La revue des droits d’accès est une étape importante dans la stratégie de contrôle et de gouvernance des accès.
Elle consiste à s’assurer que les droits d’accès des utilisateurs soient conformes à la politique de sécurité Microsoft 365 d'une entreprise ainsi qu'à la légitimité des activités de l’utilisateur.
Cependant mettre en place et piloter des campagnes de revue de droits peut s’avérer complexe. Revenons sur 3 problématiques rencontrées par les entreprises lors d'une revue de droits Microsoft:
Une des premières difficultés rencontrées est la planification d’une campagne. Les entreprises doivent analyser leurs données, définir un périmètre et paramétrer la campagne de revue de droits.
Face au volume d’informations, et de droits d’accès à revoir, il peut être compliqué pour les entreprises d’analyser les informations ou d’avoir une vue claire sur la démarche de priorisation des risques (les droits associés à des comptes à privilège, lesquels ont des anomalies, qui doit revoir ces accès).
Et pourtant c’est à partir de cette analyse que la campagne de recertification pourra être paramétrée : ciblage, durée, périodicité, ressources, …
Après avoir défini le périmètre, il faut être capable de contacter les propriétaires des données. Ils pourront alors réviser les droits eux-mêmes. Là encore, l'identification des propriétaires sur des milliers de groupes on-premise peut compliquer la mise en œuvre d’une campagne.
Pour paramétrer et lancer la campagne de revue de droits, Microsoft propose quelques outils comme Microsoft Access Reviews ou encore SharePoint Data Governance.
Découvrir le replay de notre webinar, animé par Thibault Joubert, MVP Microsoft : Gestion des partages externes - les fonctions pour la revue des partages dans Microsoft
Cependant, ils ne sont pas optimisés pour lancer des campagnes de recertification massives et le processus de revue des droits n’est pas fluide pour l’utilisateur.
« Le Cloud change la donne sur la gouvernance et nous pousse à étendre notre outillage, à nous appuyer sur des solutions expertes » Eric Vautier, RSSI du Groupe ADP.
L’automatisation et l’industrialisation des revues de droits va permettre de réduire plus rapidement les risques sur un accès malveillant ou un partage illégitime.
Pour cela, il est nécessaire de s’équiper d’un outil spécialisé proposant une interface unique pour fluidifier l’ensemble du processus de revues de droits et gagner du temps sur le pilotage de la campagne. Les informations sont ainsi centralisées réduisant les risques d’erreurs manuelles et favorisant la fiabilité des résultats obtenus.
IDECSI a développé un outil de recertification, MyDataSecurity, qui résout les contraintes de volumétrie et de complexité dans les processus de revue de droits, permettant de maintenir dans le temps la sécurité des données.
Les administrateurs disposent d’une plateforme pour planifier des campagnes de recertification simplement et rapidement.
Une fois la campagne de revue de droits lancée, les propriétaires des données doivent être engagés dans le processus. C’est une étape essentielle, car les équipes métiers sont les plus à même de réviser les données et les gouverner dans le temps.
Pour les intégrer dans le processus, il faut soigner la communication, la qualité des informations retranscrites et simplifier la correction. En effet, un utilisateur qui ne comprend pas les informations qui lui sont transmises ne prendra pas la peine de les valider ou de les revoir.
Chaque utilisateur doit être identifié et être informé de manière claire et précise sur ce qu’on attend de lui et quel est l’intérêt de son action. Il est important de les sensibiliser à la démarche pour un engagement sérieux de tous les acteurs.
C'est pourquoi, mettre en place des revues de droits régulières permet d’assurer un processus de revalidation des accès et partages des contenus échangés. L’utilisateur pourra confirmer si l’action est bien conforme ou aider à identifier une anomalie et valider ou non la compromission.
IDECSI a développé une plateforme simple et intuitive pour les utilisateurs pour améliorer la gouvernance des données : MyDataSecurity.
La dernière problématique rencontrée sur les campagnes de revues de droits est le suivi des corrections dans le temps.
Pour vérifier que les objectifs de la revue ont été atteint ou pour répondre aux exigences de conformité, il faut être capable de démontrer que des actions correctives ont bien été mises en œuvre sur les problèmes identifiés.
Il est indispensable de définir des KPI clairs et de mettre en place un tableau de bord résumant les actions menées et permettant le suivi des actions dans le temps.
Quelques exemples de KPIs à suivre :
Ces éléments vont déterminer si des actions supplémentaires doivent être programmées comme des relances auprès des propriétaires de données.