sensibilisez les collaborateurs

Les utilisateurs doivent être informés des règles de sécurité qu’ils sont tenus de respecter en matière de contrôle d’accès (logique et physique) et sensibilisés quant à la protection des identifiants et mots de passe qui leur sont alloués, ainsi qu’au respect des règles et au maintien de la vigilance en matière de sécurité physique.

Les collaborateurs jouent un rôle essentiel dans la protection des données de l’entreprise. Les comportements à risque (dans la majorité des cas non intentionnels) sont souvent à l’origine des problèmes.

Organisation

Etat des lieux des utilisateurs et des accès

La première étape est de lister exhaustivement tous les dossiers, les applications, les services qui hébergent des données de votre entreprise ou qui sont indispensables à la poursuite de son activité.

remarque
  • Banque ;
  • Cloud ;
  • CRM ;
  • Gestion de la paie et des absences ;
  • Outils de messagerie clients …

Il est primordial de noter quels services hébergent des données ou des rôles sensibles, quels utilisateurs ont accès à quels dossiers, avec quels droits de modifications et de partage.

Référencement de tous les utilisateurs

Une des premières actions nécessaires à la mise en place de l’IAM consiste à lister toutes les personnes concernées, celles qui ont un « contrat » avec l’entreprise. Il s’agit, bien entendu, de l’ensemble des employés, mais également d’autres acteurs tels que les prestataires externes.

info

Vous êtes tenu de maintenir ce référentiel à jour. D’où l’intérêt, si possible, de le connecter avec un logiciel de gestion RH qui provisionnera automatiquement le compte en envoyant toutes les données utiles (départs, arrivées, etc.).

Listez les comptes

En parallèle, répertoriez l’ensemble des outils de l’organisation en prenant soin, là aussi, de maintenir cet annuaire à jour.

L’intérêt d’un travail de sensibilisation des collaborateurs se fait ressentir à cette étape : ils doivent prendre le réflexe d’informer la DSI en cas d’usage d’un nouveau logiciel, pour éviter la pratique du shadow IT.

Revue des droits d’accès avec les managers et rapprochez les annuaires

Maintenant que vous avez une liste des services et des utilisateurs y ayant accès, il est temps de prévoir un échange avec les managers de chaque service. Ensemble, vous pourrez définir quels utilisateurs ont accès à quelles applications.

remarque
  • Group ;
  • Applications ;
  • Sites web ;
  • Plateformes réseau ;
  • Devices ;
  • Systèmes ;
  • Fichiers et/ou bases de données ;
  • Logiciels …

C’est également l’occasion de sensibiliser et d’accompagner les responsables de service pour une meilleure considération des enjeux de cybersécurité. Ensuite, rapprochez ces deux annuaires pour définir, pour chaque compte, les utilisateurs associés ainsi que leur niveau de droit.

Pour ce faire, adressez-vous aux managers, les mieux placés pour déterminer qui doit avoir accès à quoi en fonction des obligations professionnelles de chacun. Mieux vaut éviter de mettre tout le monde en « admin » par facilité !

remarque

Pour rappel, une des bonnes pratiques consiste à adopter une démarche RBAC (Role-Based Access Control), fondée sur les rôles de chacun et non sur les individus.

Procédez à des contrôles réguliers

Enfin, la gestion des accès et des identités implique un travail continu de contrôle, tant au niveau des comptes que des habilitations.

Il a pour objectif :

  • de veiller au bon respect des règles établies ;
  • d’appliquer les actions requises en cas de changement dans l’organisation et dans les équipes.

Ce travail, une fois de plus, se trouve grandement facilité grâce à l’automatisation permise par l’utilisation d’outils spécifiques.

Déployer des outils pour assurer une bonne gestion des accès et des identités

Bien entendu, nous pensons en premier lieu aux logiciels IAM.

Ils ont pour avantage d’automatiser les opérations décrites ci-dessus, afin que les salariés et le service IT travaillent de manière plus efficace.

