Avec l’évolution de la technique et des systèmes d’information qui deviennent de plus en plus complexes, les organisations sont face au challenge d’assurer un accès sécurisé à leur système et à une utilisation honnête des ressources par les personnes habilitées.
Pour cela il est primordial de mettre en place les mesures de sécurité nécessaires pour éviter la collusion et assurer que seules les personnes autorisées ont accès aux ressources, et que ces personnes lorsqu’ils sont habilités peuvent y accéder d’une manière honnête et transparente.
Une seule mesure de sécurité ne serait jamais efficace, raison pour laquelle il faut toujours adopter une approche de défense en profondeur (i.e. Defense in depth) qui consiste à mettre en place une série de mesures de sécurité. Lorsqu’un mécanisme échoue, le suivant intervient immédiatement pour essayer de bloquer l’attaque.
Ceci dit, on présente dans cet article quelques mesures de sécurité administratives que vous pourriez prendre en compte lors de la définition des mesures de sécurité à implémenter afin de réduire le risque et la surface d’attaque qui pèse sur votre entreprise.
- Séparation des tâches (Segregation of duties)
- Principe du moindre privilège (Least privilege)
- Le principe du besoin d’en connaitre (The Need To Know)
- Contrôle d’accès M sur N (M of N Control)
- Principe des quatre yeux (Dual Control)
- Rotation des tâches (Rotation of duties)
- Congés imposés (Mandatory vacations)
Séparation des tâches (i.e. Segregation of duties) :
La séparation des tâches permet d’attribuer des tâches avec une granularité suffisante afin d’éviter les conflits d’intérêts et qu’aucune personne n’ait le contrôle total sur un système ou un procédé.
Cette mesure empêche la collusion et protège contre les conflits d’intérêts.
Dans la plupart des cas, cette mesure est implémentée en mettant en place une matrice qui identifie les combinaisons toxiques (i.e. indésirables) des tâches d’un processus donné.
Ci-dessous à quoi ressemblerait une matrice de séparation de tâches :
| Rôle / Tâche | Tâche 1 | Tache 2 | Tâche 3 | Tâche 4 |
| Rôle 1 | 1 | 2 | 3 | 3 |
| Rôle 2 | 2 | 1 | 3 | 2 |
| Rôle 3 | 3 | 2 | 3 | 1 |
| Rôle 4 | 3 | 2 | 2 | 1 |
1(vert) : représente une combinaison sans risque
2(orange) : combinaison qui présente un risque modéré
3(rouge) : combinaison absolument à éviter car présente un haut risque
Le principe du moindre privilège (i.e. Least privilege) :
Afin de respecter ce principe, les utilisateurs, et les sujets d’une façon générale ( Un sujet est toute entité pouvant accéder à une ressource : utilisateur, application, robot …), doivent avoir le minimum de droits et de privilèges nécessaires pour l’accomplissement de leur travail et devraient ne les avoir que pour le plus court laps de temps.
Prenant un exemple où une entreprise adopte un RBAC (Role Based Access Control), où les accès sont basés sur des rôles prédéfinis où chaque rôle est composé de plusieurs droits et permissions. Pour respecter le principe du moindre privilège dans ce contexte, il faudra que chaque sujet ait le rôle le plus restreint possible pour faire ses tâches, et qu’à chaque fois que le besoin de l’utilisateur change, les rôles qui y sont affectés sont revues également. De cette façon vous serez confiants qu’à tout moment, chaque utilisateur a le minimum possible de droits pour accomplir sa mission.
Le principe du besoin d’en connaitre (i.e. The Need To Know):
Ce principe est souvent confondu avec le principe du moindre privilège. Bien qu’ils soient très similaires, leurs objectifs sont bien différents.
Le Need To Know exige que les sujets aient accès au strict minimum de l’information dont ils en ont besoin pour remplir leurs missions.
Reprenant notre exemple que nous avons abordé dans la partie du moindre privilège:
Un contrôle d’accès par rôles (RBAC) est adopté par l’entreprise, donc, chaque utilisateur se voit affecter des rôles avec le minimum de privilèges. supposons que l’entreprise ait une branche dans un autre pays, et qu’elle veuille interdire l’accès à certaines informations aux utilisateurs se connectant de ce pays! dans ce cas si rien n’est fait, les utilisateurs auront accès à toutes les informations que permet leur rôle, quel que soit le pays à partir duquel ils se connectent. ce qui fait que même si le principe du Least Privilege est respecté, le Need To Know ne l’est pas!
