Nous vous proposons de faire un état des lieux des droits et accès de vos utilisateurs aux applications sensibles de votre entreprise.

Qui a accès à quoi et de quelle façon ?

 

Un des axes stratégiques actuels d’améliorations du système d’information consiste dans la définition et la mise en œuvre d’une politique de sécurité adaptée.

C’est un des points sensibles qui ressort régulièrement des études effectuées sur l’informatique, telle que celle présentée en octobre 2009 par la CNIL.

Dans ces études, la problématique de la gestion des droits des utilisateurs et de leur accès aux applications (où plus généralement aux ressources applicatives) est pointée du doigt.

 

La problématique

Comment arriver à visualiser et donc à administrer correctement ces données, sachant que chaque ressource possède ses particularités et ses propres règles de gestion de compte ?

Comment éliminer les écueils, tels que les comptes génériques ou les droits hérités incontrôlés, si l’on n’a pas les moyens d’avoir une vue précise et centralisée des habilitations ?

Nous proposons donc aux DSI une prestation d’audit des habilitations.

Cet audit offre, au travers d’un référentiel d’annuaires commun, une vision globale des droits et accès des personnels aux ressources applicatives critiques de l’entreprise.

Cette prestation s’adapte aux spécificités et aux besoins de chaque client, pour lui offrir à l’instant "T" une cartographie précise des habilitations des utilisateurs.

la solution

Déceler les failles de votre système pour que vous puissiez mettre en place les solutions correctives adaptées : voilà notre priorité !

Cette prestation s’articule autour de plusieurs étapes :

Le référentiel d'annuaire

Deux cas de figures possibles :

1/ Vous possédez déjà un annuaire de référence dans votre entreprise.

Le consultant n’a alors qu’à vérifier, en collaboration avec la personne en charge de sa gestion, la bonne cohérence de ses données, sa structure et le moyen d’y accéder.

Il récupère alors les informations nécessaires à la prestation.

2/ Il n’existe pas d’annuaire unifié dans votre structure.

La tache du consultant consiste alors à identifier l’ensemble des sources à même de permettre sa création, leur structure et le moyen d’y accéder. Ces sources peuvent être extrêmement diverses.

Il est possible de récupérer les annuaires de type :

• Entreprise: Active Directory, LDAP, AS400,
• Messagerie : IBM Lotus Notes, Microsoft Exchanges,
• Direction du Personnel,
• ...
  

La récupération de ces informations peut être faite directement par connexion ODBC, ou par intégration de fichiers d’extraction.
Une fois, l’annuaire utilisateurs de référence établi, son contenu doit être validé par le client.

Les cibles applicatives

Chaque client doit déterminer en fonction de ses besoins et de sa politique de sécurité les applications, ou plus généralement les ressources applicatives, qui feront parti de cet audit des habilitations.

Cette liste est validée par le client.

Les habilitations

Le consultant, en collaboration avec chaque responsable d’application ou de ressource applicative, effectue une étude précise de chacune des cibles.

Il détermine l’information à récupérer, les moyens d’accès à celle-ci et les nomenclatures utilisées qui serviront ensuite à établir les règles de réconciliation.

Ce travail effectué, les données sont récupérées et consolidées.

La réconciliation

Le consultant arrive alors dans une des étapes sensibles de l'audit des habilitations.

Les données qui viennent d’être récupérées doivent subir, suivant les sources, un travail spécifique de retraitement qui a pour objectif d’homogénéiser l’information et de permettre un rapprochement de chaque habilitation vers son utilisateur dans l’annuaire référence établi dans l’étape n °1.

Ce processus permet de ne faire ressortir que quelques cas nécessitant un deuxième traitement spécifique adapté.

Au final, il ne reste qu’à traiter les derniers cas n’ayant aucune clé de rapprochement possible.

Le consultant et le responsable applicatif les gèrent directement pour les rapprocher de leur utilisateur.

L'analyse des données

Ce stade ultime de l’audit permet au consultant de vous présenter le résultat attendu. Vous avez alors une vision précise des habilitations de votre système d’information. Vous identifiez l’ensemble des failles liées à cette problématique.

Ces failles peuvent être de type :

• droits excessifs,
• comptes périmés encore actifs,
• comptes génériques,
  
• comptes systèmes non sécurisés.

Vous disposez d’un rapport d’audit détaillé qui vous propose un ensemble complet de rapports :

• impression par utilisateur des droits et accès,
  
• impression par ressource.

Nous mettons également à votre disposition un portail d’analyse des résultats.

Celui-ci vous permet de d’effectuer des recherches détaillées grâce à la mise à disposition d’un ensemble de requêtes dédiées.

Vous obtenez ainsi des informations sous forme de liste ou de graphiques.

 

---

Pour un complément d'information, n'hésitez pas à nous contacter à: contacts@apsynet.fr.