La restriction de l’accès n’est pas suffisante pour empêcher un acteur malveillant de s’introduire dans les systèmes. Comment les entreprises peuvent-elles donc mieux gérer leurs comptes d’utilisateurs (à privilèges, administrateurs, clients, maintenance…), contrôler l’accès et surveiller les actions d’accès non autorisées ? C’est maintenant le moment d’examiner vos politiques de sécurité et votre système de contrôle d’accès afin de vous assurer qu’ils répondent bien à vos besoins et qu’ils sont conformes aux normes internationales de sécurité.
Règle N° 1 : Dotez votre entreprise d’un système de sécurité efficace
Votre entreprise doit se doter d’un système de sécurité qui utilise des niveaux de sécurité qui sont adaptés à chaque environnement de travail et à chaque fonction. Pour cela, il est nécessaire d’identifier vos données sensibles et d’évaluer vos activités en termes d’exigences de sécurité.
Par ailleurs, la réalisation d’une analyse annuelle du système de contrôle d’accès est une étape critique dans la création d’un processus systématique d’évaluation de la sécurité de votre organisation et c’est le principe de la meilleure pratique qui fournit un cadre pour toutes les autres règles qui vont suivre dans cet article.
Règle N° 2 : Implémentez un système d’authentification fort (minimum à trois facteurs)
Pour sécuriser l’accès aux sources d’informations de l’entreprise et s’assurer qu’un utilisateur est bien celui qu’il prétend être. Pour certaines activités critiques, il est fortement conseillé de mettre en œuvre au moins 3 techniques de pré-authentification. Certes, l’authentification à deux facteurs (mot de passe et carte à puce ou token…) peut protéger sur le périmètre de travail, mais elle doit être associée à des couches supplémentaires de sécurité en matière d’authentification en dehors. On utilise par exemple une reconnaissance avec un mot de passe, une smartcard et une caractéristique personnelle comme une empreinte digitale ou d’autres facteurs pour s’assurer plus sur l’identité de l’utilisateur qui est autorisé à accéder à une source de données quelconque. Cela augmente la protection contre la violation de données et contre toute attaque extérieure qui pourrait menacer l’intégrité de l’organisme.
Règle N° 3 : Si vous n’avez pas besoin de travailler avec cela, vous ne devriez pas y avoir accès
C’est bien naturel de n’affecter aux utilisateurs, quelles que soient leurs fonctions, que les droits d’accès dont ils auront besoin, ni plus ni moins. Ce qu’on appelle en anglais Doctrine of Least Access : Les auditeurs ont toujours recours à cette philosophie pour bien définir les contrôles d’accès et restreindre au minimum les droits du personnel IT, administration, maintenance et auxquels s’ajoutent les clients ou les fournisseurs en cas d’existence. En particulier, il faut contrôler le plus les accès des employés informatiques puisqu’ils disposent généralement des droits d’accès qui peuvent engendrer un maximum de dégâts en cas d’utilisation frauduleuse. Nombreuses sont les entreprises qui ont été victimes d’une action interne malveillante provenant d’un personnel IT et qui par la suite l’ont payé cher.
Règle N° 4 : Surveillez les activités des comptes
Il est conseillé de suivre une réalisation régulière des revues de comptes sur le périmètre des directions, incluant l’identification des comptes contrôlés, les comptes en anomalie et le contrôle de la correction des anomalies (comptes orphelins, à privilèges, comptes dormants, etc.). Votre plan d’action va se baser sur une revue d’habilitation qui permet de valider si le profil a des droits en accord avec sa fonction, si le profil est toujours en activité et si la politique des mots de passe suivie est conforme à la politique de sécurité (exemple : Transmission du mot de passe, changement du mot de passe lors de la première connexion, déblocage ou réinitialisation par un administrateur dûment habilité, complexité des mots de passes, etc.). La correction des anomalies doit être immédiate ; il faut demander des dérogations ou suppression du compte.
Règle N° 5 : Sensibilisez de façon permanente vos employés
Il suffit qu’un seul employé ouvre une pièce jointe infectée par un virus malveillant pour être victime d’une attaque de phishing et permettre aux attaquants de s’introduire dans votre réseau. Vous devriez impérativement programmer des séances de sensibilisation pour l’ensemble du personnel et leur faire comprendre les enjeux de la sécurité informatique pour l’entreprise et pourquoi pas présenter des exemples pratiques pour éviter de tomber dans de tels incidents. Il faut sensibiliser également vos partenaires / fournisseurs et clients en cas d’existence, dont généralement impliquent différentes exigences d’accès et différents niveaux de confiance.
Loubna