Académique Documents
Professionnel Documents
Culture Documents
Fevrier 2024
1 INTRODUCTION.....................................................................................................................5
1.1 OBJECTIF............................................................................................................................... 5
1.2 PORTÉE................................................................................................................................. 5
4 GLOSSAIRE..........................................................................................................................29
2
1 INTRODUCTION
Les procédures de gestion de l'accès des utilisateurs détaillent les directives et les étapes à
suivre pour accorder, modifier, gérer, réviser et révoquer l'accès logique aux systèmes
d'information, aux applications, aux équipements et aux dispositifs réseau de LA LNB (ci-après
dénommés actifs informationnels).
1.1 OBJECTIF
Les objectifs des procédures de gestion des accès des utilisateurs sont de garantir :
a. Un processus d'approbation formel est suivi pour accorder, modifier, gérer et révoquer
l'accès aux informations/actifs informationnels, aux installations de traitement de
l'information, aux systèmes d'information, aux applications, aux équipements et aux
périphériques réseau de LA LNB.
b. Les droits d'accès accordés aux employés, aux sous-traitants et au personnel tiers sont
rapprochés périodiquement afin d'identifier et de rectifier tout droit d'accès
inapproprié.
c. Révocation en temps opportun des droits d'accès logiques pour les personnes
résiliées/transférées
/des employés en fuite/démission, des sous-traitants et du personnel tiers.
1.2 PORTÉE
5
.
Aperçu
Les procédures de gestion de l'accès des utilisateurs définissent les étapes de mise en œuvre de
l'enregistrement des utilisateurs, de la modification de l'accès des utilisateurs, de la révision des
droits d'accès des utilisateurs et de la révocation de l'accès des utilisateurs. Le flux de processus
pour la gestion des accès utilisateur chez LA LNB est décrit dans la Figure 2 : Accès utilisateur
Procédures de gestion.
Un bref aperçu des processus qui constituent la gestion des accès des utilisateurs est donné ci-
dessous, suivi d'une description détaillée de chacun des processus, dans les sections suivantes.
Enregistrement de l'utilisateur
6
Le processus d'enregistrement des utilisateurs définit les activités visant à garantir que seuls les
employés, sous-traitants et personnels tiers autorisés, nouveaux/existants, ont accès aux
informations/actifs informationnels, aux systèmes d'information, aux applications, aux
équipements et aux périphériques réseau conformément aux exigences de l'entreprise.
7
Modification de l'accès utilisateur
Le processus de modification de l'accès des utilisateurs définit les activités impliquées dans la
modification des droits d'accès des utilisateurs pour les employés, les sous-traitants et le
personnel tiers, conformément aux exigences de l'entreprise.
8
2.1 ENREGISTREMENT DE L'UTILISATEUR
Le processus d'enregistrement des utilisateurs définit les activités visant à garantir que seuls les
employés, sous-traitants et personnels tiers autorisés, nouveaux/existants, ont accès aux
informations/actifs informationnels, aux systèmes d'information, aux applications, aux
équipements et aux périphériques réseau conformément aux exigences de l'entreprise. Le flux
de processus pour l'enregistrement de l'utilisateur chez LA LNB est décrit dans leFigure
3 : Inscription des utilisateurs.
Les activités clés qui doivent être réalisées au cours de ce processus sont :
a. Lancez la création de l'ID utilisateur :Le processus d'enregistrement de l'utilisateur
commence par déterminer si l'utilisateur est un nouvel employé de LA LNB. Dans le cas
où le nouveau venu est un employé de LA LNB, la fonction des ressources humaines
9
(RH) identifie l'accès utilisateur/les privilèges initiaux requis et lance le processus de
création d'ID utilisateur. Dans le cas d'employés LA LNB existants, de sous-traitants et
de personnel tiers, le superviseur LA LNB concerné (ci-après dénommé « superviseur »)
lance la demande de création d'ID utilisateur. L’intégration des utilisateurs externes
dans un annuaire Web doit avoir une date de fin obligatoire dans leur compte
utilisateur.
b. Approuver/Rejeter la création d'un ID utilisateur :Après avoir identifié les
accès/privilèges utilisateur requis, le formulaire de demande d'enregistrement
d'utilisateur est rempli et envoyé au
10
le chef fonctionnel concerné et/ou le propriétaire fonctionnel du processus
opérationnel pour approbation. La justification commerciale du niveau d'accès
demandé est fournie dans le formulaire de demande d'enregistrement de l'utilisateur.
