Access control
Gérer l’accès aux données et aux systèmes d’information est l’un des aspects les plus complexes de la sécurité de l’information. Le contrôle d’accès est généralement abordé à travers les concepts d’identification, d’authentification, d’autorisation et de responsabilité (IAAA).
Avec un identifiant unique attribué à chaque individu, dispositif ou processus ayant accès à un système, il est possible de tracer et d’enregistrer l’activité de chaque utilisateur, offrant ainsi la possibilité d’une enquête spécifique en cas de problème. L’identification se fait généralement à travers un identifiant utilisateur, un numéro de compte client, un numéro d’identification de l’employé ou tout autre élément unique. Le partage des identifiants utilisateurs devrait être interdit, et les professionnels du risque devraient s’assurer que le processus d’émission d’un identifiant utilisateur pour un employé est raisonnablement sûr et requiert une autorisation appropriée.
L’authentification est le processus de validation d’une identité une fois qu’elle a été présentée. Le but de l’authentification est de garantir qu’une personne ne puisse pas falsifier une identité ou usurper celle d’un autre utilisateur, ce qui inclut la prévention du partage d’une même identité par plusieurs personnes.
L’authentification à facteur unique est rarement considérée comme suffisamment robuste pour protéger à elle seule les systèmes d’information modernes. En combinant plusieurs types d’authentification lors du processus de connexion, les organisations peuvent mettre en place une authentification forte, difficile à compromettre dans un délai raisonnable. Cela peut inclure l’utilisation d’un mot de passe associé à une carte à puce, un indicateur biométrique combiné à un code généré par un smartphone, ou une combinaison de ces trois facteurs.
Lorsqu’un utilisateur s’est correctement authentifié, le système doit lui fournir les niveaux d’accès appropriés. Les autorisations correspondent aux privilèges et permissions que la personne possède, qui peuvent inclure la lecture seule, l’écriture seule, la lecture/écriture, la mise à jour, la suppression ou le contrôle total des données. Les permissions peuvent s’appliquer à un fichier ou à un dossier. L’application correcte du principe du moindre privilège est essentielle pour garantir que les employés n’aient que le niveau d’accès nécessaire à l’exécution de leurs fonctions.
L’autorisation est généralement accordée uniquement pour une période de temps limitée, qui peut être une durée fixe avant expiration ou une période définie pendant laquelle les permissions sont nécessaires. Par exemple, l’accès à un bâtiment, un réseau ou une application peut être autorisé uniquement pendant les heures de travail ; en dehors de ces horaires, l’accès n’est pas permis, même avec un compte valide.
La dernière partie du modèle IAAA est la responsabilité (accountability). Cette action, généralement réalisée à travers l’audit, repose sur l’enregistrement par les systèmes de l’activité, de manière à indiquer les identifiants utilisateurs responsables des actions. L’efficacité des mesures de responsabilité dépend à la fois de l’unicité des identifiants utilisateurs, de l’efficacité des méthodes d’authentification, ainsi que de la garantie que les journaux soient protégés contre toute modification ou altération.
Comment gérez-vous l’accès à vos systèmes ?
Avec un identifiant unique attribué à chaque individu, dispositif ou processus ayant accès à un système, il est possible de tracer et d’enregistrer l’activité de chaque utilisateur, offrant ainsi la possibilité d’une enquête spécifique en cas de problème. L’identification se fait généralement à travers un identifiant utilisateur, un numéro de compte client, un numéro d’identification de l’employé ou tout autre élément unique. Le partage des identifiants utilisateurs devrait être interdit, et les professionnels du risque devraient s’assurer que le processus d’émission d’un identifiant utilisateur pour un employé est raisonnablement sûr et requiert une autorisation appropriée.
L’authentification est le processus de validation d’une identité une fois qu’elle a été présentée. Le but de l’authentification est de garantir qu’une personne ne puisse pas falsifier une identité ou usurper celle d’un autre utilisateur, ce qui inclut la prévention du partage d’une même identité par plusieurs personnes.
L’authentification à facteur unique est rarement considérée comme suffisamment robuste pour protéger à elle seule les systèmes d’information modernes. En combinant plusieurs types d’authentification lors du processus de connexion, les organisations peuvent mettre en place une authentification forte, difficile à compromettre dans un délai raisonnable. Cela peut inclure l’utilisation d’un mot de passe associé à une carte à puce, un indicateur biométrique combiné à un code généré par un smartphone, ou une combinaison de ces trois facteurs.
Lorsqu’un utilisateur s’est correctement authentifié, le système doit lui fournir les niveaux d’accès appropriés. Les autorisations correspondent aux privilèges et permissions que la personne possède, qui peuvent inclure la lecture seule, l’écriture seule, la lecture/écriture, la mise à jour, la suppression ou le contrôle total des données. Les permissions peuvent s’appliquer à un fichier ou à un dossier. L’application correcte du principe du moindre privilège est essentielle pour garantir que les employés n’aient que le niveau d’accès nécessaire à l’exécution de leurs fonctions.
L’autorisation est généralement accordée uniquement pour une période de temps limitée, qui peut être une durée fixe avant expiration ou une période définie pendant laquelle les permissions sont nécessaires. Par exemple, l’accès à un bâtiment, un réseau ou une application peut être autorisé uniquement pendant les heures de travail ; en dehors de ces horaires, l’accès n’est pas permis, même avec un compte valide.
La dernière partie du modèle IAAA est la responsabilité (accountability). Cette action, généralement réalisée à travers l’audit, repose sur l’enregistrement par les systèmes de l’activité, de manière à indiquer les identifiants utilisateurs responsables des actions. L’efficacité des mesures de responsabilité dépend à la fois de l’unicité des identifiants utilisateurs, de l’efficacité des méthodes d’authentification, ainsi que de la garantie que les journaux soient protégés contre toute modification ou altération.
Comment gérez-vous l’accès à vos systèmes ?
Commentaires
Enregistrer un commentaire