PROCÉDURES DE GESTION DES ACCÈS

Fevrier 2024

Consultant: Ulysse Aurin Aihounton

TEL 97977917 email : ulyaurin@yahoo.fr
 Table des matières

Table des matières

1 INTRODUCTION.....................................................................................................................5
1.1 OBJECTIF............................................................................................................................... 5
1.2 PORTÉE................................................................................................................................. 5

2 PROCÉDURES DE GESTION DES ACCÈS UTILISATEURS............................................................8

2.1 ENREGISTREMENT DE L'UTILISATEUR.................................................................................11
2.1.1 FORMAT DE L'ID UTILISATEUR.............................................................................................17
2.2 MODIFICATION D'ACCÈS UTILISATEUR...............................................................................17
2.3 RÉVOCATION DE L'ACCÈS UTILISATEUR..............................................................................23
2.4 RÉVISER LES DROITS D'ACCÈS.............................................................................................27

3 CONTRÔLE DES DOCUMENTS..............................................................................................28

3.1 CONTRÔLE DES DOCUMENTS.............................................................................................28
3.2 CONFORMITÉ DES DOCUMENTS.........................................................................................28

4 GLOSSAIRE..........................................................................................................................29

2
1 INTRODUCTION

Les procédures de gestion de l'accès des utilisateurs détaillent les directives et les étapes à
suivre pour accorder, modifier, gérer, réviser et révoquer l'accès logique aux systèmes
d'information, aux applications, aux équipements et aux dispositifs réseau de LA LNB (ci-après
dénommés actifs informationnels).

1.1 OBJECTIF

Les objectifs des procédures de gestion des accès des utilisateurs sont de garantir :
a. Un processus d'approbation formel est suivi pour accorder, modifier, gérer et révoquer
l'accès aux informations/actifs informationnels, aux installations de traitement de
l'information, aux systèmes d'information, aux applications, aux équipements et aux
périphériques réseau de LA LNB.
b. Les droits d'accès accordés aux employés, aux sous-traitants et au personnel tiers sont
rapprochés périodiquement afin d'identifier et de rectifier tout droit d'accès
inapproprié.
c. Révocation en temps opportun des droits d'accès logiques pour les personnes
résiliées/transférées
/des employés en fuite/démission, des sous-traitants et du personnel tiers.

1.2 PORTÉE

La portée du programme de sécurité de l'information englobe toutes les installations de LA

LNB, , les informations/actifs informationnels, les employés, les sous-traitants et le personnel
tiers. Cette procédure s'applique à tous les employés, sous-traitants et personnel tiers ayant
accès aux systèmes d'information, applications, équipements et périphériques réseau de LA
LNB.

5
.

2 PROCÉDURES DE GESTION DES ACCÈS UTILISATEURS

Aperçu
Les procédures de gestion de l'accès des utilisateurs définissent les étapes de mise en œuvre de
l'enregistrement des utilisateurs, de la modification de l'accès des utilisateurs, de la révision des
droits d'accès des utilisateurs et de la révocation de l'accès des utilisateurs. Le flux de processus
pour la gestion des accès utilisateur chez LA LNB est décrit dans la Figure 2 : Accès utilisateur
Procédures de gestion.

Figure 2 : Procédures de gestion des accès utilisateurs

Un bref aperçu des processus qui constituent la gestion des accès des utilisateurs est donné ci-
dessous, suivi d'une description détaillée de chacun des processus, dans les sections suivantes.

Enregistrement de l'utilisateur
6
Le processus d'enregistrement des utilisateurs définit les activités visant à garantir que seuls les
employés, sous-traitants et personnels tiers autorisés, nouveaux/existants, ont accès aux
informations/actifs informationnels, aux systèmes d'information, aux applications, aux
équipements et aux périphériques réseau conformément aux exigences de l'entreprise.

7
Modification de l'accès utilisateur
Le processus de modification de l'accès des utilisateurs définit les activités impliquées dans la
modification des droits d'accès des utilisateurs pour les employés, les sous-traitants et le
personnel tiers, conformément aux exigences de l'entreprise.

Révocation/Résiliation de l'Accès Utilisateur

Le processus de révocation de l'accès des utilisateurs définit les activités permettant de garantir
que les droits d'accès des utilisateurs prennent fin en temps opportun.

Examen des droits d'accès des utilisateurs

Le processus d'examen des droits d'accès des utilisateurs définit les activités impliquées dans
l'examen périodique des droits d'accès des utilisateurs pour les employés, les sous-traitants et
le personnel tiers.

8
2.1 ENREGISTREMENT DE L'UTILISATEUR

Le processus d'enregistrement des utilisateurs définit les activités visant à garantir que seuls les
employés, sous-traitants et personnels tiers autorisés, nouveaux/existants, ont accès aux
informations/actifs informationnels, aux systèmes d'information, aux applications, aux
équipements et aux périphériques réseau conformément aux exigences de l'entreprise. Le flux
de processus pour l'enregistrement de l'utilisateur chez LA LNB est décrit dans leFigure
3 : Inscription des utilisateurs.

Figure 3 : Inscription des utilisateurs

Les activités clés qui doivent être réalisées au cours de ce processus sont :
a. Lancez la création de l'ID utilisateur :Le processus d'enregistrement de l'utilisateur
commence par déterminer si l'utilisateur est un nouvel employé de LA LNB. Dans le cas
où le nouveau venu est un employé de LA LNB, la fonction des ressources humaines

9
 (RH) identifie l'accès utilisateur/les privilèges initiaux requis et lance le processus de
création d'ID utilisateur. Dans le cas d'employés LA LNB existants, de sous-traitants et
de personnel tiers, le superviseur LA LNB concerné (ci-après dénommé « superviseur »)
lance la demande de création d'ID utilisateur. L’intégration des utilisateurs externes
dans un annuaire Web doit avoir une date de fin obligatoire dans leur compte
utilisateur.
b. Approuver/Rejeter la création d'un ID utilisateur :Après avoir identifié les
accès/privilèges utilisateur requis, le formulaire de demande d'enregistrement
d'utilisateur est rempli et envoyé au

10
 le chef fonctionnel concerné et/ou le propriétaire fonctionnel du processus
opérationnel pour approbation. La justification commerciale du niveau d'accès
demandé est fournie dans le formulaire de demande d'enregistrement de l'utilisateur.
Après approbation, la demande d'inscription de l'utilisateur est envoyée à la Fonction
SI pour la création de l'ID utilisateur. En cas de rejet, le processus est terminé.
c. Création d'un identifiant utilisateur :Après l'approbation (par le responsable
fonctionnel et/ou les propriétaires fonctionnels des processus métier), la demande
d'enregistrement de l'utilisateur est acheminée vers la fonction SI, pour la création de
l'ID utilisateur. Les identifiants utilisateur sont créés avec les accès/privilèges demandés
attribués. La fonction RH, le responsable fonctionnel concerné et/ou le propriétaire
fonctionnel du processus métier, les employés, les sous-traitants et le personnel tiers
sont informés de la création de l'ID utilisateur et le processus est terminé. Il doit y avoir
un identifiant unique pour l'authentification unique dans une plate-forme de gestion
des identités et des accès de premier ordre, étroitement intégrée à Active Directory de
LNB
d. Les technologies d'authentification unique doivent être utilisées dans la mesure du
possible pour limiter le nombre d'identifiants et de mots de passe dont un
utilisateur doit se souvenir.
e. Lorsque le processus d'authentification unique est utilisé pour les applications et
l'accès en ligne, l'ID utilisateur et les mots de passe doivent être automatiquement
synchronisés.
f. Lorsque le processus de script/tâche planifiée est utilisé pour émuler
l'authentification unique, le processus de script/tâche planifiée doit être sécurisé
pour empêcher toute modification non autorisée du processus de script/tâche
planifiée.
g. Il doit exister une relation de confiance pour l'authentification, l'authentification
Web et/ou des tiers agréés. Cela permettra aux utilisateurs externes d’accéder aux
applications LA LNB et aux ressources informatiques pertinentes.