Plus précisément, ces solutions incluent une multitude de fonctionnalités, parmi lesquelles :

  • la gestion des identités des utilisateurs ;
  • la gestion de leur authentification ;
  • le provisioning et le déprovisioning des comptes, c’est-à-dire le fait d’automatiser l’attribution des rôles et de s’adapter en temps réel aux changements, le tout conformément aux règles pré-établies ;
  • la production de rapports, pour contrôler les actions effectuées (conditions de connexion, type d’authentification utilisé, etc.) ;
  • Les gestionnaires de mots de passe ;
  • Les gestionnaires de mots de passe se révèlent également indispensables à une bonne gestion des accès et des identités, car l’authentification aux différents services constitue une composante essentielle de la Gestion des Identités et des accès.

En effet, un gestionnaire centralisé de mot de passe vient en complément des outils de type IAM permettant de mettre en place une gestion des accès à l’échelle de l’ensemble des utilisateurs, et pas seulement les profils privilèges.

L’intérêt ici est de centraliser les identités afin d’éviter les mauvaises pratiques liées à une gestion individuelle puis de mettre en place une granularité sur le « Qui a accès à quoi ? » en fonction de l’organisation de votre entreprise et de sa gouvernance de la donnée.

Un service d’annuaire (AD / LDAP)

Entrée et sorties, modification de droits, votre base d’utilisateurs interne doit vivre et être mise à jour au gré des mouvements de votre entreprise. Outre la structuration et la centralisation des informations, l’annuaire centralisé permet la création de mécanismes d’authentification grâce à des protocoles standards comme LDAP ou RADIUS.

En couplant l’annuaire à un service de SSO, les utilisateurs n’ont plus qu’un seul identifiant/mot de passe pour toutes les applications configurées dans le SSO. Attention, il est important que le MFA soit mis en place avec le SSO pour sécuriser les accès.

Le SSO

Point d’authentification unique, le SSO (Single Sign On) permet aux utilisateurs d’accéder à leurs services quotidiens grâce à une seule et même authentification.

Simplifiant la vie des utilisateurs, il facilite également la mise en œuvre des politiques de gestion d’accès et étant un point unique à configurer pour l’accès à de multiples services. Il permet également le déploiement de méthodes d’authentification renforcées à l’ensemble des services de l’entreprise (MFA, MFA dynamique, authentification basée sur des attributs …).

Le choix de ces méthodes alors est uniquement contraint par les capacités du fournisseur de SSO et pas par chaque service.

info

Une vigilance toute particulière doit être portée sur le choix de la méthode d’authentification sur le SSO.

C’est la porte d’entrée à tous les services !

=> Définition, avantages et cas d’usages

Un bastion pour passer au niveau supérieur

Depuis quelques années, les bastions ont le vent en poupe pour répondre aux problématiques de sécurité et de traçabilité. Cette solution de cybersécurité permet de cloisonner l’accès aux applications de l’entreprise. Point de passage obligatoire pour accéder aux services, elle facilite au passage la conformité règlementaire sur l’accès aux infrastructures.

Bonus : Le bastion décide de ses règles d’authentification et peut imposer par exemple un second facteur.

Monitorer, mettre à jour et améliorer votre gestion des accès

Une fois vos outils choisis et déployés, il est important d’en assurer le suivi sur une base régulière prédéfinie :

  • Vérifier la bonne santé des outils ;
  • Modifier les droits d’accès et les habilitations ;
  • Faire des points avec les responsables métiers ;
  • Vérifier les droits des nouveaux arrivés, l’état des comptes des employés partis…

Il est également recommandé de vérifier les statistiques de permissions et d’accès aux données (les plus et les moins consultés) pour revoir les niveaux d’accès selon les profils, les départements…

info

Les chapitres ci-dessous doivent être modifiés en fonction de la stratégie déployée au sein du SI. Les informations qui sont écrites ci-dessous sont données à titre d’exemple (état de l’art SSI et/ou règlementation).

