Revue des droits : un exercice difficile, mais indispensable

Les groupes où des utilisateurs finissent, avec le temps, avec des droits au-delà de leurs besoins, voire en infraction avec les impératifs réglementaires ou les bonnes pratiques de sécurité, ne sont pas rares. La mobilité interne ne manque pas d’apporter sa contribution au phénomène.

Benoît Fuzeau, RSSI de Casden Banque Populaire, ne dira pas le contraire. Intervenant lors de l’édition 2019 des Assises de la Sécurité, il lance même : « pour les grands groupes, je suis solidaire. Bon courage ! ». Car dès début 2011, l’inspection générale recommandait de se pencher de près sur les habilitations.

Mais il aura fallu attendre début 2019 pour que survienne véritablement la première re-certification, après une première tentative avortée de projet entre 2016 et 2017.

Entre Active Directory, LDAP (Lightweight Directory Access Protocol), ressources humaines et référentiels mainframe, tout a été consolidé sur les outils de Brainwave. Lequel a conseillé Openminded pour l’accompagnement. La revue des habilitations n’a alors pas manqué de faire ressortir des surprises désagréables : un nombre de comptes considérablement supérieur à celui des identités, des comptes aux droits d’administration expirés, ou encore quelques milliers de comptes orphelins. Ce travail va pouvoir servir de base à une véritable introspection, pour renforcer les processus de gestion des arrivées, des départs, et de la mobilité. Ou encore la gestion du cycle de vie de la documentation des rôles métiers, des profils applicatifs, et plus encore.

Benoît Fuzeau souligne enfin l’importance de l’intégration des applications SaaS dans les recertifications, et de demander, dans les appels d’offres, que les nouvelles applications déportent les habilitations dans l’Active Directory. Et tant pis si cela peut présenter des difficultés pour les progiciels…

De tels propos ne surprendront pas Xavier Leschaeve, RSSI de Rémy Cointreau. Car justement, le spécialiste des spiritueux utilise SAP pour gérer ses processus métiers. Historiquement, il y avait même deux instances. Le projet de modernisation et de consolidation de l’ensemble a été saisi comme une opportunité : pour Xavier Leschaeve, c’était le moment ou jamais d’établir un socle propre pour les processus d’habilitation – alors que les commissaires aux comptes avaient déjà alerté sur la séparation des tâches.

« La revue des droits SAP sans outillage, c’est quelque chose de très difficile. »

Mais pas question de se lancer seul dans l’aventure. Openminded et un spécialiste SAP ont été impliqués. Car « la revue des droits SAP sans outillage, c’est quelque chose de très difficile ». Ce n’est pas pour rien que les commissaires aux comptes disposent d’outils dédiés. Alors Rémy Cointreau a procédé à une extraction et à un audit de l’existant avec les outils de Brainwave. De quoi mettre en évidence le manque de rigueur des processus existants de gestion des arrivées et des départs, ainsi que de la mobilité interne, ou encore l’absence de référentiel RH groupe solidement maintenu.

En définitive, il s’est avéré plus simple de reprendre de zéro que de nettoyer l’existant. Xavier Leschaeve explique que des ateliers ont été organisés avec les métiers, notamment pour analyser une matrice de droits toxiques et redéfinir tous les profils de manière cohérente avec cette matrice permettant d’assurer la conformité avec les exigences de séparation des tâches : « nous sommes partis d’un fichier RH, d’un tableau Excel, puis avons pris l’annuaire et les comptes SAP pour créer des identités et vérifier les droits de chaque personne ».

De quoi produire une base saine sur laquelle relancer des processus robustes de gestion du cycle de vie des identités, avant l’en engager l’automatisation.