Les activités suivantes fournissent des conseils de mise en œuvre pour le processus
d'enregistrement des utilisateurs :
a. La fonction RH identifie les accès/privilèges utilisateur requis par le nouveau membre

11
 et lance le processus d'enregistrement de l'utilisateur. La fonction RH soulève la
demande d'enregistrement des utilisateurs pour les accès de base tels que l'accès au
courrier électronique et au réseau La LNB pour les nouveaux employés de LA LNB. Le
superviseur, en fonction des rôles et des responsabilités du poste, soulève la demande
d'enregistrement des utilisateurs pour les employés existants, les sous-traitants et le
personnel tiers pour accéder aux informations/actifs d'information, systèmes
d'information, applications, équipements et périphériques réseaux pertinents.
b. La demande d'inscription d'utilisateur de la Fonction RH pour le nouvel employé LA LNB
est considérée comme préapprouvée.
i. Pour les employés existants, les sous-traitants et le personnel tiers, le superviseur
identifie l'accès/les privilèges utilisateur requis et lance le processus
d'enregistrement des utilisateurs pour accéder aux ressources informatiques
et/ou aux applications LA LNB. En libre-service, les utilisateurs doivent pouvoir
demander l'accès au compte utilisateur par application. En libre service

12
 les demandes d'accès doivent permettre les ajouts, les modifications et les
suppressions d'accès au compte utilisateur de l'application et de droits par
application.
ii. Il doit exister un catalogue de droits avec des droits d'accès faciles à utiliser basés
sur des identités associées.
c. Le superviseur ou le supérieur hiérarchique remplit le formulaire de demande
d'enregistrement d'utilisateur pour les employés existants, les sous-traitants et le
personnel tiers et l'envoie aux responsables fonctionnels concernés et/ou aux
propriétaires de processus métier/fonctionnels pour approbation. Sous la forme d'un
système de gestion des identités et des accès, le superviseur capture la durée d'accès
requise pour l'application/le système particulier.
d. Le chef fonctionnel et/ou le propriétaire fonctionnel du processus opérationnel
examine les niveaux d'accès demandés par rapport aux rôles et responsabilités des
employés, des sous-traitants et du personnel tiers.
e. Il est garanti que le niveau d'accès accordé est proportionné aux besoins de l'entreprise
et est conforme à la politique de
f. Si les niveaux d'accès demandés sont appropriés, le responsable fonctionnel approuve
la demande d'enregistrement des utilisateurs pour les employés, les sous-traitants et le
personnel tiers.
g. Dans le cas où l'accès demandé est destiné à des fins d'administration backend,
l'approbation du propriétaire du système/de l'application doit être obtenue.
h. Une fois la demande d'enregistrement de l'utilisateur approuvée, la fonction SI pour les
ressources informatiques uniquement, crée l'ID utilisateur et accorde les accès requis
aux employés, sous-traitants et personnel tiers.
i. La Fonction SI informe la Fonction RH, les responsables fonctionnels concernés et les
employés/sous-traitants/personnel tiers de la finalisation de l'enregistrement de
l'utilisateur.
j. Des directives supplémentaires sont fournies ci-dessous pour mettre en œuvre le
processus d’enregistrement des utilisateurs :
i. Le superviseur examine les rôles et les responsabilités des
employés/entrepreneurs/personnel tiers avant de lancer la demande d'accès
utilisateur.

13
 ii. Les privilèges à attribuer sont basés sur le « besoin de savoir » et le « besoin
d’avoir ».
iii. Par défaut, tous les nouveaux collaborateurs ont accès aux services des systèmes
d'information tels que la messagerie électronique, les outils d'assistance
informatique et l'intranet.

iv. Des accès/privilèges utilisateur supplémentaires sont accordés en suivant le

processus de modification de l'accès utilisateur

v. Attribuez des privilèges basés sur les rôles pour chacun des composants
d’infrastructure identifiés.
vi. Communiquez l’identifiant et le mot de passe aux employés, sous-traitants et
personnel tiers, de manière sécurisée.
vii. La création de comptes utilisateur suit les directives de gestion des mots de
passe..
viii. Il doit y avoir une « synchronisation des données étroitement couplée » entre le
« dossier de personne » et les comptes d'utilisateurs dans Active Directory qui
gère de manière transparente les événements du cycle de vie des utilisateurs :
nouvelles embauches, promotions, transferts, rétrogradations, suspensions,
congés de longue durée, démissions et licenciements. (« entrants, sortants,
déménageurs »).

2.1.1 FORMAT DE L'ID UTILISATEUR

Le format standard suivi pour la création d'ID utilisateur est"X.Y@lnb.domaine», où « X »

représente le prénom et « Y » représente le nom de famille des employés, des sous-traitants et
du personnel tiers. Si deux utilisateurs ou plus ont le même prénom et le même nom, « Y » est
remplacé par le deuxième prénom de l'employé. Cependant, si le deuxième prénom n'est pas
disponible ou est similaire, alors un « n » numérique est suffixé à « Y » et l'ID utilisateur est
représenté comme suit :X.Yn@lnb.domain où « n » est 1, 2...n

2.2 MODIFICATION D'ACCÈS UTILISATEUR

Le processus de modification de l'accès utilisateur est lancé lorsque les employés de LA LNB, les
sous-traitants et le personnel tiers demandent des modifications d'accès/privilèges utilisateur.
La modification inclut mais ne se limite pas aux mutations au sein de différentes fonctions, aux
14
promotions et aux changements de responsabilités. Le flux de processus pour le processus de
modification de l'accès des utilisateurs chez LA LNB est décrit dans leFigure 4 : Modification de
l'accès utilisateur.