Après approbation, la demande d'inscription de l'utilisateur est envoyée à la Fonction
SI pour la création de l'ID utilisateur. En cas de rejet, le processus est terminé.
c. Création d'un identifiant utilisateur :Après l'approbation (par le responsable
fonctionnel et/ou les propriétaires fonctionnels des processus métier), la demande
d'enregistrement de l'utilisateur est acheminée vers la fonction SI, pour la création de
l'ID utilisateur. Les identifiants utilisateur sont créés avec les accès/privilèges demandés
attribués. La fonction RH, le responsable fonctionnel concerné et/ou le propriétaire
fonctionnel du processus métier, les employés, les sous-traitants et le personnel tiers
sont informés de la création de l'ID utilisateur et le processus est terminé. Il doit y avoir
un identifiant unique pour l'authentification unique dans une plate-forme de gestion
des identités et des accès de premier ordre, étroitement intégrée à Active Directory de
LNB
d. Les technologies d'authentification unique doivent être utilisées dans la mesure du
possible pour limiter le nombre d'identifiants et de mots de passe dont un
utilisateur doit se souvenir.
e. Lorsque le processus d'authentification unique est utilisé pour les applications et
l'accès en ligne, l'ID utilisateur et les mots de passe doivent être automatiquement
synchronisés.
f. Lorsque le processus de script/tâche planifiée est utilisé pour émuler
l'authentification unique, le processus de script/tâche planifiée doit être sécurisé
pour empêcher toute modification non autorisée du processus de script/tâche
planifiée.
g. Il doit exister une relation de confiance pour l'authentification, l'authentification
Web et/ou des tiers agréés. Cela permettra aux utilisateurs externes d’accéder aux
applications LA LNB et aux ressources informatiques pertinentes.
Les activités suivantes fournissent des conseils de mise en œuvre pour le processus
d'enregistrement des utilisateurs :
a. La fonction RH identifie les accès/privilèges utilisateur requis par le nouveau membre
11
et lance le processus d'enregistrement de l'utilisateur. La fonction RH soulève la
demande d'enregistrement des utilisateurs pour les accès de base tels que l'accès au
courrier électronique et au réseau La LNB pour les nouveaux employés de LA LNB. Le
superviseur, en fonction des rôles et des responsabilités du poste, soulève la demande
d'enregistrement des utilisateurs pour les employés existants, les sous-traitants et le
personnel tiers pour accéder aux informations/actifs d'information, systèmes
d'information, applications, équipements et périphériques réseaux pertinents.
b. La demande d'inscription d'utilisateur de la Fonction RH pour le nouvel employé LA LNB
est considérée comme préapprouvée.
i. Pour les employés existants, les sous-traitants et le personnel tiers, le superviseur
identifie l'accès/les privilèges utilisateur requis et lance le processus
d'enregistrement des utilisateurs pour accéder aux ressources informatiques
et/ou aux applications LA LNB. En libre-service, les utilisateurs doivent pouvoir
demander l'accès au compte utilisateur par application. En libre service
12
les demandes d'accès doivent permettre les ajouts, les modifications et les
suppressions d'accès au compte utilisateur de l'application et de droits par
application.
ii. Il doit exister un catalogue de droits avec des droits d'accès faciles à utiliser basés
sur des identités associées.
c. Le superviseur ou le supérieur hiérarchique remplit le formulaire de demande
d'enregistrement d'utilisateur pour les employés existants, les sous-traitants et le
personnel tiers et l'envoie aux responsables fonctionnels concernés et/ou aux
propriétaires de processus métier/fonctionnels pour approbation. Sous la forme d'un
système de gestion des identités et des accès, le superviseur capture la durée d'accès
requise pour l'application/le système particulier.
d. Le chef fonctionnel et/ou le propriétaire fonctionnel du processus opérationnel
examine les niveaux d'accès demandés par rapport aux rôles et responsabilités des
employés, des sous-traitants et du personnel tiers.
e. Il est garanti que le niveau d'accès accordé est proportionné aux besoins de l'entreprise
et est conforme à la politique de
f. Si les niveaux d'accès demandés sont appropriés, le responsable fonctionnel approuve
la demande d'enregistrement des utilisateurs pour les employés, les sous-traitants et le
personnel tiers.
g. Dans le cas où l'accès demandé est destiné à des fins d'administration backend,
l'approbation du propriétaire du système/de l'application doit être obtenue.
h. Une fois la demande d'enregistrement de l'utilisateur approuvée, la fonction SI pour les
ressources informatiques uniquement, crée l'ID utilisateur et accorde les accès requis
aux employés, sous-traitants et personnel tiers.
i. La Fonction SI informe la Fonction RH, les responsables fonctionnels concernés et les
employés/sous-traitants/personnel tiers de la finalisation de l'enregistrement de
l'utilisateur.
j. Des directives supplémentaires sont fournies ci-dessous pour mettre en œuvre le
processus d’enregistrement des utilisateurs :
i. Le superviseur examine les rôles et les responsabilités des
employés/entrepreneurs/personnel tiers avant de lancer la demande d'accès
utilisateur.
13
ii. Les privilèges à attribuer sont basés sur le « besoin de savoir » et le « besoin
d’avoir ».
iii. Par défaut, tous les nouveaux collaborateurs ont accès aux services des systèmes
d'information tels que la messagerie électronique, les outils d'assistance
informatique et l'intranet.
v. Attribuez des privilèges basés sur les rôles pour chacun des composants
d’infrastructure identifiés.
vi. Communiquez l’identifiant et le mot de passe aux employés, sous-traitants et
personnel tiers, de manière sécurisée.
vii. La création de comptes utilisateur suit les directives de gestion des mots de
passe..
viii. Il doit y avoir une « synchronisation des données étroitement couplée » entre le
« dossier de personne » et les comptes d'utilisateurs dans Active Directory qui
gère de manière transparente les événements du cycle de vie des utilisateurs :
nouvelles embauches, promotions, transferts, rétrogradations, suspensions,
congés de longue durée, démissions et licenciements. (« entrants, sortants,
déménageurs »).
