Gestion des droits utilisateurs : le parent pauvre de la sécurité

Par Fabrice Deblock (JDNet) - Plus de 20% des entreprises européennes mettent plus de deux semaines pour supprimer des droits d'accès obsolètes. Un nouveau salarié doit attendre plus de deux jours pour obtenir ses codes d'accès dans 48% des sociétés. Et 15% des DSI déclarent ne pas être conscients des risques liés à la gestion des droits utilisateurs.

Ce sont quelques unes des étonnantes conclusions fournies par une étude réalisée début 2003 par Novell Worldwide Services et les universités de Stanford et de Hong-Kong, auprès de 200 entreprises parmi les 2 000 plus importantes en Europe, en Asie et aux Etats-Unis. A travers les trois grandes étapes du cycle de vie d'une identité - création maintenance, révocation - l'étude passe au crible les différentes lacunes et les multiples freins rencontrés.

Définir une politique claire de gestion des droits d'accès
Avant toute chose, la définition d'une politique claire et précise d'attribution des droits semble incontournable. "Nous ne savons pas qui a accès à quoi et qui peut modifier quoi", déclare un manager cité par l'étude. L'absence de règles peut aboutir à des situations ineptes, voire dangereuses, comme le libre accès aux bases commerciales de l'entreprise par un simple stagiaire. Même si ces règles existent, encore faut-il, précise l'étude, que les cadres de la société qui ont le pouvoir de créer ou de modifier les droits puissent le faire par le biais d'outils automatisés. Laisser un message téléphonique ou envoyer un mail à un administrateur - qui se mettra lui-même en recherche de ce qui peut être consulté ou pas par la personne concernée - relève bien trop souvent du parcours du combattant.

Assurer une gestion au quotidien efficace
Une gestion de mots de passe déficiente mène par ailleurs à des risques et coûts additionnels. Les mots de passe ne doivent pas être des mots du dictionnaire mais inclure des lettres et des chiffres mêlés. L'étude note que 86% des répondants ont à se souvenir de plus de deux mots de passe en tout, ce qui les contraint à les consigner physiquement quelque part dans leur environnement de travail. La mise en place d'un système à mot de passe unique permet d'optimiser considérablement les processus et de réduire les quelque 30% du temps que disent consacrer les centres d'appels internes (help desk) à ces questions. Cette gestion au quotidien concerne aussi et surtout la mise à jour et la révocation des droits, en cas de changement de poste ou de départ d'un salarié de la société. 54% des sociétés de moins de 10 000 employés reconnaissent mettre plus de deux jours pour réagir quand un salarié s'en va. Ce pourcentage tombe à 32% dans les entreprises de plus de 50 00 personnes. Mais ce ne sont que des moyennes car les cas sont nombreux où d'anciens employés gardent pendant de longues semaines un accès à leur boîte mail ou, pire, aux locaux de l'entreprise, leur badge continuant de leur ouvrir toutes les portes...

De réels obstacles au déploiement
L'étude se conclut par les principaux obstacles au déploiement d'un management sécurisé des identités (Secure Identity Management). Parmi les principaux, trois se dégagent du lot : le manque de prise de conscience des enjeux liés à ces problèmes et l'insuffisant soutien des directions pour développer cette prise de conscience, la peur des déploiements de solutions complexes et coûteuses et, pour finir, le manque d'intégration des systèmes d'information au sein même des processus de l'entreprise.

 

 Audits de Sécurité & Tests Intrusifs F-VNS Security™  Mailing Listes Advisories  Service Publicitaire

Tous droits réservés © 2002-2004 K-OTiK Security Voir Notice Légale   

Exploits