15
Figure 4 : Modification de l'accès utilisateur

Les activités clés qui doivent être réalisées au cours de ce processus sont :
a. Demander une modification d'accès: La demande de modification d'accès est soulevée
par un employé, un entrepreneur ou un tiers et est envoyée au superviseur concerné
pour examen.
b. Approuver/Rejeter la modification d'accès :La demande de modification de l'accès
utilisateur est acheminée vers les responsables fonctionnels concernés et/ou le
propriétaire fonctionnel du processus métier pour approbation. Le responsable
fonctionnel et/ou le propriétaire fonctionnel du processus opérationnel approuve ou
rejette la demande après avoir évalué si les modifications demandées en matière
d'accès/privilèges utilisateur sont appropriées et nécessaires conformément aux
exigences opérationnelles. Après approbation, la demande est acheminée vers la
Fonction SI pour les ressources informatiques uniquement, afin d'accorder les
accès/privilèges à l'utilisateur demandé. Sur rejet de la demande de modification
16
d'accès utilisateur, le processus est terminé. Il doit y avoir un processus de
rapprochement entre l'intégration des RH dans EBS HR et Oracle EBS, Active Directory
et d'autres applications métier LA LNB. Il y aura un travail planifié à intervalles fixes qui
récupérera les « enregistrements de personne » et les modifications apportées à ces
données (en fonction des événements d'arrivée, de départ, de déménagement) et les
intégrera dans l'identité et l'accès.

17
 Système de gestion. Il doit y avoir une interface/API d'intégration pilotée par machine
qui gère le calendrier de réconciliation
c. Les politiques d'accès doivent fournir une description de ce que les utilisateurs peuvent
faire avec leurs droits d'accès dans les nouvelles demandes d'approbation d'accès, les
recertifications et les examens d'audit.
d. Modifier les niveaux d'accès :Après l'approbation de la modification de l'accès
utilisateur demandée par le responsable fonctionnel et/ou le propriétaire fonctionnel
du processus métier, pour les ressources informatiques uniquement, la fonction SI
modifie l'accès/les privilèges de l'utilisateur et envoie une communication aux
responsables fonctionnels respectifs et/ou au propriétaire fonctionnel du processus
métier. , employé/entrepreneur/personnel tiers et le processus est terminé. Les
événements du cycle de vie doivent déclencher des flux de travail spécifiques pour
gérer le processus depuis le lancement d'une demande jusqu'au provisionnement et à
l'exécution d'une demande approuvée.

Les activités suivantes fournissent des conseils pour le processus de modification de l'accès des
utilisateurs :
a. Il doit y avoir un suivi du statut des demandes d'accès, des approbations et des tâches
d'exécution.
b. Une autorisation grossière sera effectuée au niveau de l'accès dans le système de
gestion des identités et des accès, et une autorisation plus fine au niveau de
l'application.
c. Il doit exister un catalogue de demandes d'accès qui permet aux utilisateurs de
demander l'accès aux rôles, aux instances d'application et aux accès supplémentaires
(« droits ») au sein des applications.
d. Il doit y avoir une interface en libre-service pour rechercher dans un catalogue des
applications, des rôles et des privilèges.
e. Définir à quels enregistrements et informations les utilisateurs peuvent accéder est
fondamental pour la sécurité des RH.
f. Il doit exister des options d'authentification fortes telles que des mots de passe à
usage unique (OTP) ou une authentification à deux facteurs.
g. Il n'y aura qu'une seule URL SSO par application et aucun accès direct à l'application ne
sera autorisé.
18
h. Les utilisateurs externes seront enregistrés à l'aide d'un service d'annuaire Web et
accéderont aux applications professionnelles LNB pertinentes à l'aide de
l'authentification Web SSO.
i. Un employé, un entrepreneur ou un tiers initie une demande de modification des
accès/privilèges et l'envoie au superviseur concerné.
j. Le superviseur envoie la demande au chef fonctionnel concerné et/ou au propriétaire
fonctionnel du processus opérationnel pour approbation. Il doit y avoir une capacité à
demander des informations supplémentaires aux utilisateurs impliqués dans le
processus de demande d'accès (par exemple, demandeur, approbateur, propriétaires
d'applications/de données).

19
k. Le chef fonctionnel et/ou le propriétaire fonctionnel du processus opérationnel
examine les niveaux d'accès demandés par rapport aux rôles et responsabilités de
l'employé, de l'entrepreneur et du personnel tiers.
l. Si les niveaux d'accès demandés sont appropriés et requis selon les exigences
opérationnelles, le chef fonctionnel et/ou le propriétaire fonctionnel du processus
opérationnel approuve la demande.
m. Dans les cas où l'accès demandé est destiné à des fins d'administration back-end,
l'approbation du propriétaire du système/de l'application doit être obtenue.
n. L'approbation postérieure du chef fonctionnel et/ou du propriétaire fonctionnel du
processus opérationnel et/ou de la fonction SI pour les ressources informatiques
fournit l'accès utilisateur/les privilèges requis à l'employé/entrepreneur/personnel
tiers. Les rôles et responsabilités approuvés par le responsable fonctionnel et/ou le
propriétaire fonctionnel du processus métier doivent être automatiquement assumés
par le système de gestion des identités et des accès dans l'application concernée.
o. Il doit y avoir une interface/API d'intégration pilotée par machine qui gère la création
automatique de comptes utilisateur dans Oracle EBS, Active Directory et d'autres
applications LA LNB.
p. Il doit y avoir une interface/API d'intégration pilotée par machine qui gère l'attribution
automatique des rôles et des responsabilités dans Oracle EBS, Active Directory et
d'autres applications LA LNB.
q. La Fonction SI ou la gestion des identités et des accès informe automatiquement le
Responsable Fonctionnel et/ou le propriétaire fonctionnel du processus métier et
l'employé, le sous-traitant ou le personnel tiers des modifications des accès/privilèges
des utilisateurs.
r. Des directives supplémentaires sont fournies ci-dessous pour mettre en œuvre le
processus de modification des utilisateurs :
i. La fonction SI pour les ressources informatiques (et la fonction centrale de
gestion des accès des utilisateurs, par exemple dans LA LNB Next) conserve un
enregistrement de toutes les modifications apportées aux comptes d'utilisateurs
dans le formulaire de demande d'enregistrement/de modification d'accès des
utilisateurs. Le dossier comprend au minimum les détails suivants :
 ID de l'utilisateur
20
  Accès/privilèges utilisateur actuels
 Modifications demandées aux accès/privilèges des utilisateurs
 Responsable fonctionnel autorisé et/ou propriétaire fonctionnel des processus
opérationnels
 Durée pour laquelle l'accès/les privilèges de l'utilisateur sont demandés.
ii. La création de comptes utilisateur suit les directives de gestion des mots de
passe.

