{"id":142790,"date":"2024-06-05T07:00:00","date_gmt":"2024-06-05T05:00:00","guid":{"rendered":"http:\/\/e3mag.com\/?p=142790"},"modified":"2024-06-20T12:42:06","modified_gmt":"2024-06-20T10:42:06","slug":"concepts-de-sod-versus-utilisateurs-durgence-votre-concept-dutilisateur-durgence-est-il-plus-quun-simple-cadavre","status":"publish","type":"post","link":"https:\/\/e3mag.com\/fr\/concepts-de-sod-versus-utilisateurs-durgence-votre-concept-dutilisateur-durgence-est-il-plus-quun-simple-cadavre\/","title":{"rendered":"Concepts SoD versus utilisateurs d'urgence : votre concept d'utilisateur d'urgence est-il plus qu'une caricature ?"},"content":{"rendered":"

Les contr\u00f4les renforc\u00e9s du BSI concernant la directive NIS2 attendue pour l'automne ont plac\u00e9 le th\u00e8me des utilisateurs d'urgence en t\u00eate de leur agenda, et cela ne s'applique plus seulement aux entreprises Kritis. Ils v\u00e9rifient en particulier dans quelle mesure les contr\u00f4les sont int\u00e9gr\u00e9s dans les concepts internes de SoD (Segregation of Duties) de l'entreprise. En effet, ceux-ci ne sont toujours pas consid\u00e9r\u00e9s ensemble et provoquent une faille de s\u00e9curit\u00e9 consid\u00e9rable et inutile lorsque les super-utilisateurs disposent de beaucoup plus d'autorisations qu'ils ne le devraient selon le concept SoD interne. \"Ce n'est ni efficace ni pratique pour une strat\u00e9gie de s\u00e9curit\u00e9 globale\", explique Ralf Kempf, \u00e9vang\u00e9liste de la s\u00e9curit\u00e9 informatique et directeur technique de Pathlock Allemagne.<\/p>\n\n\n\n

Monolithique ou hybride<\/h2>\n\n\n\n

\"La complexit\u00e9 des syst\u00e8mes informatiques, souvent non plus monolithiques mais hybrides, cro\u00eet rapidement, et par cons\u00e9quent les concepts SoD deviennent \u00e9galement plus vastes et plus opaques. Il est indispensable de les tenir \u00e0 jour, de les pr\u00e9senter de mani\u00e8re transparente et de les harmoniser. Les concepts d'urgence ne peuvent plus \u00eatre consid\u00e9r\u00e9s s\u00e9par\u00e9ment\", souligne Kempf. Il est important de tenir compte de la perspective des auditeurs. Ceux-ci voient les concepts de super-utilisateurs d'un \u0153il critique, car ils peuvent influencer l'int\u00e9grit\u00e9 des syst\u00e8mes et des donn\u00e9es financi\u00e8res. Pour pr\u00e9server la confiance dans les rapports financiers de l'entreprise, ils veillent donc \u00e0 ce qu'il y ait des r\u00e8gles et des contr\u00f4les clairs sur les personnes qui obtiennent des droits d'utilisateur d'urgence et sur la mani\u00e8re dont ils sont utilis\u00e9s.<\/p>\n\n\n\n

Cette t\u00e2che d'harmonisation des concepts, de conformit\u00e9 et de transparence par le biais d'une journalisation propre repr\u00e9sente un nouveau d\u00e9fi pour les entreprises, pour lesquelles la mise en \u0153uvre initiale de SoD \u00e9tait d\u00e9j\u00e0 souvent une t\u00e2che consid\u00e9rable. Bien qu'il n'y ait pas de solution universelle, il existe un certain nombre de bonnes pratiques qui contribuent \u00e0 rendre le processus efficace. L'une d'entre elles consiste \u00e0 mettre \u00e0 l'\u00e9preuve un ensemble de r\u00e8gles d\u00e9j\u00e0 existantes pour sa propre entreprise.<\/p>\n\n\n\n

L'examen de l'\u00e9tendue et de la pertinence doit alors tenir compte des nouveaux d\u00e9veloppements et des progr\u00e8s technologiques dans les applications et, si n\u00e9cessaire, entra\u00eener une adaptation individuelle des r\u00e8gles. La n\u00e9cessit\u00e9 de chaque r\u00f4le et de chaque code T - y compris les autorisations actuellement en vigueur - doit \u00eatre v\u00e9rifi\u00e9e par rapport \u00e0 l'utilisation effective. S'ils ne sont pas attribu\u00e9s \u00e0 un utilisateur ou s'ils sont utilis\u00e9s par d'autres, ils doivent \u00eatre supprim\u00e9s pour des raisons de s\u00e9curit\u00e9.<\/p>\n\n\n\n

Test de pertinence<\/h2>\n\n\n\n

Si le contr\u00f4le de pertinence r\u00e9v\u00e8le qu'un collaborateur n'a pas utilis\u00e9 une autorisation depuis plus d'un an, celle-ci devrait \u00eatre supprim\u00e9e de son profil. Cela semble simple au premier abord, mais demande des efforts techniques et de l'expertise. En effet, si l'on retire une autorisation \u00e0 un utilisateur, il faut modifier les r\u00f4les existants, ce qui n'est pas toujours facile manuellement. Pour all\u00e9ger le processus, la pratique courante consiste \u00e0 supprimer d'abord les autorisations conflictuelles et seulement dans un deuxi\u00e8me temps les autorisations sensibles. Pour que les collaborateurs n'aient pas l'impression qu'on leur retire des droits pertinents, il est utile de pr\u00e9senter les donn\u00e9es statistiques respectives des utilisateurs. Des preuves irr\u00e9futables de non-utilisation aident \u00e0 surmonter les r\u00e9sistances et \u00e0 convaincre \u00e9galement les sup\u00e9rieurs. De cette mani\u00e8re, l'ensemble des r\u00e8gles reste clair et efficacement adapt\u00e9 \u00e0 la situation de l'entreprise.<\/p>\n\n\n\n

