Revue Des Habilitations Film

C'est le cheval de bataille du directeur de l'ANSSI: l'hygiène informatique. Et parmi les règles élémentaires de sécurité à appliquer pour réduire les risques figure la limitation des droits d'accès sur le système d'information. La question n'est toutefois pas tant de limiter ces droits de l'utilisateur que de les adapter afin qu'ils correspondent aux besoins de son activité dans l'entreprise. Mais ce passage en revue des habilitations des utilisateurs du SI ne tient pas forcément de la promenade de santé, en particulier dans les environnements hétérogènes, legacy et décentralisés. Dans le domaine des habilitations, et peut-être plus globalement de la sécurité informatique, le « poids de l'existant » porte souvent bien son nom. Le RSSI de l'assureur SMABTP, Philippe Fontaine peut en témoigner. SMABTP: besoin de visibilité sur les habilitations La SMABTP emploie 3. 000 personnes (salariés et prestataires) répartis sur environ 80 sites. Côté infrastructure, et comme souvent dans l'assurance, le mainframe est encore bien présent.

1. Revue des habilitations del
2. Revue des habilitations 2
3. Revue des habilitations de
4. Revue des habilitations de la

Revue Des Habilitations Del

La revue des droits d'accès, appelée également recertification des habilitations, est une composante essentielle de votre stratégie IAM, étroitement liée à la gestion du cycle de vie des identités et au provisioning des comptes et des droits. Il s'agit de s'assurer que les droits d'accès des utilisateurs du système d'information sont bien conformes à ce qu'ils doivent être, et de les certifier, ou – le cas échéant – de réaliser les opérations de remédiations en cas de non-conformité par rapport à la politique d'habilitation de l'entreprise. Cette composante IAM s'inscrit donc dans une logique de gouvernance et de contrôle des habilitations, afin d'apporter les garanties de conformité attendues. Elle permet non seulement de s'assurer du bon respect de la politique de sécurité de l'entreprise et de limiter les risques opérationnels, mais également de répondre aux nombreux enjeux réglementaires, tels que ceux liés aux audits réguliers de la société mère ou des commissaires aux comptes par exemple.

Revue Des Habilitations 2

« Vingt ans plus tôt, dans la banque de distribution, il y en avait 80. Il y a 6 ans, encore 6 » comptabilise le RSSI des GIE de la banque, David Billet. A l'issue de son congrès de Nice (également nom de son projet: nouvelle informatique communautaire évolutive) de 2008, la banque a décidé de remédier à cette particularité de son informatique. Pour cela, les caisses régionales doivent à terme migrer sur un nouveau système, unique. Une première phase, Nice V1, consistait à faire converger des caisses sur un système unique, mais en partant d'une souche d'un des systèmes existants. « En gros, c'était faire entrer des caisses régionales au chausse-pied dans un SI » métaphorise David Billet. Une difficulté, « ces caisses ont des systèmes différents, avec des écarts fonctionnels relativement importants, notamment au niveau des systèmes d'habilitations. » Autre complication, le système souche (en fait 9 caisses) n'avait pas de standard en termes d'habilitations. En clair, au niveau même du système cible, les écarts étaient notables.

Revue Des Habilitations De

Revue Des Habilitations De La

4. Définir sa politique d'authentification L'habilitation des utilisateurs des systèmes d'informations repose sur une politique d'authentification établie par l'entreprise. Cette authentification permet d'identifier l'utilisateur qui se connecte au SI et est un prérequis indispensable à la bonne gestion des habilitations. Pour des raisons évidentes de traçabilité, toute personne doit être identifiée et authentifiée de manière sécurisée et certaine avant qu'elle ne puisse agir sur le SI (consultation, modification, téléchargement, suppression…). Compte tenu des informations accessibles sur ses systèmes d'information, il relève de la responsabilité du responsable de traitement de mettre en place une authentification sécurisée et en cohérence avec le niveau des droits attribués à chaque utilisateur. D'une manière générale la règle doit être la suivante: plus l'utilisateur aura un niveau étendu d'accès à des informations confidentielles, plus son niveau d'authentification devra être fort. Afin de déterminer une politique d'authentification rigoureuse il est notamment nécessaire se référer aux recommandations formulées par la CNIL dans sa délibération n° 2017-012 du 19 janvier 2017.

Par Stéphane Astier et Anne-Charlotte Andrieux L'ensemble des observateurs et spécialistes du monde cyber constatent que la crise sanitaire actuelle s'accompagne d'une explosion de cyber-menaces. D'après le dernier rapport de l'Agence européenne de cyber sécurité (ENISA) sorti en octobre, cette recrudescence s'expliquerait notamment par la transformation rapide de l'environnement professionnel lié à la généralisation du télétravail et à l'intégration en marche forcée de nouveaux outils de travail dédiés au distanciel. D'après le Data Breach Investigations Report 2020 [1], 70% des compromissions seraient ainsi l'œuvre d'acteurs externes et 1 compromission sur 5 serait la conséquence d'une erreur humaine. Nombre d'entreprises ayant dû opter, parfois dans l'urgence, pour le télétravail, force est de constater que les attaques ont proliféré à la faveur d'une décentralisation des systèmes informatiques induisant de nouvelles vulnérabilités des SI. Un travail de recensement des données et des accès semble plus que jamais d'actualité pour permettre aux entreprises de conserver la pleine maîtrise de leur SI.