En 2023, OneMain Financial a fait la une des journaux pour avoir connu au moins trois longs événements de cybersécurité entre 2018 et 2020. Ceux-ci étaient liés à des échecs de programme de sécurité et de contrôle d'accès qui l'ont rendu plus vulnérable à des instances d'accès non autorisé, selon les conclusions de l'audit du Département des services financiers de New York.

En fin de compte, OneMain a payé une amende de 4,25 millions de dollars au régulateur de l'État pour ne pas avoir respecté la réglementation sur la cybersécurité du NYDFS, qui oblige les entités financières à employer une gamme de mesures de bonnes pratiques pour protéger leurs systèmes d'information et les données des consommateurs contre les risques de sécurité. L'une de ces exigences consiste à limiter les privilèges d'accès des utilisateurs aux systèmes contenant des données sur les consommateurs et à réviser périodiquement ces privilèges d'accès.

Pour éviter les incidents de cybersécurité liés à des accès non autorisés et de lourdes amendes comme celle-ci, les organisations doivent comprendre ce qu'est une revue d'accès utilisateur, quel est le processus étape par étape, pourquoi cela peut être la partie la plus importante des contrôles d'accès et de la conformité, et comment l'automatisation peut aider à simplifier cela. Nous couvrirons tout cela ci-dessous.

Qu'est-ce qu'une revue d'accès utilisateur?

Une revue d'accès utilisateur, ou UAR, est la vérification périodique des identifiants et des privilèges des utilisateurs ayant accès à certaines données, applications et réseaux, afin de supprimer tout privilège ou individu inapproprié ou non nécessaire. Les utilisateurs potentiels peuvent être des administrateurs, des gestionnaires, des employés, des fournisseurs, des prestataires de services et d'autres tiers avec lesquels votre organisation a travaillé.

Ce type de revue doit répondre à quatre grandes questions :

• Qui accède à quoi ?
• Quel niveau d'accès ces utilisateurs ont-ils ?
• Ces utilisateurs ont-ils des raisons valables pour leurs droits et privilèges d'accès ?
• Quelles mises à jour doivent être apportées à leurs droits et privilèges d'accès ?

Pourquoi une revue d'accès utilisateur est-elle importante?

Les revues d'accès utilisateur sont importantes pour plusieurs raisons clés. Examinons-les ci-dessous.

1. Protéger les données et les actifs

Les identifiants volés, les initiés malveillants et les lacunes de sécurité des tiers ne sont que quelques-unes des causes des violations de données. Les révisions périodiques des accès peuvent aider votre organisation à identifier les personnes qui ne devraient pas détenir d'identifiants, comme les initiés malveillants, les tiers et les employés partis/désemparés, ce qui peut aider à réduire le risque de violations de données.

2. Respecter les exigences de conformité

En plus de protéger les données et les actifs informatiques de l'organisation, une revue d'accès utilisateur est une condition préalable essentielle à la mise en œuvre approfondie des cadres de sécurité et de conformité.

Les revues d'accès sont obligatoires pour se conformer à beaucoup des cadres et normes de sécurité les plus courants, y compris les suivants :

• SOC 1®
• SOC 2®
• HIPAA
• SOX
• ISO 27001
• PCI DSS
• RGPD
• Règle de sauvegarde de la FTC
• NYDFS NYCRR 500
• NIST 800-53
• NIST CSF
• CMMC
• CIS
• Essentiels de cybersécurité
• CJIS

3. Améliorer la gestion des risques

Les revues des accès des utilisateurs aident également les organisations à améliorer leurs capacités de gestion des risques globales, en particulier contre les menaces internes et les anciens employés mécontents. Cela facilite plusieurs principes clés du contrôle d'accès, notamment :