21
 iii. Le processus de modification des utilisateurs est lancé dans les 7 jours suivant la
date de transfert pour les utilisateurs transférés (changements dans les
responsabilités professionnelles, les unités fonctionnelles et les fonctions).
iv. Il doit y avoir un processus automatisé de demande et d’approbation de flux de
travail dans une plate-forme de gestion des identités et des accès de premier
ordre.
v. L'enregistrement des utilisateurs, la modification de l'accès des utilisateurs, la
révision des droits d'accès des utilisateurs et la révocation de l'accès des
utilisateurs dans les applications commerciales LA LNB, l'infrastructure
informatique et les systèmes réseau doivent être automatisés dans une plate-
forme de gestion des identités et des accès de premier ordre comprenant une
authentification unique et un accès basé sur les rôles.
vi. Il doit y avoir un support pour la vérification des politiques des demandes d'accès
en libre-service et déléguées avant d'être soumises pour exécution afin d'éviter
les violations de la séparation des tâches.
vii. L’appartenance à des groupes basés sur les applications et les groupes de
sécurité seraient hérités/répliqués dans le système de gestion des identités et
des accès.
viii. Il doit être possible de définir et d'appliquer une politique d'accès, y compris des
politiques de séparation des tâches entre les rôles individuels, entre les droits
individuels et entre les rôles et les droits.
ix. Il doit y avoir des instances de serveur Web à charge équilibrée configurées en
tant que serveur proxy inverse pour les applications Web intégrées au système
de gestion des identités et des accès. Il doit y avoir une communication SSL dans
tout le SSO et toutes les consoles et l'intégration SSO doivent être accessibles via
SSL avec le protocole HTTPS. Toute la communication du. l'utilisateur final aux
composants du système de gestion des identités et des accès serait SSL avec le
protocole HTTPS

2.3 RÉVOCATION DE L'ACCÈS UTILISATEUR

Le processus de révocation des accès/privilèges des utilisateurs est mis en œuvre pour garantir
que seuls les employés, sous-traitants et personnels tiers autorisés de LA LNB ont accès aux
22
informations/actifs d'information de LA LNB, aux installations de traitement de l'information,
aux systèmes d'information, aux applications, aux équipements et aux périphériques réseau.
Dans le cas où les employés, sous-traitants ou personnel tiers se séparent de LA LNB, le
processus de révocation de l'accès de l'utilisateur est lancé. La cessation d'emploi comprend
également le licenciement, la démission ou l'absence non informée du travail de l'employé
pendant 5 jours consécutifs. Le flux de processus pour le processus de révocation de l'accès
utilisateur chez LA LNB est décrit dans la Figure 5 : Révocation de l'accès utilisateur.

23
Figure 5 : Révocation de l'accès utilisateur

Les activités clés qui doivent être réalisées au cours de ce processus sont :
a. Initier la révocation d'accès :La révocation de l'accès est initiée lorsque les
employés/sous-traitants/personnel tiers se séparent de LA LNB. Dans le cas d'un
employé de LA LNB, la Fonction RH initie la demande de révocation d'accès utilisateur.
Pour un entrepreneur ou un personnel tiers, le superviseur respectif initie la demande
de révocation d'accès.
b. Demande de révocation d'examen :Le responsable fonctionnel et/ou le propriétaire
fonctionnel du processus opérationnel examine ensuite la demande de révocation
d'accès utilisateur et approuve ou rejette la demande. En cas de rejet, le processus est
terminé. Après approbation, la demande est acheminée vers la fonction SI pour les
ressources informatiques (et la fonction centrale de gestion des accès des utilisateurs,).
24
c. Accès révoqué: Après l'approbation (du responsable fonctionnel et/ou des
propriétaires fonctionnels des processus métier), la fonction SI pour les ressources
informatiques (et la fonction centrale de gestion des accès des utilisateurs,) révoque
l'accès/les privilèges utilisateur associés à l'utilisateur. Lors de la révocation de l'accès,
la fonction SI pour les ressources informatiques (et la fonction centrale de gestion des
accès des utilisateurs) envoie une communication au responsable fonctionnel concerné
et/ou aux propriétaires fonctionnels des processus métier, à la fonction RH et le
processus est terminé. Les rôles et responsabilités doivent

25
 être automatiquement révoqué par le système de gestion des identités et des accès dans
l'application concernée.

Les activités suivantes fournissent des conseils de mise en œuvre pour le processus de
révocation de l'accès des utilisateurs :
a. La fonction RH lance le processus de révocation de l'accès des utilisateurs pour les
employés et le superviseur ou supérieur hiérarchique LA LNB concerné lance le
processus de révocation de l'accès des utilisateurs pour le personnel du
sous-traitant/tiers.
b. La fonction RH/superviseur initie la demande en remplissant le formulaire de
révocation d'accès utilisateur
c. La fonction RH/le superviseur envoie à la demande de révocation de l'accès de
l'utilisateur l'approbation du responsable fonctionnel concerné et/ou des propriétaires
fonctionnels des processus métiers.
d. Le responsable fonctionnel et/ou le propriétaire fonctionnel du processus opérationnel
examine et approuve la demande de révocation.
e. La Fonction SI, réservée aux ressources informatiques, révoque les droits d'accès de
l'employé, du sous-traitant et du personnel tiers.
f. Si la demande est rejetée par le responsable fonctionnel et/ou le propriétaire
fonctionnel du processus opérationnel, le processus prend fin.
g. Informer la fonction RH et le responsable fonctionnel et/ou les propriétaires
fonctionnels des processus opérationnels de l'achèvement du processus de révocation.
h. Des directives supplémentaires sont fournies ci-dessous pour révoquer les droits d'accès
des utilisateurs :
i. Si un employé est absent (non informé) du travail pendant plus de 5 jours
ouvrables, l'employé, l'entrepreneur et le personnel tiers sont traités comme un
employé en fuite et l'accès est révoqué.
ii. Le dernier jour désigné en cas de licenciement/démission/fuite d'un employé,
d'un sous-traitant ou d'un personnel tiers, la fonction SI pour les ressources
informatiques uniquement doit supprimer tous les accès/privilèges utilisateur
attribués à l'ID utilisateur respectif.
iii. .

26
2.4 RÉVISER LES DROITS D'ACCÈS

Les droits d'accès des utilisateurs sont révisés au moins une fois par an et des mesures sont
prises pour gérer les droits d'accès de l'employé, du sous-traitant et du personnel tiers. Le flux
de processus pour l'examen des droits d'accès des utilisateurs est décrit dans la Figure 6 : Accès
aux révisions Droits.

27
Figure 6 : Vérifier les droits d'accès

Les activités clés qui doivent être réalisées au cours de ce processus sont :
a. Vérifier les droits d'accès: Une liste des salariés en fuite, licenciés, démissionnaires ou
transférés, au cours de la période d'examen, est générée par la Fonction RH. La liste est
validée par la fonction SI pour les ressources informatiques (et la fonction centrale de
gestion des accès des utilisateurs) par rapport à la liste réelle des utilisateurs qui ont eu
accès aux actifs informationnels de LA LNB. La fonction SI prépare également une liste
d'utilisateurs actifs ainsi que les droits d'accès et les privilèges attribués aux utilisateurs
et envoie la liste au responsable fonctionnel concerné et/ou aux propriétaires
fonctionnels des processus métiers pour examen et commentaires. Il doit y avoir des
certifications pour les droits individuels, tels que les appartenances à des groupes, qui

28
sont attribuées aux propriétaires de données appropriés ou aux responsables
hiérarchiques. Les certifications d'accès doivent être générées automatiquement sur
une base planifiée. Dans le cadre de l'accès basé sur les rôles, un certificat d'accès doit
être automatiquement généré en fonction des modifications apportées à l'accès d'un
utilisateur (par exemple, l'utilisateur change de service, de poste). Les certificateurs
doivent être en mesure de vérifier les privilèges d'accès d'un utilisateur et d'approuver,
de révoquer ou d'autoriser des exceptions. L'historique de chaque élément de
certification, y compris les décisions de délégation, de transfert, de contestation et de
révision, doit être suivi. Il doit y avoir une capacité d'examen et de résolution des
violations de politique directement dans une certification.
i. Il doit y avoir un référentiel d'identité pour suivre tous les événements d'identité.
ii. Il doit y avoir un audit, un suivi et des rapports sur la conformité des accès et des
droits des utilisateurs.