Collaboration avec les experts-comptables<\/h2>\n\n\n\n

Il est d\u00e9cisif de consid\u00e9rer les auditeurs tant internes qu'externes comme des alli\u00e9s partageant le m\u00eame objectif d'un bon concept de s\u00e9curit\u00e9. Une collaboration \u00e9troite et une culture de discussion vivante permettent une disposition au compromis et une flexibilit\u00e9 des deux c\u00f4t\u00e9s. Il doit \u00eatre possible d'aborder concr\u00e8tement tout ce qui semble inappropri\u00e9 dans le cadre r\u00e9glementaire. Les auditeurs sont souvent pr\u00eats \u00e0 accepter une alternative si elle ne modifie pas le niveau de s\u00e9curit\u00e9.<\/p>\n\n\n\n

Int\u00e9grer le management<\/h2>\n\n\n\n

Il est judicieux, en cas de doute, de demander \u00e9galement \u00e0 l'expert-comptable des solutions appropri\u00e9es et de les valider dans le but d'obtenir rapidement des r\u00e9sultats et le soutien de la direction. Le niveau d\u00e9cisionnel devrait \u00eatre motiv\u00e9 \u00e0 demander des informations de base pour comprendre et clarifier certaines r\u00e8gles de SoD. Si un r\u00f4le est jug\u00e9 inutile, les auditeurs peuvent \u00eatre tent\u00e9s de le supprimer. Avec le bon raisonnement derri\u00e8re une r\u00e8gle ou une exigence particuli\u00e8re, les managers sont mieux \u00e0 m\u00eame d'\u00e9valuer les changements et de promouvoir les am\u00e9liorations. Une \u00e9quipe de gestion bien inform\u00e9e peut ainsi devenir un partenaire solide pour le projet.\u00a0<\/p>\n\n\n\n

Quelle que soit la comp\u00e9tence de l'\u00e9quipe d'audit interne, il convient de demander l'aide d'experts exp\u00e9riment\u00e9s. Lors de leur s\u00e9lection, il est essentiel de proc\u00e9der avec prudence et d'effectuer des recherches approfondies au pr\u00e9alable. Le principe de base est le suivant : une entreprise de conseil devrait au moins disposer des m\u00eames connaissances techniques que l'\u00e9quipe d'audit. Si les deux parties utilisent la m\u00eame terminologie et partagent les m\u00eames convictions et normes, cela peut permettre de r\u00e9aliser des \u00e9conomies consid\u00e9rables et contribuer plus efficacement \u00e0 \u00e9viter de futures tentatives d'abus. <\/p>\n\n\n\n

<\/div>\n\n\n\n

Vers l'inscription du partenaire : <\/p>\n\n\n\n

\"\"<\/a><\/figure>","protected":false},"excerpt":{"rendered":"

Lorsqu'on leur demande s'ils v\u00e9rifient un jour leur protocole d'urgence, la plupart des entreprises doivent encore s'abstenir. L'exp\u00e9rience de la pratique GRC montre qu'ils prennent g\u00e9n\u00e9ralement la poussi\u00e8re dans les archives au lieu d'\u00eatre contr\u00f4l\u00e9s et document\u00e9s de mani\u00e8re appropri\u00e9e.<\/p>","protected":false},"author":2368,"featured_media":142795,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[5,43962],"tags":[],"coauthors":[39720],"class_list":["post-142790","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-management","category-mag-24-06","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631.jpg",1100,495,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631-400x180.jpg",400,180,true],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631-768x346.jpg",768,346,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631.jpg",1100,495,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631-100x45.jpg",100,45,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631-480x216.jpg",480,216,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631-640x288.jpg",640,288,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631-720x324.jpg",720,324,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631-960x432.jpg",960,432,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631.jpg",1100,495,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631.jpg",1100,495,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631.jpg",1100,495,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631.jpg",1100,495,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631.jpg",1100,495,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631-18x8.jpg",18,8,true],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631.jpg",1100,495,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631.jpg",1100,495,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631.jpg",1100,495,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631-600x270.jpg",600,270,true],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631-600x495.jpg",600,495,true],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2024\/06\/2406-48-Notfalluser-Pathlock-shutterstock_2216535631-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

Gefragt, ob sie jemals ihr Notfalluser-Protokoll pr\u00fcfen, m\u00fcssen die meisten Unternehmen nach wie vor passen. Erfahrungen aus der GRC-Praxis zeigen, dass diese meist in Archiven verstauben, statt dass sachgerecht kontrolliert und dokumentiert wird.<\/p>\n","category_list_v2":"IT-Management<\/a>, MAG 24-06<\/a>","author_info_v2":{"name":"E3 Magazine","url":"https:\/\/e3mag.com\/fr\/author\/e3_magazin\/"},"comments_num_v2":"0 commentaire","_links":{"self":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/142790","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/users\/2368"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/comments?post=142790"}],"version-history":[{"count":5,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/142790\/revisions"}],"predecessor-version":[{"id":143186,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/142790\/revisions\/143186"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media\/142795"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media?parent=142790"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/categories?post=142790"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/tags?post=142790"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/coauthors?post=142790"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}