Contrôle et traçabilité : des bases d’hygiène élémentaire

Adapter les exigences au contexte

Pour Gérôme Billois, directeur de la practice Cybersécurité de Solucom, « compte tenu de l’existant, de la diversité des systèmes et des contextes, cette périodicité me semble être une bonne base et fera déjà progresser de nombreuses structures. Au fil des années, les seuils seront certainement revus ». Chez Trend Micro, Loïc Guézo relève en outre que « l’on parle ici d’un périmètre sensible, mais limité en nombre d’accédants. Une revue une fois par an, basée sur une situation de départ propre et des processus adaptés, me paraît une bonne idée ».

Cyrille Badeau, chez ThreatQuotient, affiche en outre une certaine prudence : « à mon sens, l’empilement des mesures de sécurité ne vaut que si les couches inférieures sont bien implémentées ». Jean-Marc Grémy, vice-président du Clusif, va plus loin : « le mieux est l’ennemi du bien. Certes, on pourrait diminuer cette période, mais le sujet est plus dans la mise en œuvre de procédure effectives, dans l’audit d’applications, plus que dans le contenu de la procédure elle-même. C’est à l’OIV de décider, après l’analyse de risques, si, pour une population donnée, il faut adapter la fréquence ». Et d’ajouter que le sujet « est moins technique qu’organisationnel. Il faut en effet y associer les directions métiers sensibles, les ressources humaines, et bien sûr l’informatique pour l’exécution des procédures ».

Les trois premiers arrêtés sectoriels imposent par ailleurs une traçabilité des actions réalisées avec les comptes d’administration, mais sans exiger le recours exclusif à des comptes nominatifs. La traçabilité risque donc parfois de s’étendre difficilement aux individus, en particulier dans le cas de comptes génériques mis en place à la demande de prestataires externes.

Des comptes génériques inévitables ?

Cyrille Badeau constate la limite : « difficile d’assurer la traçabilité dans un immeuble où les bages sont génériques et partagés. Le contrôle en devient presque inutile ». Et pour Loïc Guézo, « on peut bien entendu encore améliorer le contrôle de la portée des comptes à privilèges et surtout, on doit avoir banni l’emploi des comptes génériques et strictement contrôler les accès de maintenance externe. En tout cas, je l’espère pour les SIIV des OIV ».

Jean-Marc Grémy partage ce regard : « cette traçabilité est nécessaire, mais pas suffisante. Un juriste vous répondra que le risque peut être en partie traité par le contrat. Il n’aura pas tort. Il faut effectivement prévoir des dispositions contractuelles dans lesquelles le prestataire répercute vers ses salariés les effets des dispositions de sécurité nécessaires à la mise en œuvre de la sous-traitance ».

Pour Gérôme Billois, « malheureusement, les comptes partagés sont parfois toujours incontournables, pour des raisons techniques historiques. Les arrêtés visent clairement à diminuer et encadre leur usage. Des indicateurs sur le nombre de ces comptes sont prévus pour suivre précisément ce point ».

Mais il rejoint toutefois la position de Jean-Marc Grémy : « pour les fournisseurs des SSIV, il est bien prévu que les règles s’appliquent par transitivité. Cela va donc entraîner une pression forte sur eux, via le canal contractuel. Et à terme, cela devrait aussi améliorer leurs pratiques. Ce qui est souvent nécessaire ! »