Pour que le Need To Know soit respecté, il faudrait que les utilisateurs du pays étranger n’aient pas accès aux données sensibles définies par l’entreprise, une solution pour pallier cette problématique serait d’implémenter un ABAC (Attribute Based Acess Control), car avec ce modèle on affecte à chaque utilisateur des attributs qui permettront la prise de décision d’autorisation d’accès en fonction de la situation de chacun. si cette entreprise affecte un attribut « Pays » aux utilisateurs, elle sera en mesure de limiter l’accès aux données non seulement en fonction des rôles mais aussi en fonction du pays à partir duquel ils se connectent, et ainsi le principe du Need To Know sera bien respecté.
Contrôle d’accès M sur N (i.e. M of N Control):
Ce principe connu également sous le nom de l’authentification par quorum, consiste à ce que l’exécution de quelques opérations sensibles soit effectuée avec l’autorisation et la participation de plusieurs personnes en même temps.
Supposant que vous disposez de 10 personnes (soit N) habilités à exécuter une opération sensible, et que vous estimez qu’il faut au moins 3 personnes (soit M) pour que l’opération soit effectuée d’une façon sécurisée; alors la mise en place des mécanismes garantissant que l’opération ne pourrait être exécutée qu’en cas de participation d’au moins trois personnes, constitue ce qu’on appelle le contrôle d’accès M sur N.
Ce type de contrôle est souvent utilisé dans la gestion des clés privées dans une PKI, en effet l’accès à une clé privée nécessite la contribution de plusieurs personnes habilitées.
Principe des quatre yeux (i.e. Two-man control ):
Ce principe permet de lutter contre la fraude en impliquant au moins deux personnes pour accomplir une tâche, de cette façon chacune des personnes supervise et contrôle l’activité de l’autre.
Ce principe est souvent mis en place dans la direction des établissements financiers qui sont souvent dirigés par au moins deux personnes.
Ce principe est également exigé par la réglementation allemande en salles de marchés pour que toute négociation conclue par un opérateur de marché soit vue par un autre opérateur avant d’être soumise au back-office.
Le double contrôle (i.e. Dual Control):
Ce principe exige la contribution de deux personnes différentes pour accomplir une tâche sensible.
Un exemple de l’application de ce principe est celui appliqué par les banques pour procéder à l’ouverture des coffres, en effet, en plus de votre clé, vous devez être systématiquement accompagné d’un représentant de la banque qui utilise une clé de contrôle dans la deuxième serrure du compartiment pour en permettre l’ouverture.
Rotation des tâches (i.e. Rotation of duties):
Bien que la rotation des tâches ne soit pas adoptée que pour des rasions de sécurité, il est considéré parmi les contrôles les plus efficaces contre la fraude et la collusion.
En effet, ce principe est principalement utilisé dans les usines pour que les travailleurs changent souvent de position car les tâches répétitives sollicitent les mêmes muscles ce qui impacte négativement le rendement des employés, c’est pourquoi ces entreprises mettent en place la rotation des tâches par défaut afin que les employés, au fil du temps, sollicitent différentes parties des muscles pour éviter leur épuisement et permettre de les soulager en alternant les tâches.
À part ce besoin, la rotation des tâches sert à éviter la fraude et la collusion en réduisant le temps qu’une personne passe à exécuter une tâche particulière de sécurité avant d’être transféré vers une autre mission.
Congés imposés (i.e. Mandatory vacations):
Également, bien que les congés imposés puissent servir à d’autres finalités, ils constituent également une mesure de sécurité importante, qui permet dans pas mal de cas de détecter des actes malveillants, mais aussi des erreurs humaines.
Pendant cette période, des investigations et des vérifications peuvent être effectuées afin d’avoir une assurance que l’employé n’abuse pas de ses pouvoirs et respecte les règles et exigences de l’organisme.
One response
Merci beaucoup Mr Nabil pour cet article de qualité exceptionnelle, ça m’ beaucoup aidé