Contrôle d'accès logique au système d'information

Cette partie fournit une série de spécifications en matière de contrôle d’accès logique aux différentes ressources du système d’information de [X] : postes de travail, serveurs, applications, applications web, données, services applicatifs, annuaires, imprimantes, etc.

La gestion de l’identification, des mots de passe, des verrouillages, des profils, des habilitations et des droits d’accès des utilisateurs doit se faire de manière opérationnelle, afin de permettre un contrôle et un suivi efficace des événements de gestion (affectation, changement de fonction, séparation de fonctions, etc.).

Identification

L’identification permet à un utilisateur de fournir une identité connue à un système ou à une application. Les règles de base applicables en matière d’identification sont les suivantes :

  • Chaque utilisateur doit être identifié de manière unique au système ;
  • Le système doit pouvoir conserver l’identité ;
  • Le système doit pouvoir associer des actions à chaque utilisateur.

Un identifiant normalisé est établi afin de mettre en place des traitements automatisés de gestion des droits, permettant ainsi d’en simplifier la réalisation et d’apporter un niveau de sécurité optimal.

Les règles de base applicables aux identifiants sont les suivantes :

  • Tout identifiant doit avoir un titulaire identifié ;
  • Un identifiant ne doit jamais être réutilisé.

Caractéristiques des identifiants

Les identifiants doivent respecter les règles suivantes :

  • L’identifiant peut être de la forme :
    • Adresse courriel du collaborateur, sous la forme : prénom.nom@[X]
    • Dans le cas d’une homonymie, un chiffre est rajouté (de façon incrémentale) après le nom du collaborateur ;
    • Nom de l’utilisateur, sous la forme : [prénom]. [nom], si cela fait moins de 20 caractères, dans le cas contraire, il sera sous la forme : [première lettre du prénom]. [nom] ;
    • Trigramme du collaborateur, sous la forme : [Première lettre du prénom] [Première lettre du nom] [Deuxième lettre du nom]. Par exemple pour Paul ROBERT : PRO. Le trigramme devant être unique, en cas de doublon, les lettres suivantes du nom sont utilisées. Si cela ne convient toujours pas, on utilise 1ère du prénom / 2ème du prénom / 1ère du nom etc...
  • L’identifiant d’un administrateur est sous la forme [admin][trigramme] ;
  • L’identifiant d’un compte administrateur local est sous la forme [locadmin]-[trigramme].

Gestion des identifiants

Les données d’identification doivent être tenues à jour :

  • Les identifiants qui ne sont pas utilisés pendant 90 jours sont identifiés et désactivés ;
  • Les identifiants des personnes ayant quitté l’entreprise sont supprimés ou désactivés, conformément à [RGPD] et ils ne peuvent plus être réattribués par la suite.

Mot de passe

Le mot de passe associé à un identifiant permet de confirmer l’identité de la personne utilisant cet identifiant.

Politique de mot de passe

Un ensemble de règles est applicable à la composition et à la manipulation des mots de passe.

Règles relatives à la composition

Les règles décrites ci-dessous peuvent être mise en place techniquement dans l’Active Directory et également inclus dans la charte informatique.

Les règles applicables à la composition du mot de passe sont les suivantes :

