Concepts SoD versus utilisateurs d'urgence : votre concept d'utilisateur d'urgence est-il plus qu'une caricature ?

Les contrôles renforcés du BSI concernant la directive NIS2 attendue pour l'automne ont placé le thème des utilisateurs d'urgence en tête de leur agenda, et cela ne s'applique plus seulement aux entreprises Kritis. Ils vérifient en particulier dans quelle mesure les contrôles sont intégrés dans les concepts internes de SoD (Segregation of Duties) de l'entreprise. En effet, ceux-ci ne sont toujours pas considérés ensemble et provoquent une faille de sécurité considérable et inutile lorsque les super-utilisateurs disposent de beaucoup plus d'autorisations qu'ils ne le devraient selon le concept SoD interne. "Ce n'est ni efficace ni pratique pour une stratégie de sécurité globale", explique Ralf Kempf, évangéliste de la sécurité informatique et directeur technique de Pathlock Allemagne.

Monolithique ou hybride

"La complexité des systèmes informatiques, souvent non plus monolithiques mais hybrides, croît rapidement, et par conséquent les concepts SoD deviennent également plus vastes et plus opaques. Il est indispensable de les tenir à jour, de les présenter de manière transparente et de les harmoniser. Les concepts d'urgence ne peuvent plus être considérés séparément", souligne Kempf. Il est important de tenir compte de la perspective des auditeurs. Ceux-ci voient les concepts de super-utilisateurs d'un œil critique, car ils peuvent influencer l'intégrité des systèmes et des données financières. Pour préserver la confiance dans les rapports financiers de l'entreprise, ils veillent donc à ce qu'il y ait des règles et des contrôles clairs sur les personnes qui obtiennent des droits d'utilisateur d'urgence et sur la manière dont ils sont utilisés.

Cette tâche d'harmonisation des concepts, de conformité et de transparence par le biais d'une journalisation propre représente un nouveau défi pour les entreprises, pour lesquelles la mise en œuvre initiale de SoD était déjà souvent une tâche considérable. Bien qu'il n'y ait pas de solution universelle, il existe un certain nombre de bonnes pratiques qui contribuent à rendre le processus efficace. L'une d'entre elles consiste à mettre à l'épreuve un ensemble de règles déjà existantes pour sa propre entreprise.

L'examen de l'étendue et de la pertinence doit alors tenir compte des nouveaux développements et des progrès technologiques dans les applications et, si nécessaire, entraîner une adaptation individuelle des règles. La nécessité de chaque rôle et de chaque code T - y compris les autorisations actuellement en vigueur - doit être vérifiée par rapport à l'utilisation effective. S'ils ne sont pas attribués à un utilisateur ou s'ils sont utilisés par d'autres, ils doivent être supprimés pour des raisons de sécurité.

Test de pertinence

Si le contrôle de pertinence révèle qu'un collaborateur n'a pas utilisé une autorisation depuis plus d'un an, celle-ci devrait être supprimée de son profil. Cela semble simple au premier abord, mais demande des efforts techniques et de l'expertise. En effet, si l'on retire une autorisation à un utilisateur, il faut modifier les rôles existants, ce qui n'est pas toujours facile manuellement. Pour alléger le processus, la pratique courante consiste à supprimer d'abord les autorisations conflictuelles et seulement dans un deuxième temps les autorisations sensibles. Pour que les collaborateurs n'aient pas l'impression qu'on leur retire des droits pertinents, il est utile de présenter les données statistiques respectives des utilisateurs. Des preuves irréfutables de non-utilisation aident à surmonter les résistances et à convaincre également les supérieurs. De cette manière, l'ensemble des règles reste clair et efficacement adapté à la situation de l'entreprise.

Collaboration avec les experts-comptables

Il est décisif de considérer les auditeurs tant internes qu'externes comme des alliés partageant le même objectif d'un bon concept de sécurité. Une collaboration étroite et une culture de discussion vivante permettent une disposition au compromis et une flexibilité des deux côtés. Il doit être possible d'aborder concrètement tout ce qui semble inapproprié dans le cadre réglementaire. Les auditeurs sont souvent prêts à accepter une alternative si elle ne modifie pas le niveau de sécurité.

Intégrer le management

Il est judicieux, en cas de doute, de demander également à l'expert-comptable des solutions appropriées et de les valider dans le but d'obtenir rapidement des résultats et le soutien de la direction. Le niveau décisionnel devrait être motivé à demander des informations de base pour comprendre et clarifier certaines règles de SoD. Si un rôle est jugé inutile, les auditeurs peuvent être tentés de le supprimer. Avec le bon raisonnement derrière une règle ou une exigence particulière, les managers sont mieux à même d'évaluer les changements et de promouvoir les améliorations. Une équipe de gestion bien informée peut ainsi devenir un partenaire solide pour le projet. 

Quelle que soit la compétence de l'équipe d'audit interne, il convient de demander l'aide d'experts expérimentés. Lors de leur sélection, il est essentiel de procéder avec prudence et d'effectuer des recherches approfondies au préalable. Le principe de base est le suivant : une entreprise de conseil devrait au moins disposer des mêmes connaissances techniques que l'équipe d'audit. Si les deux parties utilisent la même terminologie et partagent les mêmes convictions et normes, cela peut permettre de réaliser des économies considérables et contribuer plus efficacement à éviter de futures tentatives d'abus.

Vers l'inscription du partenaire :