• Séparation des tâches : Diviser les fonctions métier critiques en tâches distinctes, qui sont ensuite attribuées à différentes personnes pour réduire la possibilité qu'une seule personne effectue des activités malveillantes, comme la fraude. Lors de revues périodiques des accès des utilisateurs, vous pouvez vérifier qu'aucun utilisateur n'a tous les privilèges nécessaires pour effectuer une fonction critique par lui-même.
• Principe du besoin de savoir : Ne fournir aux utilisateurs que l'accès aux informations dont ils ont besoin pour accomplir leur travail. Une revue efficace des accès des utilisateurs garantira que chaque utilisateur a des raisons légitimes d'accéder à certaines données.
• Le principe du moindre privilège : Ne fournir aux utilisateurs que les privilèges dont ils ont besoin pour accomplir leur travail. Contrairement au besoin de savoir, ce principe s'applique à la fois aux utilisateurs et aux applications, appareils et comptes de service. Il limite également non seulement qui a accès à certaines applications et systèmes, mais ce qu'ils peuvent faire s'ils obtiennent l'accès (afficher, modifier, etc.). Lors des revues d'accès des utilisateurs, vous pouvez évaluer que chaque utilisateur dispose du minimum d'accès nécessaire pour effectuer ses fonctions. Par exemple, un analyste budgétaire a probablement seulement besoin de privilèges en lecture seule pour un logiciel de paie afin de compléter un rapport trimestriel ou annuel.

4. Réduire les coûts de licence

Les revues des accès des utilisateurs peuvent également aider les organisations à réduire les dépenses en coûts de licence. Lors d'une revue, vous pouvez identifier des utilisateurs qui ont accès à certains systèmes dont ils n'ont pas besoin ou qu'ils n'ont pas utilisés depuis un certain temps, et les supprimer. Si vous ne réalisez pas ces revues, vous risquez de trop dépenser en licences et comptes système inutiles.

Processus de revue des accès des utilisateurs

Maintenant que vous comprenez les avantages des revues des accès des utilisateurs, il est temps de planifier chaque étape du processus.

1. Inventoriez vos outils et vos utilisateurs

Pour commencer, prenez en compte tous les outils et technologies que vous utilisez actuellement. Ensuite, listez tous les utilisateurs, y compris les utilisateurs internes et externes ainsi que ceux qui ont été licenciés, et les accès et privilèges qu'ils ont pour chaque outil et technologie. Assurez-vous de noter s'ils sont administrateurs ou utilisateurs et s'ils ont accès à des comptes privilégiés.

Vous êtes maintenant prêt à vérifier si leurs droits d'accès actuels sont appropriés et nécessaires, ou s'ils doivent être modifiés.

2. Révoquer les droits d'accès des employés et des tiers licenciés

Lors des revues d'accès utilisateur, il est important de vérifier que les comptes des anciens employés, partenaires et autres tiers sont inactifs.

Les droits d'accès de ces utilisateurs doivent être révoqués immédiatement après leur licenciement. Si vous remarquez qu'ils ne l'ont pas été, vous pouvez les révoquer et ensuite mettre à jour votre processus de départ pour vous assurer que cela se produit dès le licenciement.

3. Déplacer ou révoquer les permissions des comptes administratifs non officiels

Vous devez également vérifier les comptes administratifs non officiels lors des revues d'accès utilisateur. Ce sont des comptes d'utilisateur non administrateurs avec des privilèges sensibles qui en font effectivement des administrateurs. Contrairement aux comptes administratifs privilégiés, ceux-ci ne font généralement pas partie d'un groupe Active Directory (AD) administratif privilégié car ils ont reçu des privilèges sensibles directement.

Les comptes administratifs non officiels sont très recherchés par les utilisateurs malveillants car ils peuvent être exploités pour accéder à des infrastructures critiques et des données sensibles, mais ne sont pas aussi faciles à identifier et à surveiller que les comptes des groupes administratifs bien connus. Pour atténuer le risque de ces comptes, vous pouvez révoquer les privilèges sensibles dont ils n'ont pas besoin ou les déplacer dans un groupe administratif privilégié où ils peuvent être surveillés de près.