  • Le mot de passe d’un compte à privilèges élevés doit être composé d’au moins 15 caractères et le mot de passe des autres comptes doit être composé d’au moins 12 caractères ;
  • Le mot de passe doit inclure au moins 3 des 4 catégories suivantes :
    • 1 lettre majuscule : A-Z ;
    • 1 lettre minuscule : a-z ;
    • 1 chiffre : 0-9 ;
    • 1 caractère spécial : ; : - _ = \ | / ? ^ & ! . @ $ £ # * ( ) % ~< > [ ].
  • Le mot de passe ne doit pas contenir tout ou partie de l’identifiant ;
  • Le mot de passe ne doit pas contenir d’informations personnelles telles que les noms, prénoms, surnoms, adresses, dates de naissance, numéro de Sécurité Sociale, numéros d’immatriculation du véhicule, numéros de téléphone, nom des animaux de compagnie, etc. de l’utilisateur ou de ses proches (famille, amis, collègues, etc.) ;
  • Le mot de passe ne doit pas contenir de combinaisons en séquence (12345678, 0000, abcdef, etc.) ou voisines sur le clavier (azerty, qsdfgh, etc.) ;
  • Le mot de passe ne doit pas être trivial (par exemple : password, motdepasse, toto, a1z2e3, etc.) ;
  • Tout nouveau mot de passe doit être différent des 12 mots de passe précédemment utilisés ;
  • Le seuil de verrouillage est de 6 ;
  • La durée du verrouillage est de 30 min.

Règles relatives à la manipulation

Chaque utilisateur doit appliquer les règles suivantes :

  • Il ne doit pas demander à un tiers de créer pour lui un mot de passe ;
  • Il ne doit pas communiquer à un tiers ses mots de passe ;
  • Il doit modifier immédiatement ses mots de passe dès lors qu’il sait ou suspecte que ceux-ci sont connus par un tiers ;
  • Il ne doit pas s’envoyer ses mots de passe sur sa messagerie personnelle ;
  • Il doit informer le support en cas d’oubli d’un mot de passe ;
  • Il ne doit pas utiliser dans un cadre professionnel des mots de passe utilisés dans un cadre privé, et inversement ;
  • Il ne doit pas utiliser la fonction « Mémoriser le mot de passe » présente sur certains logiciels (dont les navigateurs web) ;
  • Il doit utiliser des mots de passe différents pour s’authentifier auprès de systèmes ou applications distincts ;
  • Il doit mémoriser son mot de passe et de ne jamais le conserver écrit (sauf cas particuliers et avec des mesures spécifiques, c’est-à-dire chiffré) ;
  • Il doit, s’il dispose d’un accès, utiliser le gestionnaire de mots de passe [X] pour générer ses mots de passe et les stocker.

Gestion des mots de passe

Mot de passe initial

Un mot de passe initial est un mot de passe temporaire défini lors de la création du compte ou lorsque l’utilisateur a perdu le mot de passe précédent. Il est communiqué à l’utilisateur qui le rentre lors d’une première connexion puis le change immédiatement.

Un mot de passe initial doit :

  • Être généré via un générateur de mot de passe qui propose des modèles de mots de passe respectant les règles issues de la politique de mot de passe définie (Politique de mot de passe) ;
  • Ne pouvoir être utilisé qu’une seule fois par l’utilisateur, qui doit le changer lors de cette utilisation.

Le changement du mot de passe initial est obligatoire à la première utilisation. Celui-ci a une durée de validité nulle. L’utilisateur informe immédiatement le support en cas d’impossibilité de changement de ce mot de passe initial.

Durée de vie

Le mot de passe des comptes à privilèges élevés à une durée de validité de [X] mois.

Le mot de passe des autres comptes a une durée de validité de [X] mois.

Stockage

Les personnels doivent utiliser le gestionnaire de mots de passe mis à disposition par la DSI pour stocker les mots de passe, les autres collaborateurs sont sensibilisés à l’utilisation de ce type d’outil.

Affichage

Des mesures doivent être mises en œuvre afin de masquer l’affichage des mots de passe lors de la saisie.

Changement du mot de passe par l’utilisateur

L’utilisateur peut modifier librement son mot de passe à raison d’une fois au minimum tous les [3] mois.

Le système doit, dans la mesure du possible, être configuré de manière à imposer le choix de mots de passe conformes à la politique définie (Politique de mot de passe).

Le système doit, dans la mesure du possible, conserver une empreinte des 12 derniers mots de passe et interdire leur réutilisation.