Le processus de modification de l'accès utilisateur est lancé lorsque les employés de LA LNB, les
sous-traitants et le personnel tiers demandent des modifications d'accès/privilèges utilisateur.
La modification inclut mais ne se limite pas aux mutations au sein de différentes fonctions, aux
14
promotions et aux changements de responsabilités. Le flux de processus pour le processus de
modification de l'accès des utilisateurs chez LA LNB est décrit dans leFigure 4 : Modification de
l'accès utilisateur.
15
Figure 4 : Modification de l'accès utilisateur
Les activités clés qui doivent être réalisées au cours de ce processus sont :
a. Demander une modification d'accès: La demande de modification d'accès est soulevée
par un employé, un entrepreneur ou un tiers et est envoyée au superviseur concerné
pour examen.
b. Approuver/Rejeter la modification d'accès :La demande de modification de l'accès
utilisateur est acheminée vers les responsables fonctionnels concernés et/ou le
propriétaire fonctionnel du processus métier pour approbation. Le responsable
fonctionnel et/ou le propriétaire fonctionnel du processus opérationnel approuve ou
rejette la demande après avoir évalué si les modifications demandées en matière
d'accès/privilèges utilisateur sont appropriées et nécessaires conformément aux
exigences opérationnelles. Après approbation, la demande est acheminée vers la
Fonction SI pour les ressources informatiques uniquement, afin d'accorder les
accès/privilèges à l'utilisateur demandé. Sur rejet de la demande de modification
16
d'accès utilisateur, le processus est terminé. Il doit y avoir un processus de
rapprochement entre l'intégration des RH dans EBS HR et Oracle EBS, Active Directory
et d'autres applications métier LA LNB. Il y aura un travail planifié à intervalles fixes qui
récupérera les « enregistrements de personne » et les modifications apportées à ces
données (en fonction des événements d'arrivée, de départ, de déménagement) et les
intégrera dans l'identité et l'accès.
17
Système de gestion. Il doit y avoir une interface/API d'intégration pilotée par machine
qui gère le calendrier de réconciliation
c. Les politiques d'accès doivent fournir une description de ce que les utilisateurs peuvent
faire avec leurs droits d'accès dans les nouvelles demandes d'approbation d'accès, les
recertifications et les examens d'audit.
d. Modifier les niveaux d'accès :Après l'approbation de la modification de l'accès
utilisateur demandée par le responsable fonctionnel et/ou le propriétaire fonctionnel
du processus métier, pour les ressources informatiques uniquement, la fonction SI
modifie l'accès/les privilèges de l'utilisateur et envoie une communication aux
responsables fonctionnels respectifs et/ou au propriétaire fonctionnel du processus
métier. , employé/entrepreneur/personnel tiers et le processus est terminé. Les
événements du cycle de vie doivent déclencher des flux de travail spécifiques pour
gérer le processus depuis le lancement d'une demande jusqu'au provisionnement et à
l'exécution d'une demande approuvée.
Les activités suivantes fournissent des conseils pour le processus de modification de l'accès des
utilisateurs :
a. Il doit y avoir un suivi du statut des demandes d'accès, des approbations et des tâches
d'exécution.
b. Une autorisation grossière sera effectuée au niveau de l'accès dans le système de
gestion des identités et des accès, et une autorisation plus fine au niveau de
l'application.
c. Il doit exister un catalogue de demandes d'accès qui permet aux utilisateurs de
demander l'accès aux rôles, aux instances d'application et aux accès supplémentaires
(« droits ») au sein des applications.
d. Il doit y avoir une interface en libre-service pour rechercher dans un catalogue des
applications, des rôles et des privilèges.
e. Définir à quels enregistrements et informations les utilisateurs peuvent accéder est
fondamental pour la sécurité des RH.
f. Il doit exister des options d'authentification fortes telles que des mots de passe à
usage unique (OTP) ou une authentification à deux facteurs.
g. Il n'y aura qu'une seule URL SSO par application et aucun accès direct à l'application ne
sera autorisé.
18
h. Les utilisateurs externes seront enregistrés à l'aide d'un service d'annuaire Web et
accéderont aux applications professionnelles LNB pertinentes à l'aide de
l'authentification Web SSO.
i. Un employé, un entrepreneur ou un tiers initie une demande de modification des
accès/privilèges et l'envoie au superviseur concerné.
j. Le superviseur envoie la demande au chef fonctionnel concerné et/ou au propriétaire
fonctionnel du processus opérationnel pour approbation. Il doit y avoir une capacité à
demander des informations supplémentaires aux utilisateurs impliqués dans le
processus de demande d'accès (par exemple, demandeur, approbateur, propriétaires
d'applications/de données).