4. Vérifier la dérive des privilèges des employés qui ont changé de rôle

À mesure que les employés sont promus, changent d'équipe ou changent de rôle au sein de l'organisation, leurs permissions d'accès peuvent s'accumuler. Cette accumulation progressive des droits d'accès qui dépassent ce dont ils ont besoin pour faire leur travail est connue sous le nom de dérive des privilèges.

Vous pouvez rechercher ceci lors d'une revue d'accès utilisateur. Pour commencer, identifiez les employés qui ont récemment changé de département ou de rôle et assurez-vous que les permissions d'accès de ces employés correspondent à leurs responsabilités professionnelles actuelles. Supprimez toutes les permissions qui étaient uniquement nécessaires dans leur poste précédent.

5. Supprimer tout accès ou privilège inutile des utilisateurs restants

Une fois que vous avez soigneusement évalué et révoqué tous les privilèges inutiles des utilisateurs licenciés, des administrateurs non officiels et des employés qui ont changé de rôle, il est temps d'examiner les droits d'accès des utilisateurs restants. Vous voulez vous assurer que tous les employés, fournisseurs et autres utilisateurs n'ont accès qu'aux ressources et actifs ainsi qu'aux privilèges dans les applications et systèmes strictement nécessaires pour faire leur travail.

6. Rétrograder l'accès permanent en accès temporaire lorsque cela est possible

Lors d'une revue d'accès utilisateur, vous pouvez également évaluer si les utilisateurs ont besoin d'un accès permanent aux applications et aux données auxquelles ils ont actuellement accès. Certains utilisateurs n'ont besoin d'accéder à certaines données ou applications qu'une ou deux fois. Dans ce cas, ils n'ont pas besoin de droits d'accès permanents. Ils peuvent recevoir un accès temporaire sous la forme de mots de passe à usage unique, par exemple.

7. Documenter les modifications apportées

Pour assurer la transparence et simplifier les revues ultérieures, documentez chaque cycle de revue. Vous pouvez inclure la liste des outils et qui a des droits d'utilisateur ou d'administrateur pour chacun ainsi que les commentaires du réviseur, les décisions de l'approbateur et toute modification d'accès effectuée.

Meilleures pratiques pour la revue des accès utilisateur

Pour garantir le succès de votre programme de gestion des accès des utilisateurs, voici quelques bonnes pratiques à garder à l'esprit lors des examens des accès des utilisateurs.

Soyez cohérent

La cohérence est la clé d'un programme de gestion des accès réussi. Mettre en place un calendrier d'examen cohérent pour les examens des accès peut vous permettre d'identifier toute personne inutile ou inappropriée avec des accès et des privilèges sensibles et de les révoquer avant qu'un incident de sécurité ou un dommage à la réputation ne survienne.

Inclure les examens des accès dans la formation des employés

Former vos employés sur la meilleure façon de réviser les droits d'accès peut également aider à améliorer le processus d'examen des accès. La formation pourrait couvrir l'envoi de communication ou de notifications en temps opportun concernant le roulement des employés, la participation des leaders aux examens des accès, la soumission de rapports d'accès des utilisateurs aux administrateurs informatiques ou systèmes lorsque des modifications doivent être effectuées, et l'utilisation d'outils d'examen des accès pour automatiser certaines parties du processus.

Impliquer les principaux acteurs

Lors de la mise en place d'un processus d'examen des accès des utilisateurs dans votre organisation, réfléchissez à l'implication des bons acteurs. Par exemple, au lieu de déléguer la responsabilité de la distribution et de l'examen des accès aux utilisateurs à l'équipe informatique, envisagez d'impliquer les managers dans le processus d'examen. Les managers auront plus de visibilité sur les membres de leurs équipes ou départements qui devraient avoir accès à certaines données et applications, surtout en cas de roulement ou d'autres changements au sein de l'équipe.

