Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Gestion des identités et des accès À propos des guides pratiques d’audit des te

Gestion des identités et des accès À propos des guides pratiques d’audit des technologies de l’information Élaboré par l’Institute of Internal Auditors (IIA), chaque guide est rédigé dans des termes simples et traite d’un thème d’actualité qui a trait à la gestion, le contrôle et la sécurité des TI. Cette série de guides constitue un précieux outil pour les responsables de l’audit interne, qui peuvent ainsi s’informer sur les différents risques induits par la technologie et sur les pra- tiques recommandées. Guide 1 : Les contrôles des systèmes de l’information Guide 2 : Contrôles de la gestion du changement et des patchs : un facteur clé de la réussite pour toute organisation Guide 3 : Audit continu : répercussions sur l’assurance, le pilotage et l’évaluation des risques Guide 4 : Management de l’audit des systèmes d’information Guide 5 : Le management et l’audit des risques d’atteinte à la vie privée Guide 6 : Gérer et auditer les vulnérabilités des technologies de l’information Guide 7 : L’infogérance Guide 8 : Audit des contrôles applicatifs La série complète peut être téléchargée sur le site Web de l’IIA : www.theiia.org/technology. Copyright © 2007 par l’Institute of Internal Auditors, 247 Maitland Ave., Altamonte Springs, FL 32701-4201, États-Unis. Tous droits réservés. Aucune partie de cette publication ne peut être repro- duite, stockée dans un système de consultation ou transmise sous quelque forme que ce soit, ni par aucun moyen (électronique, mécanique, reprographie, enregistrement ou autre) sans autorisation écrite préalable de l’éditeur. L’IIA publie ce document à titre informatif et pédagogique. Cette publication entend donner des infor- mations, mais ne se substitue en aucun cas à un conseil juridique ou comptable. L’IIA ne fournit pas ce type de service et ne garantit, par la publication de ce document, aucun résultat juridique ou comptable. En cas de problèmes juridiques ou comptables, il convient de recourir à l’assistance de professionnels. Gestion des identités et des accès Chef de projet Sajay Rai, Ernst &Young LLP Auteurs Frank Bresz, Ernst &Young LLP Tim Renshaw, Ernst &Young LLP Jeffrey Rozek, Ernst &Young LLP Torpey White, Goldenberg Rosenthal LLP Novembre 2007 GTAG — Table des matières 1. RÉSUMÉ .................................................................................................................................................... 1 2. INTRODUCTION .................................................................................................................................... 2 2.1 Facteurs opérationnels déterminants ............................................................................................... 2 2.2 Concepts relatifs à la gestion des identités et des accès .................................................................. 4 2.3 Risques liés à la gestion des identités et accès ................................................................................. 4 3. DÉFINITION DES PRINCIPAUX CONCEPTS .................................................................................. 6 3.1 Gestion des identités et gestion des habilitations ........................................................................... 7 3.2 Éléments de la gestion des identités et des accès ............................................................................ 7 3.3 Droits d’accès et habilitations ........................................................................................................... 7 3.4 Provisionnement ................................................................................................................................ 8 3.5 Administration des identités et des droits d’accès ........................................................................ 10 3.6 Mise en place des processus ............................................................................................................ 11 3.7 Recours aux technologies pour la gestion des identités et des accès ........................................... 12 4. LE RÔLE DES AUDITEURS INTERNES ........................................................................................... 14 4.1 Processus de gestion des identités et des accès actuels ................................................................ 14 4.2 Audit du programme de gestion des identités et des accès .......................................................... 16 ANNEXE A : LISTE DE CONTRÔLE PORTANT SUR LES REVUES DE LA GESTION DES IDENTITÉS ET DES ACCÈS ................................................................................................................. 19 ANNEXE B : INFORMATIONS SUPPLÉMENTAIRES ............................................................................. 24 GLOSSAIRE ...................................................................................................................................................... 25 À PROPOS DES AUTEURS ............................................................................................................................ 