Contrôle des accès utilisateurs
Le contrôle d'accès consiste à déterminer les activités autorisées des utilisateurs légitimes, y compris les employés et les sous-traitants, en intervenant dans les tentatives des utilisateurs d'accéder à une ressource dans un système.
Le Groupe Altus conçoit nos configurations de contrôle d'accès pour éviter la fuite d'autorisations vers des entités/utilisateurs non autorisés.
L'accès aux systèmes et aux données est explicitement fourni selon le principe du moindre privilège.
L'accès est mis en œuvre selon le principe de séparation des tâches.
Les utilisateurs doivent s'authentifier avant d'accéder aux ressources réseau ou aux systèmes hôtes.
L'autorisation d'accès est fournie par une autorité centrale de confiance.
Les autorisations d'accès sont définies à l'aide de Role-Based-Access-Control (RBAC) ou équivalent.
Les tentatives d'accès aux systèmes et aux données de l'entreprise sont enregistrées.
L'accès non autorisé est empêché grâce à une protection appropriée au niveau du réseau et à un contrôle d'accès.
L'accès des utilisateurs du Groupe Altus est fourni via un système de provisionnement de comptes intégré à la base de données interne du groupe Altus.
Les privilèges d'accès sont accordés en fonction des rôles professionnels et, le cas échéant, nécessitent l'approbation de la direction.
Attribuez des droits d'accès en fonction des besoins de l'entreprise.
L'accès privilégié est attribué avec soin et avec le moins de privilèges requis.
Les droits sont révoqués lorsqu’il n’y a plus de besoin commercial pour l’employé ou l’entrepreneur d’avoir accès.
Des procédures de connexion sécurisées pour contrôler l'accès aux applications et aux systèmes, y compris l'authentification multifacteur (MFA) sont appliquées.
Le contrôle d'accès privilégié est mis en œuvre de manière à ce que l'accès aux fonctions et systèmes privilégiés soit limité au personnel autorisé uniquement et que l'accès privilégié soit fourni conformément au principe du besoin de savoir et du principe du moindre privilège.
Nos contrôles de demande d’accès et d’approvisionnement sont conçus pour éviter la divulgation non autorisée de données.
Le provisionnement des accès est considéré comme un processus sensible nécessitant de la vigilance et suivant un processus établi.
La demande d'accès à un actif et son approbation est un processus formel documentant les attentes, l'approbation, la durée et toute information complémentaire nécessaire au processus.
Les processus d'approbation nécessitent l'approbation du gestionnaire et celle du propriétaire de l'actif.
Les droits d'accès sont fournis, par défaut, conformément aux rôles et responsabilités professionnels et aux exigences du propriétaire de l'actif.
L'accès est fourni à l'aide du contrôle d'accès basé sur les rôles (RBAC).
Les règles d'attribution d'accès par défaut sont documentées et régulièrement révisées.
Le Groupe Altus examine régulièrement le réseau, les comptes du système d'exploitation, le cloud/SaaS et l'accès aux logiciels, en ce qui concerne les niveaux d'accès des utilisateurs appropriés.
En cas de licenciement, de décès ou de démission d'employés, les processus du Groupe Altus sont conçus de manière à ce que les actions appropriées pour mettre fin rapidement aux accès réseau, logiques et physiques soient suivies.
Le Groupe Altus a conçu une protection du réseau pour appliquer le principe de confiance zéro sur notre réseau pour la protection et le contrôle des données du Groupe Altus et des clients au repos et pendant leur transmission.
La configuration de l'accès au réseau applique la ségrégation de l'environnement.
Des techniques de filtrage de réseau sont utilisées pour limiter l’exposition des actifs.
Les règles d'accès au réseau sont révisées périodiquement.
L'accès au code source est réservé aux personnes autorisées.
L'accès aux référentiels de code source nécessite MFA pour tous les utilisateurs.
L'accès au code source est enregistré et surveillé.
L'accès des invités n'est pas autorisé.
Un processus formel de fourniture d'accès utilisateur est mis en œuvre pour attribuer ou révoquer les droits d'accès de tous les types d'utilisateurs à tous les systèmes/services de l'environnement de production.
L'accès aux environnements de production est crypté.
L'accès est enregistré et surveillé activement.
L'accès aux environnements de production est considéré comme un accès privilégié et est conforme aux exigences d'accès privilégié.
L'accès de tiers aux systèmes et aux données du Groupe Altus est contrôlé et surveillé pour empêcher tout accès non autorisé ou toute violation.
L'accès n'est accordé qu'en cas de besoin et l'accès est résilié lorsqu'il n'est plus nécessaire.
Les demandes d'accès de tiers suivent un processus d'approbation formel.
Les tiers doivent s'authentifier avec un nom d'utilisateur et un mot de passe uniques et utiliser MFA ou une source cible approuvée.
Les tiers reçoivent une autorisation pour les données, systèmes ou réseaux requis spécifiques.
L'accès des tiers est accordé sur la base du principe du moindre privilège.
Les activités de tiers et l'accès aux données, systèmes ou réseaux sont surveillés pour détecter toute activité non autorisée.
Des examens et un audit périodiques de tous les journaux d'accès tiers sont effectués.