Examiner trimestriellement les accès des administrateurs et utilisateurs privilégiés

Examiner régulièrement l'accès des administrateurs ou utilisateurs privilégiés sur une base trimestrielle est crucial pour maintenir la sécurité. Étant donné que les administrateurs et utilisateurs privilégiés possèdent les capacités les plus importantes au sein d'un système, il est essentiel d'examiner leur accès trimestriellement. De plus, cela favorise la responsabilité et la transparence au sein d'une organisation, promouvant une culture de responsabilité et de confiance dans la gestion des informations sensibles et le maintien des accès à jour et conformes au principe du moindre privilège.

Intégrer les examens des accès des utilisateurs dans le cycle de vie d'intégration et de départ

L'accès des utilisateurs devrait faire partie du processus d'intégration et de départ des employés. Par exemple, avant qu'un nouvel employé ne commence, les RH et l'informatique devraient coordonner et communiquer pour déterminer quels outils ils auront besoin d'accéder et quelles permissions ils auront besoin. Si un employé existant change de rôle, ils devraient également communiquer quels systèmes et permissions ils gagneront ou perdront.

L'examen et le contrôle des accès jouent un rôle encore plus important lors du départ. Vous devez veiller à retirer l'accès aux données sensibles, aux systèmes et aux outils au moment approprié, en fonction de leur niveau de risque. Tant que l'employé n'est pas à haut risque, il est important de les informer de la date à laquelle leurs comptes ne seront plus disponibles.

Automatiser les examens des accès utilisateurs

Si possible, l'automatisation des examens des accès des utilisateurs peut réduire le risque d'erreur humaine et améliorer l'efficacité du processus d'examen des accès des utilisateurs.

Voici deux manières clés dont elle peut améliorer le processus :

• Réduire la communication aller-retour requise entre l'informatique et les autres équipes : En utilisant une plateforme d'automatisation comme Secureframe, par exemple, toutes les informations sur le personnel, les fournisseurs et leurs droits d'accès seront automatiquement extraites et mises à jour. Cela signifie que l'informatique et les autres acteurs clés du processus d'examen des utilisateurs peuvent accéder à toutes les informations nécessaires et à jour sur les utilisateurs et leurs droits d'accès.
• Améliorer la précision et les rapports : Les outils d'automatisation peuvent également réduire les risques d'erreurs qui peuvent survenir lors des examens manuels des accès des utilisateurs. Ils peuvent également générer des données et des rapports plus complets sur les accès des utilisateurs.

Modèle de révision des accès utilisateur

Prêt à mettre en œuvre des examens des accès utilisateur dans votre organisation ? Utilisez ce modèle pour lancer le processus.

Comment Secureframe peut aider à simplifier les révisions des accès utilisateur

Examiner et limiter périodiquement les privilèges d'accès peut aider à protéger votre organisation contre les incidents cybernétiques liés à un accès non autorisé.

Secureframe peut aider à simplifier et automatiser certaines parties de la gestion des accès utilisateur pour protéger votre organisation, notamment :

• Suivi de tous les utilisateurs, y compris les inactifs et non-personnel :Gérez les rôles, les groupes et les permissions, en fournissant l'accès nécessaire aux systèmes et ressources en fonction de ce dont chaque personne a besoin pour effectuer ses tâches, le tout sur une seule plateforme.
• Surveillance de l'accès des fournisseurs :suivez le niveau d'accès de chaque personne à vos intégrations et assurez-vous que chacun a l'accès nécessaire pour accomplir son travail. Réduisez votre surface d'attaque et renforcez votre posture de sécurité en limitant le nombre de personnes ayant un accès complet à vos données sensibles.
• Réduction de l'IT fantôme :Détectez tous les systèmes et applications que les employés utilisent avec leurs identifiants professionnels (email professionnel) qui peuvent ne pas être approuvés par le département IT.

Pour en savoir plus sur la façon dont Secureframe peut vous aider à simplifier la gestion des accès, planifiez une démo.