Un Logiciel Pour Faire Une Revue Des Comptes Et Des Habilitations
C'est le cheval de bataille du directeur de l'ANSSI: l'hygiène informatique. Et parmi les règles élémentaires de sécurité à appliquer pour réduire les risques figure la limitation des droits d'accès sur le système d'information. La question n'est toutefois pas tant de limiter ces droits de l'utilisateur que de les adapter afin qu'ils correspondent aux besoins de son activité dans l'entreprise. Mais ce passage en revue des habilitations des utilisateurs du SI ne tient pas forcément de la promenade de santé, en particulier dans les environnements hétérogènes, legacy et décentralisés. Dans le domaine des habilitations, et peut-être plus globalement de la sécurité informatique, le « poids de l'existant » porte souvent bien son nom. Revue des habilitations de la. Le RSSI de l'assureur SMABTP, Philippe Fontaine peut en témoigner. SMABTP: besoin de visibilité sur les habilitations La SMABTP emploie 3. 000 personnes (salariés et prestataires) répartis sur environ 80 sites. Côté infrastructure, et comme souvent dans l'assurance, le mainframe est encore bien présent.
Revue Des Habilitations 1
Pour être efficace, une revue doit donc gagner l'adhésion des métiers, pour qui la sécurité n'est pas toujours la priorité. Pour cela, il faut leur simplifier la tâche au maximum en leur proposant des solutions adaptées et ergonomiques. Par exemple l'utilisation de fichiers Excel volumineux, sources d'erreurs et de complexité, n'est clairement pas la solution à privilégier, pour des raisons évidentes d'ergonomie et de traçabilité. Revue des habilitations tv. Un effort devra également être porté sur la sensibilisation à la sécurité afin que les collaborateurs prennent conscience que cette étape de validation des droits est un élément fondamental dans la protection des données de leur entreprise. La communication sera un levier clé pour la bonne adhésion de tous les services. Il est primordial pour le gestionnaire de la recertification de bien expliquer les enjeux de la démarche, de son intérêt. Industrialiser la revue d'habilitation La revue des habilitations peut s'avérer complexe et particulièrement laborieuse lorsqu'elle est effectuée manuellement.
Revue Des Habilitations Tv
Pour boucler Nice V1, la banque a donc dû travailler sur un modèle d'habilitations. Un modèle statistique, basé sur les systèmes de la souche, a été modélisé grâce à K-Audit de Kleverware. Cette représentation a ensuite servi de base aux discussions avec les métiers des caisses régionales impliquées, afin ainsi de formaliser le système d'habilitations amené à devenir le standard. « L'outil a été utilisé pour impliquer fortement les métiers aux travaux sur les habilitations afin qu'ils s'associent à cette problématique et aux orientations prises. D'autre part, nous avions l'ambition d'aller extrêmement vite sur la convergence compte tenu des enjeux économiques [Ndlr: Nice est évalué à 1 million de jours/hommes] (…) Nous avons l'ambition de mener un projet d'IAM sur Nice v2, et ce travail est un peu l'antichambre de l'IAM » considère le RSSI. Habilitations à diriger des recherches et thèses déposées en 2014 | Cairn.info. Propos recueillis en octobre 2011 à l'occasion des Assises de la sécurité de Monaco.
Revue Des Habilitations De La
Cela se traduit par une certaine hétérogénéité avec des systèmes Windows, AS400, zOS et Unix. Pour des raisons de conformité, SMABTP souhaitait contrôler les habilitations sur le système d'information. La finalité était ainsi de s'assurer que chaque collaborateur avait les droits nécessaires et suffisants pour exercer son activité au sein du groupe. Comment la CNAV industrialise la revue des habilitations. Y parvenir supposait toutefois la production « des listes d'habilitations et de s'appuyer sur des correspondants informatiques locaux. On avait imaginé s'appuyer sur eux pour valider les habilitations, pour chaque individu - collaborateur ou prestataire-, auprès de son responsable hiérarchique » relate Philippe Fontaine. La mise en œuvre se heurte à la complexité. Pour établir ces listes d'habilitations, il était nécessaire en effet de « récupérer les données au niveau des différents systèmes et annuaires et de faire des extractions sur des applications métiers qui vont nous sortir des listes en différents formats. En tout une vingtaine de sources différentes » chiffre le RSSI.
Une fois que vous avez ces 2 listes, il suffit de déterminer les associations et de détecter les éventuelles anomalies (ou de constater que tout est correct, ce qui n'arrive jamais). Avec Youzer, en un clic vous exportez la liste de associations et vous pouvez fournir aux auditeurs la preuve que vous suivez correctement les différents comptes avec un outil adhoc.
Afin de répondre aux besoins d'analyse de manière quasi immédiate et fiable, il est préférable d'industrialiser ce processus en s'appuyant sur les bons outils et une méthodologie rigoureuse. Une solution adaptée permettra de disposer d'une vue centralisée des droits, d'avancer de façon itérative (selon la criticité des applications ciblées, les impératifs métiers ou réglementaires, etc. ), d'assurer un historique des revues effectuées et de garantir la traçabilité des actions menées, éléments indispensables de la conformité. Revue des habilitations 1. Il sera alors simple et rapide de présenter les preuves nécessaires en cas d'audit. Une fois la recertification effectuée, un outil complet s'intégrera avec les solutions d'IAM de l'entreprise afin de lancer les processus de remédiation permettant de corriger les anomalies remontées. C'est en industrialisant les revues d'habilitations que l'entreprise réduira grandement le risque d'erreur et s'assurera un contrôle régulier au plus proche de la réalité. Les processus de contrôle seront simples et fluides et la charge associée considérablement réduite.