19
k. Le chef fonctionnel et/ou le propriétaire fonctionnel du processus opérationnel
examine les niveaux d'accès demandés par rapport aux rôles et responsabilités de
l'employé, de l'entrepreneur et du personnel tiers.
l. Si les niveaux d'accès demandés sont appropriés et requis selon les exigences
opérationnelles, le chef fonctionnel et/ou le propriétaire fonctionnel du processus
opérationnel approuve la demande.
m. Dans les cas où l'accès demandé est destiné à des fins d'administration back-end,
l'approbation du propriétaire du système/de l'application doit être obtenue.
n. L'approbation postérieure du chef fonctionnel et/ou du propriétaire fonctionnel du
processus opérationnel et/ou de la fonction SI pour les ressources informatiques
fournit l'accès utilisateur/les privilèges requis à l'employé/entrepreneur/personnel
tiers. Les rôles et responsabilités approuvés par le responsable fonctionnel et/ou le
propriétaire fonctionnel du processus métier doivent être automatiquement assumés
par le système de gestion des identités et des accès dans l'application concernée.
o. Il doit y avoir une interface/API d'intégration pilotée par machine qui gère la création
automatique de comptes utilisateur dans Oracle EBS, Active Directory et d'autres
applications LA LNB.
p. Il doit y avoir une interface/API d'intégration pilotée par machine qui gère l'attribution
automatique des rôles et des responsabilités dans Oracle EBS, Active Directory et
d'autres applications LA LNB.
q. La Fonction SI ou la gestion des identités et des accès informe automatiquement le
Responsable Fonctionnel et/ou le propriétaire fonctionnel du processus métier et
l'employé, le sous-traitant ou le personnel tiers des modifications des accès/privilèges
des utilisateurs.
r. Des directives supplémentaires sont fournies ci-dessous pour mettre en œuvre le
processus de modification des utilisateurs :
i. La fonction SI pour les ressources informatiques (et la fonction centrale de
gestion des accès des utilisateurs, par exemple dans LA LNB Next) conserve un
enregistrement de toutes les modifications apportées aux comptes d'utilisateurs
dans le formulaire de demande d'enregistrement/de modification d'accès des
utilisateurs. Le dossier comprend au minimum les détails suivants :
ID de l'utilisateur
20
Accès/privilèges utilisateur actuels
Modifications demandées aux accès/privilèges des utilisateurs
Responsable fonctionnel autorisé et/ou propriétaire fonctionnel des processus
opérationnels
Durée pour laquelle l'accès/les privilèges de l'utilisateur sont demandés.
ii. La création de comptes utilisateur suit les directives de gestion des mots de
passe.
21
iii. Le processus de modification des utilisateurs est lancé dans les 7 jours suivant la
date de transfert pour les utilisateurs transférés (changements dans les
responsabilités professionnelles, les unités fonctionnelles et les fonctions).
iv. Il doit y avoir un processus automatisé de demande et d’approbation de flux de
travail dans une plate-forme de gestion des identités et des accès de premier
ordre.
v. L'enregistrement des utilisateurs, la modification de l'accès des utilisateurs, la
révision des droits d'accès des utilisateurs et la révocation de l'accès des
utilisateurs dans les applications commerciales LA LNB, l'infrastructure
informatique et les systèmes réseau doivent être automatisés dans une plate-
forme de gestion des identités et des accès de premier ordre comprenant une
authentification unique et un accès basé sur les rôles.
vi. Il doit y avoir un support pour la vérification des politiques des demandes d'accès
en libre-service et déléguées avant d'être soumises pour exécution afin d'éviter
les violations de la séparation des tâches.
vii. L’appartenance à des groupes basés sur les applications et les groupes de
sécurité seraient hérités/répliqués dans le système de gestion des identités et
des accès.
viii. Il doit être possible de définir et d'appliquer une politique d'accès, y compris des
politiques de séparation des tâches entre les rôles individuels, entre les droits
individuels et entre les rôles et les droits.
ix. Il doit y avoir des instances de serveur Web à charge équilibrée configurées en
tant que serveur proxy inverse pour les applications Web intégrées au système
de gestion des identités et des accès. Il doit y avoir une communication SSL dans
tout le SSO et toutes les consoles et l'intégration SSO doivent être accessibles via
SSL avec le protocole HTTPS. Toute la communication du. l'utilisateur final aux
composants du système de gestion des identités et des accès serait SSL avec le
protocole HTTPS
Le processus de révocation des accès/privilèges des utilisateurs est mis en œuvre pour garantir
que seuls les employés, sous-traitants et personnels tiers autorisés de LA LNB ont accès aux
22
informations/actifs d'information de LA LNB, aux installations de traitement de l'information,
aux systèmes d'information, aux applications, aux équipements et aux périphériques réseau.