29
 iii. Il doit y avoir des enregistrements précis de la configuration et des modifications
apportées aux droits d'accès des utilisateurs à des fins d'audit.
iv. Il doit y avoir une vérification de la conformité via la collecte, la corrélation et la
création de rapports de pistes d'audit.
v. Il doit y avoir une piste d'audit indiquant qui a accès à quoi et qui a approuvé ces
droits d'accès.
vi. Il doit y avoir des capacités de journalisation et de reporting pour tous les
changements de rôle (par exemple « Quand le rôle a-t-il été créé ? Qui l'a créé ?
Qui l'a approuvé ? »).
b. Approuver la révocation/modification :Après validation, une liste finale des utilisateurs
dont l'accès/les privilèges doivent être révoqués/modifiés est préparée. La liste est
envoyée au responsable fonctionnel concerné et/ou aux propriétaires fonctionnels des
processus opérationnels et l'approbation est prise pour révoquer/modifier les droits
d'accès.
c. Révoquer/Modifier l'accès :Après approbation, la fonction SI pour les ressources
informatiques (et la fonction centrale de gestion des accès des utilisateurs,)
révoque/modifie les droits d'accès des utilisateurs répertoriés. En cas de
révocation/modification, la fonction SI envoie une communication au responsable
fonctionnel et/ou aux propriétaires fonctionnels des processus métier respectifs et à la
fonction RH, et le processus est terminé.

Les activités suivantes fournissent des conseils de mise en œuvre pour l’examen des droits
d’accès des utilisateurs :
a. La fonction SI pour les ressources informatiques (et la fonction centrale de gestion des
accès des utilisateurs), ainsi que le responsable fonctionnel et/ou le propriétaire
fonctionnel des processus métier, effectuent un examen trimestriel des
accès/privilèges utilisateur associés à tous les utilisateurs.
b. La fonction IS pour les ressources informatiques (et la fonction centrale de gestion des
accès des utilisateurs) compile une liste de tous les ID d'utilisateur actifs et des droits
d'accès associés à ces ID d'utilisateur.
c. La liste définitive des utilisateurs dont les droits d'accès doivent être révoqués/modifiés
est préparée par la Fonction SI pour les ressources informatiques (et la fonction

30
 centrale de gestion des accès des utilisateurs).
en validant par rapport à la liste des utilisateurs en
fuite/licenciés/démissionnaires/transférés.
d. Une demande est envoyée au responsable fonctionnel concerné et/ou aux
propriétaires fonctionnels des processus opérationnels pour obtenir l'approbation de la
révocation/modification des droits d'accès.
e. Après approbation, la fonction SI pour les ressources informatiques (et la fonction
centrale de gestion des accès des utilisateurs) lance et met en œuvre la révocation des
droits d'accès.
f. Après la révocation, la Fonction SI pour les ressources informatiques (et la fonction
centrale de gestion des accès utilisateurs par exemple) informe la Fonction RH et le
Fonctionnel.

31
 Responsable et/ou propriétaire fonctionnel du processus métier des droits d'accès
révoqués/modifiés des utilisateurs.
g. L'examen des droits d'accès des utilisateurs doit inclure, sans s'y limiter, les éléments
suivants :
i. L'accès des utilisateurs existants/actifs doit être approuvé.
ii. Des identifiants d'utilisateur uniques doivent être attribués aux utilisateurs.
iii. Les droits d'accès configurés pour les utilisateurs doivent être conformes aux
responsabilités professionnelles approuvées.
iv. Les identifiants utilisateur des employés licenciés seront désactivés/supprimés.
v. La modification du droit d'accès en raison d'un transfert ou de changements
dans les responsabilités du poste doit être approuvée.
vi. Les modifications apportées aux droits d'accès de l'utilisateur doivent être
approuvées et configurées en conséquence.
vii. Les attributions privilégiées doivent être vérifiées pour garantir qu’aucun
privilège non autorisé n’a été obtenu.
viii. Tous les comptes privilèges sont examinés au moins une fois par trimestre par le
responsable fonctionnel et/ou le propriétaire fonctionnel des processus
opérationnels.
ix. Tentative de connexion infructueuses.
x. Tous les identifiants d'utilisateur doivent être automatiquement
désactivés/désactivés après une période d'inactivité de 90 jours ou 60 jours
après la désactivation.

32
 LA LNB :
CONFIDENTIEL

Procédures de gestion des accès Page33de 35

utilisateurs
@LA LNB
2017
 LNB

3 CONTRÔLE DES DOCUMENTS

3.1 CONTRÔLE DES DOCUMENTS

a. Chaque année, une analyse des lacunes politiques, y compris tous les processus,
procédures et normes connexes et/ou connexes, doit être effectuée par le membre
responsable de l'équipe afin d'évaluer :
i. Alignement avec les objectifs commerciaux et les meilleures pratiques applicables
ii. Pertinence par rapport à l'environnement LA LNB en fonction du profil de risque
de l'organisation et des changements dans la technologie adoptée par
l'entreprise
iii. Lacunes de couverture résultant de changements organisationnels.

3.2 CONFORMITÉ DES DOCUMENTS

a. Toute mesure disciplinaire résultant d'une violation de ce document sera prise

conformément au code disciplinaire et à la procédure de règlement des griefs de LA LNB
b. Lorsqu'un employé est soupçonné d'avoir violé le document, une enquête interne sera
entreprise et, en fonction de l'issue, des poursuites civiles et/ou pénales pourraient être
engagées contre l'employé.

28
 LNB

4 GLOSSAIRE

Terme Définition
Accéder aux L'examen périodique des privilèges d'accès des utilisateurs afin de valider
certifications que les privilèges d'accès correspondent à la fonction professionnelle
d'un utilisateur et sont conformes aux directives politiques. Les
certifications d'accès sont couramment utilisées comme contrôle interne
pour garantir la conformité à la loi Sarbanes-Oxley et à d'autres
réglementations. Au fil du temps, les utilisateurs peuvent accumuler des
droits qui ne sont plus nécessaires ou appropriés à leur fonction. La
certification d'accès est un processus par lequel les parties prenantes
appropriées de l'entreprise, telles que les gestionnaires d'utilisateurs ou
les propriétaires d'applications, peuvent examiner périodiquement
droits et identifier ceux qui doivent être supprimés
Contrôle d'accès Le système contrôle et les processus environnants qui accordent ou
refusent aux parties la capacité et l'opportunité d'accéder aux systèmes
(c'est-à-dire, obtenir
connaissance ou modification d'informations ou de matériel sur les
systèmes).
Gestion des Systèmes ou processus utilisés pour contrôler l'authentification et
accès l'autorisation des ressources au sein d'une organisation, telles que les
fichiers, les applications, les systèmes, les appareils, etc. La gestion des
accès est souvent basée sur un système d'évaluation de rôles et de règles
pour accorder ou refuser l'accès à un objet dans l'organisation.
organisation.
Privilèges Droits d'accès dont dispose un utilisateur sur une ressource système, tels
d'accès que le droit d'accéder, d'afficher, de modifier, de créer ou de supprimer.
Demande Systèmes ou processus utilisés pour demander un nouvel accès, apporter
d'accès des modifications à l'accès existant ou supprimer l'accès aux ressources au
sein d'une organisation.
Gestion de Un ensemble de processus pour gérer l'authentification dans les
compte systèmes connectés. Cela implique principalement la création et la
suppression de comptes d'utilisateurs dans
le système connecté
Active Une application Microsoft qui fournit des ressources d'authentification et
Directory d'autorisation à Microsoft Windows et à d'autres applications Windows.
Surveillanc UN moyens à moniteur utilisateur Actions (par exemple
e des accéder à les systèmes,modifications des données) en utilisant les
activités données de journal collectées à partir des systèmes ou
applications.
29
 LNB