26 Sommaire GTAG — Résumé 1 1. Résumé La gestion des identités et des accès (IAM, Identity and Access Management) consiste à déterminer qui a accès à quelle information sur une période donnée. Il s’agit d’une activité transversale qui suppose la création d’identités, diffé- rentes pour les individus et les systèmes, associées à des comptes dans les systèmes et les applications. Les processus de gestion des identités et des accès permettent d’initialiser, d’identifier, d’enregistrer et de gérer les identités des utilisateurs et les droits d’accès aux infor- mations exclusives de l’organisation qui leur sont associées. Les utilisateurs ne se limitent pas forcément aux employés de la société mais peuvent inclure, entre autres, les fournis- seurs, les clients, les machines fixes, les comptes administra- teur génériques et les badges électroniques d’accès physique. La gestion des identités et des accès se base sur les moyens utilisés par l’organisation pour faciliter l’administration des comptes utilisateur et mettre en œuvre des contrôles effi- caces pour assurer la sécurité des données. Même si de nombreux dirigeants estiment que la gestion des identités et des accès relève de la direction des systèmes d’informations (DSI), elle concerne en fait toutes les direc- tions métiers de l’entreprise. La direction générale doit avoir l’assurance qu’il existe une procédure de gestion des accès aux ressources de l’entreprise et que les risques associés ont été pris en compte. Les directions métiers ont besoin de savoir ce qu’est la gestion des identités et des accès et comment la gérer efficacement. Et, la DSI doit comprendre en quoi la gestion des identités et des accès peut étayer des processus de l’entreprise. Ainsi, elle pourra fournir des solu- tions solides afin d’atteindre les objectifs de l’entreprise sans l’exposer à des risques inutiles. Pour satisfaire ces différentes exigences, il faut bien comprendre les concepts fondamentaux de la gestion des identités et des accès. Il faut également obtenir des informations des respon- sables métiers et informatiques pour se faire une idée de l’état actuel des processus de gestion des identités et des accès en place dans l’entreprise. Ensuite, il sera possible d’élaborer une stratégie en fonction du niveau d’adéquation entre les processus existants et les objectifs d’affaires de l’organisation, sa tolérance au risque et ses besoins. Cette stratégie de gestion des identités et des accès est élaborée en fonction des thèmes suivants : • les risques associés à la gestion des identités et des accès et la manière dont ils sont gérés ; • les besoins de l’organisation ; • les modalités d’approche de la gestion des identités et des accès au sein de l’organisation et les caractéris- tiques d’un processus de gestion des identités et des accès efficace ; • les processus d’identification des utilisateurs et le nombre d’utilisateurs au sein de l’organisation ; • les processus d’authentification des utilisateurs ; • les droits d’accès accordés aux utilisateurs ; • l’identification des accès non autorisés aux ressources informatiques ; • le processus de suivi et d’enregistrement de l’activité des utilisateurs. À mesure que l’entreprise évolue, elle doit adapter son système de gestion des identités et des accès. La direction générale doit veiller à ce que les changements ne rendent pas le processus de gestion des identités et des accès trop rigide ou ingérable et qu’il n’expose pas l’organisation à des risques inutiles liés à une mauvaise utilisation des ressources informatiques. Rôle des auditeurs internes Comme la gestion des identités et des accès concerne tous les niveaux de l’organisation, depuis l’accès à la porte principale d’un bâtiment jusqu’à la récupération des données bancaires et financières de l’organisation, les responsables de l’audit interne sont amenés à identifier les moyens mis à la disposition de l’organisation pour rendre plus efficace le contrôle des accès, afin de mieux appréhen- der le rôle actuel de la gestion des identités et des accès. Dans un premier temps, pour contrôler efficacement les accès, le management doit identifier les points d’entrée physiques et logiques. Des processus de gestion des identi- tés et des accès insuffisants ou peu contrôlés peuvent entraî- ner des violations de la réglementation et empêcher l’entreprise de détecter les cas de détournement de ses données. Il est donc important que le responsable de l’audit interne soit impliqué dans l’élaboration de la stratégie de gestion des identités et des accès de l’organisation. Il apporte un point de vue original sur la façon dont les processus de gestion des identités et des accès peuvent renforcer l’effica- cité des contrôles d’accès tout en aidant les auditeurs à mieux appréhender le fonctionnement de ces contrôles. L’objectif de ce GTAG est d’aider à comprendre le rôle de la gestion des identités et des accès pour l’organisation et de suggérer les points à approfondir lors d’un audit interne. Outre une participation au développement de la stratégie de gestion des identités et des accès, il incombe au responsable de l’audit interne de se renseigner auprès des responsables métiers et informatiques que les processus de gestion des identités et des accès déjà en place sont gérés. Ce document ne prétend pas être la référence absolue en la matière, mais il peut aider le responsable de l’audit interne et les auditeurs internes à comprendre, analyser et surveiller les processus de gestion des identités et des accès de leur organisation. GTAG — Introduction 2 2. Introduction Depuis des années, les organisations sont confrontées à la difficulté de gérer les identités et les authentifiants qui permettent d’accéder aux ressources technologiques. Cette question, auparavant simple et limitée au centre de données, s’est transformée pour les organisations de toute taille en une problématique de plus en plus vaste et complexe. Ainsi, de nombreuses grandes organisations sont inca- pables de gérer efficacement les identités et les droits d’accès accordés aux utilisateurs, en particulier dans les envi- ronnements informatiques distribués. Depuis quelques années, la DSI crée des groupes d’administration système pour gérer uploads/Management/gtag-9-gestion-des-identites-et-des-acces.pdf