Dans le cas où les employés, sous-traitants ou personnel tiers se séparent de LA LNB, le
processus de révocation de l'accès de l'utilisateur est lancé. La cessation d'emploi comprend
également le licenciement, la démission ou l'absence non informée du travail de l'employé
pendant 5 jours consécutifs. Le flux de processus pour le processus de révocation de l'accès
utilisateur chez LA LNB est décrit dans la Figure 5 : Révocation de l'accès utilisateur.
23
Figure 5 : Révocation de l'accès utilisateur
Les activités clés qui doivent être réalisées au cours de ce processus sont :
a. Initier la révocation d'accès :La révocation de l'accès est initiée lorsque les
employés/sous-traitants/personnel tiers se séparent de LA LNB. Dans le cas d'un
employé de LA LNB, la Fonction RH initie la demande de révocation d'accès utilisateur.
Pour un entrepreneur ou un personnel tiers, le superviseur respectif initie la demande
de révocation d'accès.
b. Demande de révocation d'examen :Le responsable fonctionnel et/ou le propriétaire
fonctionnel du processus opérationnel examine ensuite la demande de révocation
d'accès utilisateur et approuve ou rejette la demande. En cas de rejet, le processus est
terminé. Après approbation, la demande est acheminée vers la fonction SI pour les
ressources informatiques (et la fonction centrale de gestion des accès des utilisateurs,).
24
c. Accès révoqué: Après l'approbation (du responsable fonctionnel et/ou des
propriétaires fonctionnels des processus métier), la fonction SI pour les ressources
informatiques (et la fonction centrale de gestion des accès des utilisateurs,) révoque
l'accès/les privilèges utilisateur associés à l'utilisateur. Lors de la révocation de l'accès,
la fonction SI pour les ressources informatiques (et la fonction centrale de gestion des
accès des utilisateurs) envoie une communication au responsable fonctionnel concerné
et/ou aux propriétaires fonctionnels des processus métier, à la fonction RH et le
processus est terminé. Les rôles et responsabilités doivent
25
être automatiquement révoqué par le système de gestion des identités et des accès dans
l'application concernée.
Les activités suivantes fournissent des conseils de mise en œuvre pour le processus de
révocation de l'accès des utilisateurs :
a. La fonction RH lance le processus de révocation de l'accès des utilisateurs pour les
employés et le superviseur ou supérieur hiérarchique LA LNB concerné lance le
processus de révocation de l'accès des utilisateurs pour le personnel du
sous-traitant/tiers.
b. La fonction RH/superviseur initie la demande en remplissant le formulaire de
révocation d'accès utilisateur
c. La fonction RH/le superviseur envoie à la demande de révocation de l'accès de
l'utilisateur l'approbation du responsable fonctionnel concerné et/ou des propriétaires
fonctionnels des processus métiers.
d. Le responsable fonctionnel et/ou le propriétaire fonctionnel du processus opérationnel
examine et approuve la demande de révocation.
e. La Fonction SI, réservée aux ressources informatiques, révoque les droits d'accès de
l'employé, du sous-traitant et du personnel tiers.
f. Si la demande est rejetée par le responsable fonctionnel et/ou le propriétaire
fonctionnel du processus opérationnel, le processus prend fin.
g. Informer la fonction RH et le responsable fonctionnel et/ou les propriétaires
fonctionnels des processus opérationnels de l'achèvement du processus de révocation.
h. Des directives supplémentaires sont fournies ci-dessous pour révoquer les droits d'accès
des utilisateurs :
i. Si un employé est absent (non informé) du travail pendant plus de 5 jours
ouvrables, l'employé, l'entrepreneur et le personnel tiers sont traités comme un
employé en fuite et l'accès est révoqué.
ii. Le dernier jour désigné en cas de licenciement/démission/fuite d'un employé,
d'un sous-traitant ou d'un personnel tiers, la fonction SI pour les ressources
informatiques uniquement doit supprimer tous les accès/privilèges utilisateur
attribués à l'ID utilisateur respectif.
iii. .
26
2.4 RÉVISER LES DROITS D'ACCÈS
Les droits d'accès des utilisateurs sont révisés au moins une fois par an et des mesures sont
prises pour gérer les droits d'accès de l'employé, du sous-traitant et du personnel tiers. Le flux
de processus pour l'examen des droits d'accès des utilisateurs est décrit dans la Figure 6 : Accès
aux révisions Droits.
