Article d'auteur Management de la qualité - VI-61 - 04/04/2021

1  La gestion des identités et des accès au système d’information

• 1.1 La gestion des accès dans les normes ISO 27001 et ISO 27002

  Gérer les accès au système d’information est une préoccupation aussi ancienne que l’informatique. En effet, limiter l’utilisation d’un système et la consultation des informations qu’il contient aux seules personnes autorisées constitue le fondement de toute démarche de sécurité. Si ce principe de base n’est pas correctement mis en œuvre, toute autre action visant à sécuriser le système d’information sera vaine. Il existe également de nombreuses contraintes réglementaires ou juridiques en matière de protection des données ; le RGPD (Règlement général sur la protection des données), qui s’intéresse spécifiquement aux données dites « à caractère personnel », est un des plus connus. Ce règlement impose aux organismes qui collectent, stockent et traitent des données se rapportant à des personnes physiques et susceptibles de permettre leur identification de mettre en œuvre des moyens de protection adaptés.

  Il existe aujourd’hui de nombreuses solutions, plus ou moins prêtes à l’emploi et plus ou moins paramétrables, dont l’objet tourne autour du concept central de gestion des identités (les utilisateurs du système d’information), des ressources (les composantes du système d’information telles que les applications, les fichiers ou les bases de données) et des habilitations (les droits d’accès aux ressources, octroyés aux identités). Ces solutions et ces technologies se nomment IAM (identity and access management), IAG (identity access governance), DAG (data access governance), PAM (privileged access management), etc. Les concepts d’IAM et d’IAG couvrent de manière quasiment identique le périmètre des solutions généralistes. La DAG s’intéresse plus précisément aux données non structurées, c’est-à-dire conservées en dehors de bases de données, généralement dans l’environnement bureautique (les données stockées dans des progiciels comme Excel ou Word sont des données non structurées). Quant au PAM, il est dédié aux accès « privilégiés », c’est-à-dire disposant de droits étendus ; il s’agit des habilitations délivrées aux administrateurs des systèmes informatiques, évidemment très critiques car ouvrant des possibilités étendues en termes d’accès aux données et aux dispositifs informatiques qui les stockent et les traitent.

  Les normes de la famille ISO/IEC 27000 traitent de la maîtrise des accès au système d’information : de manière générale dans les normes NF EN ISO/IEC 27001 (Technologies de l’information – Techniques de sécurité – Systèmes de gestion de sécurité de l’information – Exigences) et NF EN ISO/IEC 27002 (Technologies de l’information – Techniques de sécurité – Code de bonne pratique pour les mesures de sécurité de l’information) et de manière plus spécifique dans la norme NF ISO/IEC 27701 (Techniques de sécurité – Extension d’ISO/IEC 27001 et ISO/IEC 27002 au management de la protection de la vie privée – Exigences et lignes directrices) pour les données à caractère personnel ou dans le référentiel ISO/IEC 27039^[1] (Technologie de l’information – Techniques de sécurité – Sécurité de stockage) pour ce qui concerne la sécurité des dispositifs de stockage des données.

  Dans la NF ISO/IEC 27002, le chapitre 9 (« Contrôle d’accès ») s’intéresse exclusivement, et sur plus de 10 pages, à la gestion des accès au système d’information à travers de nombreuses recommandations :

  – définition d’une politique globale de gestion des accès, à partir des exigences métier ; les besoins exprimés par les pôles opérationnels de l’organisme pourront notamment être issus d’une analyse des risques réalisée selon les indications figurant dans la norme NF ISO/IEC 27005 (Technologies de l’information – Techniques de sécurité – Gestion des risques liés à la sécurité de l’information) ;

  – mise en œuvre d’un processus de gestion des utilisateurs (« identités » dans le jargon de l’IAM) comprenant le traitement du « cycle de vie » (une identité est créée à l’arrivée d’une personne, subit des modifications à la faveur d’événements relatifs à la vie de l’utilisateur au sein de l’organisme, puis est désactivée au départ de celui-ci), l’attribution d’un identifiant (code personnel permettant d’identifier un utilisateur de manière certaine), l’octroi des droits et des privilèges (comme nous l’avons vu plus haut, les privilèges sont les habilitations délivrées aux administrateurs du système qui, par définition, permettent d’intervenir sur des éléments particulièrement critiques) et la traçabilité (constitution et conservation d’un historique des opérations réalisées sur l’identité et sur ses habilitations) ;

  – élaboration d’une politique des mots de passe : à défaut d’un système d’authentification forte (carte à puce, biométrie, calculette à mot de passe unique, etc.), le mot de passe est le moyen le plus répandu pour authentifier un utilisateur. Le mot de passe doit être robuste : il est composé d’une suite d’au moins 10 caractères ne formant pas un mot du dictionnaire mais une succession sans signification particulière de signes alphabétiques (minuscules et majuscules), numériques et de ponctuation, et il est modifié régulièrement. Chaque utilisateur du système d’information est responsable de son mot de passe : il le choisit et en assure la confidentialité ;

  – réexamen régulier des habilitations délivrées aux utilisateurs (revue), pour s’assurer qu’elles sont toujours en adéquation avec les tâches qui leur sont dévolues ;

  – installation et maintien en état de fonctionnement des dispositifs nécessaires à la sécurisation des accès aux différentes strates du système : réseaux étendus et télécommunications (connexions externes), réseau local (zone dite « de confiance » au sein de l’organisme), serveurs, systèmes d’exploitation (logiciels de base), applications, données.

×