Le changement est suggéré grâce à l’envoi d’un mail à l'utilisateur 30j, 14j, 7j, 6j, 5j, 4j, 3j, 2j, 1j avant expiration de son mot de passe. Windows affiche une notification à partir de 14j avant expiration. Après l’expiration du délai, le changement est contraint.

Demande de modification d’un mot de passe

En cas d’oubli, l’utilisateur doit demander la réinitialisation de son mot de passe. Le support doit préalablement vérifier que l’utilisateur qui demande cette modification est bien le titulaire du compte.

Les opérations d’initialisation ou de réinitialisation d’un mot de passe sont enregistrées, archivées et peuvent être listées séparément des autres actions du support.

Verrouillage et déverrouillage de comptes

Verrouillage / désactivation

Les règles applicables en matière de verrouillage d’un compte sont les suivantes :

  • Le compte est verrouillé à la suite de 6 tentatives infructueuses successives de connexion ;
  • Le compte est désactivé après 90 jours d’inactivité ;
  • Le compte est désactivé sur ordre hiérarchique ;
  • Lorsqu’un compte est verrouillé, l’utilisateur devra attendre [X] min avant de pouvoir retaper son mot de passe ;
  • Lorsqu’un compte est désactivé, seul le support peut le déverrouiller ou le réactiver (Déverrouillage / réactivation de compte verrouillé).

Déverrouillage / réactivation de compte verrouillé / désactivé

En cas de désactivation de compte, l’utilisateur concerné doit demander à son manager d’ouvrir une demande informatique pour demander le déverrouillage / réactivation du compte.

Préalablement au déverrouillage / à la réactivation du compte, le support doit s’assurer de l’identité du demandeur et que le compte n’a pas été volontairement verrouillé / désactivé pour en bloquer l’accès à l’utilisateur.

Les tentatives d’usurpation de comptes doivent être identifiés, et une investigation sur ces tentatives doit être menée, conformément à la procédure de gestion des incidents de sécurité [ titre ou lien vers la procédure].

Verrouillage de session

L’utilisateur doit verrouiller manuellement sa session dès qu’il s’éloigne, même temporairement, de son poste de travail.

Un verrouillage automatique de la session imposant un renouvellement contraint de l’authentification doit être mis en place sur détection d’inactivité.

La durée d’inactivité doit être de 5 minutes.

Pour les applications et systèmes sensibles, cette durée ne doit pas excéder 5 minutes.

Gestion des profils

Les règles suivantes s’appliquent à la gestion des profils :

  • Une liste des profils doit être définie par le service RH, disponible et maintenue à jour. Cette liste doit indiquer pour chaque profil les droits qui lui sont alloués ainsi que l’objet de ce profil (c’est-à-dire le rôle fonctionnel ou métier correspondant) ;
  • L’allocation des droits par profil doit appliquer le principe du moindre privilège, c’est-à-dire que les droits alloués doivent être limités aux seuls droits réellement nécessaires pour la fonction visée. L’allocation de droits permettant d’exercer des fonctions différentes ou plus larges doit être évitée ;
  • Toute nouvelle application ou ressource, toute évolution applicative impactant la gestion des droits doit déclencher la révision des profils et droits concernés. Les modifications doivent être approuvées par le manager du collaborateur concerné et par les responsables concernés préalablement à leur mise en application. La liste des profils doit refléter ces révisions ;
  • Toute création de profil doit faire l’objet d’une demande formelle et être approuvée par les responsables des ressources humaines ou des applications concernées.