27
Figure 6 : Vérifier les droits d'accès
Les activités clés qui doivent être réalisées au cours de ce processus sont :
a. Vérifier les droits d'accès: Une liste des salariés en fuite, licenciés, démissionnaires ou
transférés, au cours de la période d'examen, est générée par la Fonction RH. La liste est
validée par la fonction SI pour les ressources informatiques (et la fonction centrale de
gestion des accès des utilisateurs) par rapport à la liste réelle des utilisateurs qui ont eu
accès aux actifs informationnels de LA LNB. La fonction SI prépare également une liste
d'utilisateurs actifs ainsi que les droits d'accès et les privilèges attribués aux utilisateurs
et envoie la liste au responsable fonctionnel concerné et/ou aux propriétaires
fonctionnels des processus métiers pour examen et commentaires. Il doit y avoir des
certifications pour les droits individuels, tels que les appartenances à des groupes, qui
28
sont attribuées aux propriétaires de données appropriés ou aux responsables
hiérarchiques. Les certifications d'accès doivent être générées automatiquement sur
une base planifiée. Dans le cadre de l'accès basé sur les rôles, un certificat d'accès doit
être automatiquement généré en fonction des modifications apportées à l'accès d'un
utilisateur (par exemple, l'utilisateur change de service, de poste). Les certificateurs
doivent être en mesure de vérifier les privilèges d'accès d'un utilisateur et d'approuver,
de révoquer ou d'autoriser des exceptions. L'historique de chaque élément de
certification, y compris les décisions de délégation, de transfert, de contestation et de
révision, doit être suivi. Il doit y avoir une capacité d'examen et de résolution des
violations de politique directement dans une certification.
i. Il doit y avoir un référentiel d'identité pour suivre tous les événements d'identité.
ii. Il doit y avoir un audit, un suivi et des rapports sur la conformité des accès et des
droits des utilisateurs.
29
iii. Il doit y avoir des enregistrements précis de la configuration et des modifications
apportées aux droits d'accès des utilisateurs à des fins d'audit.
iv. Il doit y avoir une vérification de la conformité via la collecte, la corrélation et la
création de rapports de pistes d'audit.
v. Il doit y avoir une piste d'audit indiquant qui a accès à quoi et qui a approuvé ces
droits d'accès.
vi. Il doit y avoir des capacités de journalisation et de reporting pour tous les
changements de rôle (par exemple « Quand le rôle a-t-il été créé ? Qui l'a créé ?
Qui l'a approuvé ? »).
b. Approuver la révocation/modification :Après validation, une liste finale des utilisateurs
dont l'accès/les privilèges doivent être révoqués/modifiés est préparée. La liste est
envoyée au responsable fonctionnel concerné et/ou aux propriétaires fonctionnels des
processus opérationnels et l'approbation est prise pour révoquer/modifier les droits
d'accès.
c. Révoquer/Modifier l'accès :Après approbation, la fonction SI pour les ressources
informatiques (et la fonction centrale de gestion des accès des utilisateurs,)
révoque/modifie les droits d'accès des utilisateurs répertoriés. En cas de
révocation/modification, la fonction SI envoie une communication au responsable
fonctionnel et/ou aux propriétaires fonctionnels des processus métier respectifs et à la
fonction RH, et le processus est terminé.
Les activités suivantes fournissent des conseils de mise en œuvre pour l’examen des droits
d’accès des utilisateurs :
a. La fonction SI pour les ressources informatiques (et la fonction centrale de gestion des
accès des utilisateurs), ainsi que le responsable fonctionnel et/ou le propriétaire
fonctionnel des processus métier, effectuent un examen trimestriel des
accès/privilèges utilisateur associés à tous les utilisateurs.
b. La fonction IS pour les ressources informatiques (et la fonction centrale de gestion des
accès des utilisateurs) compile une liste de tous les ID d'utilisateur actifs et des droits
d'accès associés à ces ID d'utilisateur.
c. La liste définitive des utilisateurs dont les droits d'accès doivent être révoqués/modifiés
est préparée par la Fonction SI pour les ressources informatiques (et la fonction
30
centrale de gestion des accès des utilisateurs).
en validant par rapport à la liste des utilisateurs en
fuite/licenciés/démissionnaires/transférés.
d. Une demande est envoyée au responsable fonctionnel concerné et/ou aux
propriétaires fonctionnels des processus opérationnels pour obtenir l'approbation de la
révocation/modification des droits d'accès.
e. Après approbation, la fonction SI pour les ressources informatiques (et la fonction
centrale de gestion des accès des utilisateurs) lance et met en œuvre la révocation des
droits d'accès.
f. Après la révocation, la Fonction SI pour les ressources informatiques (et la fonction
centrale de gestion des accès utilisateurs par exemple) informe la Fonction RH et le
Fonctionnel.
31
Responsable et/ou propriétaire fonctionnel du processus métier des droits d'accès
révoqués/modifiés des utilisateurs.
g. L'examen des droits d'accès des utilisateurs doit inclure, sans s'y limiter, les éléments
suivants :
i. L'accès des utilisateurs existants/actifs doit être approuvé.
ii. Des identifiants d'utilisateur uniques doivent être attribués aux utilisateurs.
iii. Les droits d'accès configurés pour les utilisateurs doivent être conformes aux
responsabilités professionnelles approuvées.
iv. Les identifiants utilisateur des employés licenciés seront désactivés/supprimés.
v. La modification du droit d'accès en raison d'un transfert ou de changements
dans les responsabilités du poste doit être approuvée.
vi. Les modifications apportées aux droits d'accès de l'utilisateur doivent être
approuvées et configurées en conséquence.
vii. Les attributions privilégiées doivent être vérifiées pour garantir qu’aucun
privilège non autorisé n’a été obtenu.
viii. Tous les comptes privilèges sont examinés au moins une fois par trimestre par le
responsable fonctionnel et/ou le propriétaire fonctionnel des processus
opérationnels.
ix. Tentative de connexion infructueuses.
x. Tous les identifiants d'utilisateur doivent être automatiquement
désactivés/désactivés après une période d'inactivité de 90 jours ou 60 jours
après la désactivation.