Agrégation La collecte et la corrélation des données d'identité des applications

d'entreprise dans un référentiel de données d'identité centralisé.
Application Un programme informatique ou un ensemble de pages Web qui
fournissent des outils ou des informations à ses utilisateurs. La plupart des
applications nécessitent une authentification et
autorisation avant utilisation.
Magasin Une plate-forme de distribution pour appareils mobiles destinée à fournir
d'applicati des logiciels mobiles aux appareils mobiles.
ons
Flux de travail Processus métier qui automatise la collecte des approbations des
d'approbation utilisateurs professionnels pour les modifications demandées aux
artefacts d'identité tels que les droits d'accès des utilisateurs ou les
définitions de rôles. Un workflow d'approbation est un processus métier
dans lequel des acteurs humains peuvent saisir, réviser, approuver,
rejeter et/ou
mettre en œuvre une demande de changement. Les workflows
d'approbation généreront

30
 LNB

notifications aux approbateurs, automatiser la collecte des décisions

d'approbation via généré la toile formes, et
Audit tous transactionse t
les décisions.
Affirmation Une revendication, comme être une identité particulière ou un membre
d'un groupe. Nécessite généralement une preuve via un identifiant, c'est-
à-dire un identifiant et un mot de passe
paire.
Attestation Terme alternatif pour la certification d'accès, l'examen périodique de
l'utilisateur
privilèges d'accès afin de valider que les privilèges d'accès correspondent
à la fonction professionnelle d'un utilisateur et sont conformes aux
directives politiques.
Attribut Une seule information associée à une identité numérique. Des exemples
d'attributs sont le nom, le numéro de téléphone et l'affiliation à une
institution. Chaque élément d'information d'identification concernant un
utilisateur peut être considéré comme un attribut de cet utilisateur. Les
utilisateurs ont des attributs d'identité,
dont chacun peut être stocké sur un ou plusieurs systèmes cibles.
Audit L'examen et l'examen indépendants des dossiers et des activités pour
évaluer l'adéquation des contrôles du système, garantir la conformité aux
politiques et procédures opérationnelles établies et recommander
les changements nécessaires dans les contrôles, les politiques ou les
procédures.
Journal d'audit Un journal qui capture un enregistrement des événements survenus au
sein d'un système ou d'une application. Par exemple, un journal d'audit
peut contenir toutes les connexions effectuées sur le système, le nom
des personnes effectuant les connexions, l'heure à laquelle les
connexions ont eu lieu, etc. une preuve via un identifiant, comme dans
un identifiant d'utilisateur.
paire identifiant et mot de passe.
Authentification Processus visant à établir la confiance dans la validité de l'identifiant
présenté par un demandeur, généralement comme condition préalable à
l'octroi de l'accès à
ressources dans un système d’information.
Source Système qui contient la valeur en ligne définitive pour un attribut
faisant d'identité particulier. Dans certains cas, un système fait autorité car il
autorité crée la valeur (par exemple, le numéro d'identification de l'employé).
Dans d'autres cas, un système fait autorité car c'est l'endroit où un
utilisateur doit se rendre
pour saisir les informations (par exemple, le numéro de téléphone
31
 LNB

portable).
Biométrique Un trait physique ou une caractéristique comportementale qui peut être
utilisé à des fins d'identification ou de vérification. Une bonne biométrie
doit être unique à un individu, stable dans le temps, rapide et facile à
présenter
et vérifier, et ne pas être facilement reproduit par des moyens artificiels.
Enfreindre La défaite réussie des contrôles de sécurité, ce qui pourrait entraîner une
pénétration non autorisée d'un système ou d'une application ; une
violation des contrôles d'un système particulier tel que les actifs
informationnels ou le système
les composants sont indûment exposés.
Informations La partie privée d'une assertion d'identité appariée (l'ID utilisateur est
d'identification généralement la partie publique). La ou les choses sur lesquelles une
entité s'appuie dans une assertion à un moment donné, généralement
pour authentifier une identité revendiquée.
Les informations d'identification peuvent changer avec le temps et être
révoquées.

32
 LNB

Conformité Conforme à une spécification ou une politique, une norme ou une loi
clairement définie. Les politiques peuvent être dérivées de directives,
procédures et exigences internes, ou de lois, réglementations, normes et
accords externes. Ces lois peuvent avoir des conséquences pénales ou
civiles
des sanctions ou peuvent être des règlements.
Corrélation Processus de combinaison de données d'identité provenant de sources
de données disparates dans un schéma commun qui représente une
identité. Les identités peuvent être liées automatiquement aux comptes
d'application et aux droits d'accès à l'aide de
règles de corrélation ou manuellement à l’aide d’un outil pour établir les
liens corrects.
CSV Un fichier de valeurs séparées par des virgules est un fichier de données
utilisé pour le stockage numérique de données structurées sous forme de
tableau de listes, où chaque élément associé (membre) dans un groupe
est également en association avec d'autres.
séparés par les virgules de son ensemble.
Tableau de bord Un mécanisme de reporting qui regroupe et affiche des métriques et des
indicateurs de performance clés (KPI), permettant de les examiner en un
coup d'œil par toutes sortes d'utilisateurs avant une exploration plus
approfondie via des outils supplémentaires de business intelligence (BI),
de gestion des performances (PM) et d'analyse. Les tableaux de bord
aident à améliorer la prise de décision en révélant et en communiquant
des informations contextuelles sur les performances de l'entreprise. Ils
affichent des KPI ou des mesures commerciales à l'aide d'une
visualisation intuitive, notamment des graphiques, des cadrans, des
jauges et des « feux de circulation » qui indiquent la progression des KPI
vers des objectifs définis. Ils permettent aux utilisateurs d'explorer
ensuite des niveaux de détail successifs, tels que définis par le
développeur du tableau de bord, pour explorer pourquoi un KPI peut
être hors cible. Les tableaux de bord peuvent être déployés sur une
multitude de types d'appareils (ordinateurs de bureau, ordinateurs
portables, tablettes et/ou smartphones) dans un environnement
connecté ou déconnecté.
mode.
Dé- Un processus pour supprimer un compte utilisateur dans un système.
approvisionnem
ent :
Contrôle Une procédure, éventuellement assistée par automatisation, utilisée pour
détective identifier
Événements (indésirables ou souhaités), erreurs et autres événements