L'accès des tiers prend fin lorsqu'il n'est plus nécessaire.
Il existe différents types de contrôles d’accès que les organisations peuvent mettre en œuvre pour protéger leurs données et leurs utilisateurs.
1. Contrôle d’accès basé sur les attributs (ABAC) ABAC est une règle dynamique basée sur le contexte qui définit l’accès en fonction des règles accordées aux utilisateurs.
Le système est utilisé dans les cadres de gestion des identités et des accès (IAM).
2. Contrôle d’accès discrétionnaire (DAC) Les modèles DAC permettent au propriétaire des données de décider du contrôle d'accès en attribuant des droits d'accès aux règles spécifiées par les utilisateurs.
Lorsqu’un utilisateur se voit accorder l’accès à un système, il peut alors fournir l’accès à d’autres utilisateurs comme bon lui semble.
3. Contrôle d’accès obligatoire (MAC) MAC applique des règles strictes aux utilisateurs individuels et aux données, ressources et systèmes auxquels ils souhaitent accéder.
Les règles sont gérées par l’administrateur d’une organisation.
Les utilisateurs ne peuvent pas modifier, révoquer ou définir des autorisations.
4. contrôle d’accès basé sur le rôle (RBAC) RBAC crée des autorisations basées sur des groupes d’utilisateurs, des rôles que les utilisateurs détiennent et des actions que les utilisateurs effectuent.
Les utilisateurs peuvent effectuer n’importe quelle action activée dans leur rôle et ne peuvent pas modifier le niveau de contrôle d’accès qui leur est attribué.
5. Contrôle d’accès en verre cassé Le contrôle d’accès en verre cassé implique la création d’un compte d’urgence qui contourne les autorisations régulières.
En cas d’urgence critique, l’utilisateur bénéficie d’un accès immédiat à un système ou à un compte qu’il n’est généralement pas autorisé à utiliser.
6. Contrôle d’accès basé sur des règles Une approche basée sur des règles voit un administrateur système définir des règles qui régissent l’accès aux ressources de l’entreprise.
Ces règles sont généralement établies autour de conditions, telles que l’emplacement ou l’heure de la journée à laquelle les utilisateurs accèdent aux ressources.
L’une des méthodes les plus courantes pour mettre en œuvre des contrôles d’accès consiste à utiliser des VPN.
Cela permet aux utilisateurs d’accéder en toute sécurité aux ressources à distance, ce qui est crucial lorsque les personnes travaillent loin du bureau physique.
Les entreprises peuvent utiliser des VPN pour fournir un accès sécurisé à leurs réseaux lorsque les employés sont basés dans divers endroits à travers le monde.
Les autres méthodes de contrôle d’accès comprennent les référentiels d’identité, les applications de surveillance et de reporting, les outils de gestion des mots de passe, les outils de déploiement et les services d’application de règle de sécurité.
Communiquez sur les objectifs Alignez-vous avec les décideurs sur les raisons pour lesquelles il est important de mettre en place une solution de contrôle d’accès.
Il peut être utile de mettre en place une solution de contrôle d’accès pour les raisons suivantes : • Productivité : Accorder un accès autorisé aux applications et aux données dont les employés ont besoin pour atteindre leurs objectifs, au moment précis où ils en ont besoin.
• Sécurité : Protéger les données ainsi que les ressources sensibles et réduire les frictions d’accès des utilisateurs moyennant des stratégies réactives qui s’intensifient en temps réel lorsque des menaces surviennent.
• Libre-service : Déléguer la gestion des identités, la réinitialisation des mots de passe, la surveillance de la sécurité ainsi que les demandes d’accès pour gagner du temps et de l’énergie.
Sélectionnez une solution Choisissez une solution de gestion des identités et des accès qui vous permette de protéger vos données et d’assurer une expérience optimale à l’utilisateur final.
L’idéal consiste à fournir un service de premier ordre à vos utilisateurs et à votre service informatique, qu’il s’agisse de garantir un accès à distance transparent aux employés ou de faire gagner du temps aux administrateurs.
Définissez de solides stratégies Après avoir lancé la solution choisie, définissez les utilisateurs qui pourront accéder à vos ressources, précisez ces dernières, ainsi que les conditions de cet accès.
Les stratégies de contrôle d’accès peuvent être conçues pour accorder l’accès, limiter l’accès moyennant des contrôles de session, voire bloquer l’accès, selon les besoins de votre entreprise.
Voici quelques questions sur lesquelles se pencher : • Quels utilisateurs, groupes, rôles ou identités de charge de travail seront inclus ou exclus de la stratégie ?
• Sur quelles applications cette stratégie porte-t-elle ?
• Quelles actions des utilisateurs seront soumises à cette stratégie ?
Suivez les meilleures pratiques Créez des comptes d’accès d’urgence pour éviter d’être bloqué en cas de mauvaise configuration d’une stratégie, dotez chaque application de stratégies d’accès conditionnel, testez les stratégies avant de les appliquer dans votre environnement, définissez des normes de nommage pour toutes les stratégies et planifiez les interruptions.
La mise en place de stratégies adaptées vous facilite la tâche.