32
LA LNB :
CONFIDENTIEL
a. Chaque année, une analyse des lacunes politiques, y compris tous les processus,
procédures et normes connexes et/ou connexes, doit être effectuée par le membre
responsable de l'équipe afin d'évaluer :
i. Alignement avec les objectifs commerciaux et les meilleures pratiques applicables
ii. Pertinence par rapport à l'environnement LA LNB en fonction du profil de risque
de l'organisation et des changements dans la technologie adoptée par
l'entreprise
iii. Lacunes de couverture résultant de changements organisationnels.
28
LNB
4 GLOSSAIRE
Terme Définition
Accéder aux L'examen périodique des privilèges d'accès des utilisateurs afin de valider
certifications que les privilèges d'accès correspondent à la fonction professionnelle
d'un utilisateur et sont conformes aux directives politiques. Les
certifications d'accès sont couramment utilisées comme contrôle interne
pour garantir la conformité à la loi Sarbanes-Oxley et à d'autres
réglementations. Au fil du temps, les utilisateurs peuvent accumuler des
droits qui ne sont plus nécessaires ou appropriés à leur fonction. La
certification d'accès est un processus par lequel les parties prenantes
appropriées de l'entreprise, telles que les gestionnaires d'utilisateurs ou
les propriétaires d'applications, peuvent examiner périodiquement
droits et identifier ceux qui doivent être supprimés
Contrôle d'accès Le système contrôle et les processus environnants qui accordent ou
refusent aux parties la capacité et l'opportunité d'accéder aux systèmes
(c'est-à-dire, obtenir
connaissance ou modification d'informations ou de matériel sur les
systèmes).
Gestion des Systèmes ou processus utilisés pour contrôler l'authentification et
accès l'autorisation des ressources au sein d'une organisation, telles que les
fichiers, les applications, les systèmes, les appareils, etc. La gestion des
accès est souvent basée sur un système d'évaluation de rôles et de règles
pour accorder ou refuser l'accès à un objet dans l'organisation.
organisation.
Privilèges Droits d'accès dont dispose un utilisateur sur une ressource système, tels
d'accès que le droit d'accéder, d'afficher, de modifier, de créer ou de supprimer.
Demande Systèmes ou processus utilisés pour demander un nouvel accès, apporter
d'accès des modifications à l'accès existant ou supprimer l'accès aux ressources au
sein d'une organisation.
Gestion de Un ensemble de processus pour gérer l'authentification dans les
compte systèmes connectés. Cela implique principalement la création et la
suppression de comptes d'utilisateurs dans
le système connecté
Active Une application Microsoft qui fournit des ressources d'authentification et
Directory d'autorisation à Microsoft Windows et à d'autres applications Windows.
Surveillanc UN moyens à moniteur utilisateur Actions (par exemple
e des accéder à les systèmes,modifications des données) en utilisant les
activités données de journal collectées à partir des systèmes ou
applications.
29
LNB
30
LNB
portable).
Biométrique Un trait physique ou une caractéristique comportementale qui peut être
utilisé à des fins d'identification ou de vérification. Une bonne biométrie
doit être unique à un individu, stable dans le temps, rapide et facile à
présenter
et vérifier, et ne pas être facilement reproduit par des moyens artificiels.
Enfreindre La défaite réussie des contrôles de sécurité, ce qui pourrait entraîner une
pénétration non autorisée d'un système ou d'une application ; une
violation des contrôles d'un système particulier tel que les actifs
informationnels ou le système
les composants sont indûment exposés.
Informations La partie privée d'une assertion d'identité appariée (l'ID utilisateur est
d'identification généralement la partie publique). La ou les choses sur lesquelles une
entité s'appuie dans une assertion à un moment donné, généralement
pour authentifier une identité revendiquée.
Les informations d'identification peuvent changer avec le temps et être
révoquées.
32
LNB
Conformité Conforme à une spécification ou une politique, une norme ou une loi
clairement définie. Les politiques peuvent être dérivées de directives,
procédures et exigences internes, ou de lois, réglementations, normes et
accords externes. Ces lois peuvent avoir des conséquences pénales ou
civiles
des sanctions ou peuvent être des règlements.
Corrélation Processus de combinaison de données d'identité provenant de sources
de données disparates dans un schéma commun qui représente une
identité. Les identités peuvent être liées automatiquement aux comptes
d'application et aux droits d'accès à l'aide de
règles de corrélation ou manuellement à l’aide d’un outil pour établir les
liens corrects.
CSV Un fichier de valeurs séparées par des virgules est un fichier de données
utilisé pour le stockage numérique de données structurées sous forme de
tableau de listes, où chaque élément associé (membre) dans un groupe
est également en association avec d'autres.
séparés par les virgules de son ensemble.