33
 LNB

qu'une entreprise a déterminé comme ayant un effet significatif sur son

activité.
Annuaire Une infrastructure d'informations partagée pour localiser, gérer,
administrer et organiser les éléments communs et les ressources réseau,
qui peuvent inclure des volumes, des dossiers, des fichiers, des
imprimantes, des utilisateurs, des groupes,
appareils, numéros de téléphone et autres objets.
Droit Une valeur spécifique pour un attribut de compte, le plus souvent un
groupe
une adhésion ou une autorisation. Un droit de sécurité est un droit
accordé au compte d'un utilisateur sur un système donné pour accéder à
certaines données ou fonctions.
Gestion des Un mécanisme permettant de définir de manière centralisée les
droits applications et les services pour lesquels un utilisateur peut être autorisé.
Il s'agit du processus d'octroi, de résolution, d'application, de révocation
et d'administration de droits d'accès précis (également appelés «
autorisations », « privilèges », « droits d'accès », « autorisations » et/ou «
règles »). Son objectif est d’exécuter des politiques informatiques d’accès
aux données, appareils et services structurés/non structurés. La gestion
des droits peut être assurée par différentes technologies,
et est souvent différent selon les plates-formes, les applications et le
réseau

34
 LNB

composants et appareils.
Fédération Ensemble d'accords qui permettent à une organisation de faire confiance
à l'authentification fournie par une organisation distincte et de fournir
une autorisation basée sur ce résultat d'authentification. L'objectif de la
fédération est de permettre aux utilisateurs d'accéder à des ressources
dans plusieurs
organisations de manière transparente.
Gouvernance Cela concerne les décisions qui définissent les attentes, accordent du
pouvoir ou vérifient
performance. Il s’agit soit d’un processus distinct, soit d’une partie des
processus de gestion ou de leadership.
Groupe Un ensemble d'utilisateurs pour simplifier le contrôle d'accès aux
systèmes informatiques. Traditionnellement, les groupes sont statiques :
on définit un groupe en sélectionnant individuellement ses membres.
Cependant, dans les groupes dynamiques, tous les utilisateurs
correspondant aux critères de recherche spécifiés seront considérés
comme membres de ce groupe.
groupe dynamique.
Hiérarchique Dans le contrôle d'accès basé sur les rôles, la hiérarchie des rôles définit
Modèle une relation d'héritage entre les rôles. Par exemple, la structure des rôles
d'une banque peut traiter tous les employés comme des membres du
rôle « employé ». Au-dessus peuvent se trouver les rôles de « chef de
service » et de « comptable », qui
hériter de toutes les autorisations du rôle « employé ».
Cube d'identité Une vue multidimensionnelle de chaque identité et de leurs accès et
attributs associés.
Gouvernance Logiciel de gestion des identités qui combine la gestion de la conformité,
des identités la gestion des rôles, la gestion des demandes d'accès et l'intelligence des
identités pour améliorer la responsabilité et la transparence, mieux
répondre aux mandats de conformité et gérer les risques commerciaux
associés.
avec un accès utilisateur aux applications et données critiques.
Clé d'identité Une valeur unique utilisée (et généralement générée) par un magasin
d'identités identifie de manière unique chaque identité.
Gestion des La discipline de sécurité qui permet aux bonnes personnes d'accéder aux
identités et des bonnes ressources au bon moment et pour les bonnes raisons. IAM
accès (IAM) répond au besoin critique de garantir un accès approprié aux ressources
dans des environnements technologiques de plus en plus hétérogènes et
de répondre à des exigences de conformité de plus en plus rigoureuses.
Cette pratique de sécurité est une entreprise cruciale pour toute
entreprise. Elle est de plus en plus orientée vers les entreprises et
35
 LNB

nécessite des compétences commerciales, et pas seulement une

expertise technique. Les entreprises qui développent des capacités IAM
matures peuvent réduire leurs coûts de gestion des identités et, plus
important encore, devenir
beaucoup plus agile dans le soutien de nouvelles initiatives commerciales.
Magasin Un système qui conserve les informations d’identité. Un magasin
d'identité d'identités constitue souvent une source faisant autorité pour certaines
des informations qu'il contient.
Menace interne Les risques potentiels de fraude, de vol, de sabotage ou de violation de la
vie privée provenant de travailleurs au sein d'une organisation ayant accès
à des informations sensibles.
applications et données.
Interface Une interface utilisateur, composée d'un ensemble de cadrans, de
boutons, de commandes du système d'exploitation, de formats
d'affichage graphique et d'autres appareils
fourni par un ordinateur ou un programme pour permettre à l'utilisateur
de

36
 LNB

Communiquer et utiliser l’ordinateur ou le programme

Contrôle Processus conçus pour aider les organisations à prévenir et détecter la
s fraude et à protéger les actifs sensibles. Les contrôles internes sont
internes généralement un moyen par lequel les processus et les ressources
informatiques d'une organisation sont examinés,
surveillés et mesurés.
Approvision Processus de mise en œuvre des modifications sur les ressources cibles en
nement du fonction des modifications du cycle de vie des utilisateurs.
dernier
kilomètre
LDAP Ensemble de protocoles pour accéder aux informations dans les
(Accès léger répertoires. LDAP permet à presque toutes les applications exécutées sur
à l'annuaire pratiquement toutes les plates-formes informatiques d'obtenir des
Protocole) informations d'annuaire.
Moindre Un concept qui cherche à restreindre l'accès d'un utilisateur (par exemple,
privilège aux données ou
Applications) ou type d'accès (par exemple, lecture, écriture, exécution,
suppression) au minimum nécessaire à l'exercice de ses fonctions.
Authentificatio Un processus d'authentification qui nécessite plusieurs éléments. Les
n multifacteur éléments sont généralement regroupés en trois catégories : quelque
chose que vous connaissez (un mot de passe, une phrase secrète ou un
code PIN) ; quelque chose que vous possédez (un jeton ou une carte à
puce) ; ou quelque chose que vous « êtes » (une empreinte digitale, une
empreinte vocale ou
scanner de la rétine).
Compte Un compte appartenant à un utilisateur qui a depuis quitté l'organisation.
orphelin Les comptes orphelins sont le résultat direct de l'échec de la suppression
des privilèges d'accès lorsque les employés terminent ou transfèrent des
emplois et sont fréquents.
une priorité pour les auditeurs informatiques à la recherche de risques de
sécurité.
Mot de passe Forme de données d'authentification secrètes utilisées pour contrôler
l'accès aux services système. Il permet au titulaire d'un identifiant
électronique de confirmer qu'il est bien la personne à qui l'identifiant a
été délivré. Un identifiant, quelque chose que seul l'utilisateur connaît et
que le
l'authentificateur peut confirmer.
Gestion des Automatisation du processus de contrôle de la configuration, de la
mots de passe réinitialisation et de la synchronisation des mots de passe entre les
systèmes.