Gestion des habilitations

Une habilitation correspond à l’allocation à un utilisateur de profils correspondant à ses métiers et rôles fonctionnels. Les règles suivantes s’appliquent aux habilitations :

  • Les demandes d’habilitation sont formalisées par les responsables de service. Elles sont effectuées par l’outil de ticketing (ou autre format) sous forme d’une demande informatique. Les responsables de service valident les demandes d’habilitation. Celles-ci sont conservées avec les preuves de leur validation ;
  • Toute habilitation est limitée à la durée du contrat liant l’utilisateur et [X] ;
  • Les habilitations doivent appliquer le principe du moindre privilège, c’est-à-dire que tout profil alloué à un utilisateur doit correspondre à un besoin métier. Toute allocation de profil « supérieur » doit faire l’objet d’une demande légitime et justifiée de la part du personnel et d’une validation de la part du responsable de service ;
  • Tout changement de poste, de fonction ou de métier doit impliquer une réévaluation des profils alloués à l’utilisateur ;
  • Toute demande d’attribution de compte administrateur local doit être soumise à la validation du service DSSI.

Afin de maintenir une gestion des droits d’accès adéquate aux besoins opérationnels, un suivi périodique doit être assuré dans le cadre de la revue des habilitations.

Gestion des accès

Les droits d’accès sont attribués à un utilisateur par le support en fonction des profils alloués à cet utilisateur et approuvés par le responsable de service et à partir de la liste des profils et droits associés. Le support assure les fonctions suivantes :

  • Création, désactivation, réactivation, suppression des identifiants ;
  • Attribution des mots de passe initiaux ;
  • Allocation des droits en fonctions des profils possédés par les utilisateurs ;
  • Vérification de la cohérence des droits accordés. L’administrateur de droits d’accès journalise ses actions et assure l’archivage des justificatifs pendant une durée minimale de [X] mois.

En vue de finaliser la procédure d’habilitation, il convient de vérifier la conformité des droits attribués au vu de la demande effectuée par le responsable de service.

Comptes à privilèges élevés

En raison de l’importance des droits détenus, les comptes à privilèges élevés nécessitent une vigilance particulière, impliquant de ce fait une gestion minutieuse en termes de protection et de mise à jour des droits d’accès.

Gestion des comptes à privilèges élevés

Les comptes à privilèges des systèmes sont dédiés aux administrateurs responsables de ces systèmes.

Gestion des comptes système génériques ou partagés

Rentrent dans la catégorie des comptes système les comptes tels que le compte « root » sous Unix, le compte « Administrateur » sous Windows, les comptes dédiés à l’administration de progiciels tels les SGBD, ticketing, etc. ou d’équipements. L’utilisation de tels comptes peut s’avérer indispensable pour réaliser certaines opérations d’administration et de supervision.

Les règles suivantes doivent être appliquées à ces comptes :

  • L’utilisation des comptes privilégiés partagés doit être limitée au strict nécessaire. L’utilisation de comptes système personnels doit être privilégiée.

Gestion des comptes système personnels

Les comptes système personnels sont des comptes à privilèges nominatifs.

Les règles ci-après doivent être appliquées :

  • Si possible, des comptes système nominatifs doivent être créés pour remplacer les comptes à privilèges génériques ou partagés ;
  • Les comptes systèmes nominatifs doivent être différents des comptes « bureautiques » de leur titulaire.

Gestion des comptes système réservés aux constructeurs

Il s’agit principalement de comptes destinés à l’installation ou à la maintenance des matériels et des logiciels.

Les règles ci-après doivent être appliquées :

  • Il est obligatoire de changer les mots de passe des comptes à privilèges lors de l’installation d’équipement tels que les imprimantes réseaux ou les logiciels ;
  • Les comptes système destinés à l’installation des produits doivent être supprimés, ou si impossible désactivés, dès l’installation des produits terminée ;
  • Les comptes système destinés à la maintenance doivent être désactivés en dehors des opérations de maintenance ou leur mot de passe changé dès la fin de toute opération de maintenance.