Tableau de bord Un mécanisme de reporting qui regroupe et affiche des métriques et des
indicateurs de performance clés (KPI), permettant de les examiner en un
coup d'œil par toutes sortes d'utilisateurs avant une exploration plus
approfondie via des outils supplémentaires de business intelligence (BI),
de gestion des performances (PM) et d'analyse. Les tableaux de bord
aident à améliorer la prise de décision en révélant et en communiquant
des informations contextuelles sur les performances de l'entreprise. Ils
affichent des KPI ou des mesures commerciales à l'aide d'une
visualisation intuitive, notamment des graphiques, des cadrans, des
jauges et des « feux de circulation » qui indiquent la progression des KPI
vers des objectifs définis. Ils permettent aux utilisateurs d'explorer
ensuite des niveaux de détail successifs, tels que définis par le
développeur du tableau de bord, pour explorer pourquoi un KPI peut
être hors cible. Les tableaux de bord peuvent être déployés sur une
multitude de types d'appareils (ordinateurs de bureau, ordinateurs
portables, tablettes et/ou smartphones) dans un environnement
connecté ou déconnecté.
mode.
Dé- Un processus pour supprimer un compte utilisateur dans un système.
approvisionnem
ent :
Contrôle Une procédure, éventuellement assistée par automatisation, utilisée pour
détective identifier
Événements (indésirables ou souhaités), erreurs et autres événements
33
LNB
34
LNB
composants et appareils.
Fédération Ensemble d'accords qui permettent à une organisation de faire confiance
à l'authentification fournie par une organisation distincte et de fournir
une autorisation basée sur ce résultat d'authentification. L'objectif de la
fédération est de permettre aux utilisateurs d'accéder à des ressources
dans plusieurs
organisations de manière transparente.
Gouvernance Cela concerne les décisions qui définissent les attentes, accordent du
pouvoir ou vérifient
performance. Il s’agit soit d’un processus distinct, soit d’une partie des
processus de gestion ou de leadership.
Groupe Un ensemble d'utilisateurs pour simplifier le contrôle d'accès aux
systèmes informatiques. Traditionnellement, les groupes sont statiques :
on définit un groupe en sélectionnant individuellement ses membres.
Cependant, dans les groupes dynamiques, tous les utilisateurs
correspondant aux critères de recherche spécifiés seront considérés
comme membres de ce groupe.
groupe dynamique.
Hiérarchique Dans le contrôle d'accès basé sur les rôles, la hiérarchie des rôles définit
Modèle une relation d'héritage entre les rôles. Par exemple, la structure des rôles
d'une banque peut traiter tous les employés comme des membres du
rôle « employé ». Au-dessus peuvent se trouver les rôles de « chef de
service » et de « comptable », qui
hériter de toutes les autorisations du rôle « employé ».
Cube d'identité Une vue multidimensionnelle de chaque identité et de leurs accès et
attributs associés.
Gouvernance Logiciel de gestion des identités qui combine la gestion de la conformité,
des identités la gestion des rôles, la gestion des demandes d'accès et l'intelligence des
identités pour améliorer la responsabilité et la transparence, mieux
répondre aux mandats de conformité et gérer les risques commerciaux
associés.
avec un accès utilisateur aux applications et données critiques.
Clé d'identité Une valeur unique utilisée (et généralement générée) par un magasin
d'identités identifie de manière unique chaque identité.
Gestion des La discipline de sécurité qui permet aux bonnes personnes d'accéder aux
identités et des bonnes ressources au bon moment et pour les bonnes raisons. IAM
accès (IAM) répond au besoin critique de garantir un accès approprié aux ressources
dans des environnements technologiques de plus en plus hétérogènes et
de répondre à des exigences de conformité de plus en plus rigoureuses.
Cette pratique de sécurité est une entreprise cruciale pour toute
entreprise. Elle est de plus en plus orientée vers les entreprises et
35
LNB
36
LNB
37
LNB
38
LNB
Modèle Une description schématique des rôles qui définit les rôles et les
hiérarchies de rôles, l'activation du rôle sujet, la médiation sujet-objet,
ainsi que les contraintes sur l'appartenance utilisateur/rôle et l'activation
des ensembles de rôles. Un modèle est un ensemble
de définitions de rôles et un ensemble d’attributions de rôles implicites ou
explicites.
Gestion des La gestion des informations de sécurité (SIM) assure la gestion des
informations journaux (la collecte, le reporting et l'analyse des données de journaux)
et des pour prendre en charge les rapports de conformité réglementaire, la
événements gestion interne des menaces et la surveillance de l'accès aux ressources.
de sécurité La gestion des événements de sécurité (SEM) traite les données
(SIEM) d'événements provenant des dispositifs de sécurité, des périphériques
Technologie réseau, des systèmes et des applications en temps réel pour assurer la
surveillance de la sécurité, la corrélation des événements et la réponse
aux incidents. La technologie peut être utilisée pour
découvrir une activité associée à une attaque ciblée ou à un problème de
sécurité
40
LNB
42