37
 LNB

Politique de mot Un ensemble d'exigences concernant la création, le stockage et

de passe l'utilisation des mots de passe. Ces exigences limitent souvent plusieurs
caractéristiques de
mots de passe.
Synchronisatio Une solution qui prend le mot de passe d'un utilisateur et modifie les
n du mot de mots de passe sur d'autres ressources pour qu'ils soient identiques à ce
passe mot de passe.
n
Privilégié Compte Un compte privilégié est un identifiant de connexion sur un système ou
une application qui dispose de plus de privilèges qu'un utilisateur normal.
Les comptes privilégiés sont normalement utilisés par les administrateurs
système pour gérer le système ou pour exécuter
Services sur ce système, ou par une application pour se connecter à une
autre.
Approvisionnem Processus d'octroi, de modification ou de suppression de l'accès des
ent utilisateurs aux systèmes, applications et bases de données sur la base
d'une identité utilisateur unique. Le provisionnement automatisé des
utilisateurs est destiné à rendre la création, la gestion et la désactivation
des identifiants de connexion, des répertoires personnels, du courrier
dossiers, droits de sécurité et éléments associés plus rapidement, à
moindre coût et

38
 LNB

plus fiable. Cela se fait en automatisant et en codifiant les processus

commerciaux tels que l'intégration et la résiliation et en les connectant.
processus vers plusieurs systèmes.
Révocation Action de supprimer un rôle ou un droit spécifié d'un utilisateur sur la
base d'une décision prise par un évaluateur lors d'une certification.
Rôle Un rôle est un ensemble de droits ou d'autres rôles qui permettent à une
identité d'accéder aux ressources et d'effectuer certaines opérations au
sein d'une organisation. Un rôle simple est un ensemble de droits définis
dans le contexte d'un système unique. Les rôles sont utilisés pour
simplifier l'administration de la sécurité sur les systèmes et les
applications, en encapsulant des ensembles de droits courants et en les
attribuant sous forme de packages, plutôt que de
qu'individuellement, aux utilisateurs.
Attribution Le processus d’attribution de rôles aux utilisateurs. Un rôle peut être
des rôles implicitement attribué à un utilisateur, c'est-à-dire qu'une base de
données inclura une règle du type « les utilisateurs correspondant aux
exigences X devraient se voir automatiquement attribuer un rôle ».
Y.
Contrôle Un modèle qui limite l'accès des utilisateurs en fonction de leur rôle au
d'accès basé sein d'une organisation.
sur les rôles
(RBAC)
Création de rôle Le processus de définition des rôles au sein d'un modèle de rôle et de
cartographie de ceux-ci.
rôles à l’ensemble approprié de privilèges d’accès en fonction du
processus métier et de la fonction professionnelle.
Certification L'examen périodique d'un ou plusieurs rôles afin de valider que le rôle
de rôle contient les privilèges d'accès appropriés et que les membres du rôle
sont corrects. Les certifications de rôle sont couramment utilisées
comme outil interne
contrôle et un moyen de prévenir la prolifération des rôles.
Gestion du Le processus d'automatisation de la création, de la modification et du
cycle de vie retrait des rôles ; approbations de rôles ; certifications de rôle ; et
des rôles l'analyse des rôles.
Gestion des Il est peu probable que les rôles et l’attribution des rôles restent
rôles statiques pendant un certain temps. Pour cette raison, ils doivent être
gérés : les droits associés à un rôle doivent être révisés et mis à jour et
les utilisateurs auxquels le rôle est attribué, implicitement ou
explicitement, doivent être révisés et modifiés. La gestion des rôles
comprend les processus métier utilisés pour
affecter ces révisions et modifications.
39
 LNB

Modèle Une description schématique des rôles qui définit les rôles et les
hiérarchies de rôles, l'activation du rôle sujet, la médiation sujet-objet,
ainsi que les contraintes sur l'appartenance utilisateur/rôle et l'activation
des ensembles de rôles. Un modèle est un ensemble
de définitions de rôles et un ensemble d’attributions de rôles implicites ou
explicites.
Gestion des La gestion des informations de sécurité (SIM) assure la gestion des
informations journaux (la collecte, le reporting et l'analyse des données de journaux)
et des pour prendre en charge les rapports de conformité réglementaire, la
événements gestion interne des menaces et la surveillance de l'accès aux ressources.
de sécurité La gestion des événements de sécurité (SEM) traite les données
(SIEM) d'événements provenant des dispositifs de sécurité, des périphériques
Technologie réseau, des systèmes et des applications en temps réel pour assurer la
surveillance de la sécurité, la corrélation des événements et la réponse
aux incidents. La technologie peut être utilisée pour
découvrir une activité associée à une attaque ciblée ou à un problème de
sécurité

40
 LNB

violation, et est également utilisé pour satisfaire une grande variété de

réglementations
exigences.
En libre service Le processus permettant aux utilisateurs de demander l'accès aux
ressources à l'aide d'un
interface en libre-service, qui utilise un workflow pour acheminer la
demande vers le(s) responsable(s) approprié(s) pour approbation.
Séparation des Contrôle interne conçu pour prévenir la fraude en garantissant
tâches (SoD) qu'aucune personne n'a un contrôle excessif sur une ou plusieurs
transactions commerciales critiques. Il fait référence à des accès ou à des
rôles mutuellement exclusifs. Cela implique de diviser la responsabilité
des informations sensibles ou des actions risquées afin qu'aucun individu
agissant seul ne puisse compromettre un système. En tant que principe
de sécurité, il a pour objectif premier la prévention des fraudes et des
erreurs. Ce principe est démontré par l'exigence occasionnelle de deux
signatures sur un chèque bancaire ou par l'interdiction pour une
personne d'autoriser ses propres demandes de flux de travail. Parfois
aussi
appelée séparation des tâches.
Compte Un type de compte partagé utilisé pour les communications d'application
de à application lorsque l'accès sécurisé doit être accordé par un système.
services vers un autre système.
Compte partagé Un type de compte partagé utilisé pour les communications d'application
à application lorsque l'accès sécurisé doit être accordé par un système.
vers un autre système.
Authentificatio Processus d'authentification dans lequel l'utilisateur peut saisir un nom
n unique (SSO) et un mot de passe et avoir accès à plusieurs applications ou accéder à
un certain nombre de ressources au sein d'une entreprise. Il offre la
possibilité de s'authentifier une fois, puis d'être authentifié
ultérieurement et automatiquement lors de l'accès à divers systèmes
cibles. Il élimine le besoin de s'authentifier et de se connecter
séparément aux applications et systèmes individuels, servant
essentiellement de substitut utilisateur entre les postes de travail clients
et les systèmes cibles. Les applications et systèmes cibles conservent
toujours leurs propres magasins d'informations d'identification et
présentent des invites de connexion aux appareils clients. En coulisses,
SSO répond à ces invites et mappe les informations d’identification sur
une seule paire identifiant/mot de passe. Le SSO est couramment
déployé en entreprise, sur le Web et dans les réseaux fédérés.
des modèles.
Utilisateur Toute personne qui interagit directement avec un système informatique.
41
 LNB

Ce sont des personnes dont l'accès aux systèmes et aux informations

d'identité doit être
géré.
Gestion du Le processus pour automatisation et gérant
cycle de vie utilisateur sur embarquement,promotions et
des transferts, et hors embarquement.
utilisateurs

42