Authentification des comptes à privilèges élevés

Les règles ci-après doivent être appliquées :

  • Les mots de passe sont modifiés tous les 90 jours (Durée de vie) ;
  • Ils sont modifiés après toute intervention de maintenance ou utilisation temporaire du compte par un tiers (compte applicatif sur un système de production utilisé ponctuellement par une personne de la maîtrise d’œuvre, par exemple) ;
  • Pour chaque compte à privilège partagé, le mot de passe doit être changé dès qu’une personne utilisant ce compte sort de la liste des utilisateurs autorisés ;
  • Il convient d’assurer la confidentialité des mots de passe circulant sur le réseau : un protocole sécurisé doit être utilisé entre la base d’authentification et le poste de l’utilisateur ;
  • Il convient d’assurer la disponibilité des comptes à privilèges indispensables à l’administration d’un système ou d’une application critique : leurs mots de passe doivent être stockés dans un container sécurisé auxquels seuls les administrateurs concernés ont accès.

Traces et suivi

Une liste écrite des administrateurs ayant accès aux comptes à privilèges doit être établie et maintenue à jour.

Pour chaque compte à privilèges partagés, cette liste doit indiquer le responsable identifié et la liste des personnes ayant accès à ce compte.

[X] a mis en place un dispositif permettant la réception d’un courriel, à chaque ajout de membres à l’un des groupes d’administration. Toutes les demandes sont étudiées par la DSI et validées par la DSSI.

Une revue des accès et des habilitations logiques doit être effectuée tous les ans. Ainsi, la liste du personnel doit être comparée avec les différentes applications et systèmes utilisés pour vérifier que les accès et les habilitations correspondent aux personnes et à leurs attributions.

Les accès à privilèges sont revus conformément au [Plan de contrôle].

Contrôle d'accès physique au système d'information

Périmètres de sécurité

Un découpage du site en zones physiques de sécurité a été effectué.

Ces zones sont définies en fonction du besoin de sécurité des informations manipulées. Ainsi, les moyens de protection mis en œuvre dépendent de la sensibilité de la zone.

Il convient de distinguer :

  • Une zone publique, accessible à tous (l’accueil, salles de réunion clients et formations) ;
  • Une zone restreinte, où les collaborateurs manipulent des informations ou services sensibles (bureaux) ;
  • Une zone protégée, dont l’accès est limité aux seules personnes autorisées (salle serveurs).

Gestion des accès et sécurité physique des locaux

Les protections physiques des locaux doivent être dimensionnées en fonction des enjeux liés à la concentration des moyens et données abrités.

Zone publique : Accueil, salles de réunion clients et formations

La zone publique est accessible sans restriction, aux heures et jours ouvrés.

Un système d’accueil des visiteurs, prestataires ou tout autre intervenant externe est mis en place. Celui-ci doit se présente à l’accueil, décliner son identité ainsi que la personne visitée. L’accueil lui présente et lui fait remplir le registre des visiteurs puis contacte la personne visitée qui accompagnera le visiteur dans les locaux.

Les livraisons et chargements sont effectués dans cette zone sous le contrôle d’un personnel [X].

Zone restreinte : Bureaux

L’accès à la zone restreinte repose, sur un dispositif de contrôle d’accès physique de type lecteur d’empreinte digitale ou badge limitant l’accès aux seules personnes autorisées, collaborateurs [X] ou prestataires. Les droits d’accès sont gérés administrativement.

Les visiteurs, prestataires ou intervenants externes suivent la procédure relative aux visiteurs décrite dans [RGPD].

Zone protégée : Salle serveurs

L’accès à cette zone se fait via une clé ou un badge, et n’est donc accessible que par des personnes spécifiques et identifiées.

Le personnel autre, mais néanmoins appelé à y intervenir (maintenance du matériel par exemple) le fait systématiquement sous la surveillance permanente d’une personne habilité à accéder à cette zone.

Une revue des accès et des habilitations physiques doit être effectuée tous les six mois. Ainsi, la liste du personnel doit être comparée avec la liste présente dans l’outil de gestion de la sécurité physique pour vérifier que les accès et les habilitations correspondent aux personnes et à leurs attributions.