Processus de gestion des droits d'accès étendu

La gestion des droits d'accès étendue (ARM étendue) inclut les cas d'utilisation de gestion des droits d'accès IGA qui requièrent une maturité organisationnelle plus élevée et des capacités plus complexes. Parmi les principaux cas d'utilisation de cette catégorie figurent la gestion des droits d'accès physiques et des droits d'accès privilégiés.

La gestion des droits d'accès physique se concentre sur la gestion et le contrôle de l'accès aux ressources, installations et actifs physiques au sein d'une organisation. Si les fonctionnalités IGA de base concernent principalement l'accès numérique aux systèmes et applications, la gestion des droits d'accès physique étend ces principes à la gestion de l'accès aux espaces et actifs physiques.

Voici les aspects clés de la gestion des droits d’accès physique dans IGA :

• Systèmes de contrôle d'accès : La gestion des droits d'accès physique implique souvent l'utilisation de systèmes de contrôle d'accès, tels que des lecteurs de cartes électroniques, des scanners biométriques, des claviers et des serrures intelligentes, pour contrôler et surveiller l'entrée dans les bâtiments, les pièces et les zones sécurisées.
• Authentification des utilisateurs : À l'instar de IGA numérique, la gestion des accès physiques requiert une authentification des utilisateurs. Ces derniers peuvent être tenus de présenter une pièce d'identité, de saisir un code PIN, de fournir des données biométriques (par exemple, empreintes digitales, rétine) ou d'utiliser d'autres méthodes d'authentification pour obtenir un accès physique.
• Accès basé sur les rôles : Tout comme pour la gestion des accès numériques, les droits d'accès physiques peuvent être régis par un contrôle d'accès basé sur les rôles (RBAC). Chaque employé peut disposer de niveaux d'accès physiques différents selon ses fonctions et responsabilités.
• Demandes et approbations d'accès : Les organisations peuvent mettre en place des workflows pour demander et approuver les droits d'accès physiques. Les employés peuvent demander l'accès à des zones ou des ressources spécifiques, et ces demandes peuvent être transmises au personnel compétent pour examen et approbation.
• Révocation d'accès : Lorsqu'un employé change de rôle ou quitte l'organisation, ses droits d'accès physique doivent être rapidement mis à jour ou révoqués. Des processus automatisés permettent de garantir la synchronisation des accès physiques avec les modifications d'accès numériques.
• Audit et suivi de l'utilisation : Similaire à IGA numérique, la gestion des accès physiques comprend l'audit et la surveillance. Les journaux d'accès peuvent servir à suivre l'utilisation, facilitant ainsi les enquêtes, la conformité et la réponse aux incidents de sécurité.
• Intégration : L'intégration entre les systèmes de contrôle d'accès physique et les systèmes IGA numériques offre une vue d'ensemble des accès utilisateurs. Les organisations peuvent ainsi gérer les droits d'accès numériques et physiques depuis une plateforme centralisée.
• Conformité : La gestion des droits d'accès physiques est essentielle à la conformité réglementaire dans les secteurs où la sécurité physique est une préoccupation, comme la santé, la finance et le secteur public. Elle permet de garantir que seul le personnel autorisé puisse accéder aux ressources physiques sensibles.
• Accès des visiteurs : Au-delà de l'accès des employés, la gestion des accès physiques peut également couvrir la gestion des visiteurs. Les demandes et autorisations d'accès des visiteurs peuvent être gérées, et des identifiants d'accès temporaires peuvent être délivrés.
• Accès d'urgence : Dans les situations d'urgence, telles que les incendies ou les catastrophes naturelles, les systèmes de contrôle d'accès physique peuvent disposer de mécanismes de remplacement pour faciliter l'évacuation rapide ou l'accès du personnel d'urgence.

La gestion des droits d'accès physiques est essentielle au maintien de la sécurité des actifs et installations physiques d'une organisation. En l'intégrant aux pratiques IGA numériques, les organisations peuvent garantir une approche globale et coordonnée de la gestion des accès, tant dans les domaines numériques que physiques.

La gestion des accès privilégiés (PAM) est un composant essentiel de IGA , spécifiquement dédié à la gestion des accès aux comptes et systèmes privilégiés au sein d'une organisation. Les comptes privilégiés sont ceux qui disposent d'autorisations et de droits d'accès élevés, souvent détenus par les administrateurs informatiques, les administrateurs système et d'autres membres du personnel nécessitant un accès de haut niveau aux systèmes et données critiques. La PAM de IGA vise à sécuriser ces comptes afin de prévenir les abus, les accès non autorisés et les failles de sécurité potentielles.

Voici les aspects clés de la gestion des accès privilégiés dans IGA :

• Identification des comptes privilégiés : PAM commence par identifier et cataloguer les comptes et systèmes privilégiés. Cela inclut les comptes root, les comptes administrateurs et les autres comptes disposant de privilèges élevés.
• Contrôle d'accès : PAM applique des contrôles d'accès stricts aux comptes privilégiés, garantissant que seules les personnes autorisées peuvent les utiliser. Cela implique généralement l'exigence d'une authentification multifacteur (MFA), de mots de passe forts et de politiques d'accès strictes.
• Principe du moindre privilège : PAM applique ce principe, garantissant aux utilisateurs et aux systèmes le niveau d'accès minimal nécessaire à l'exécution de leurs tâches. Les privilèges inutiles sont supprimés afin de limiter les risques d'abus.
• Examens d'accès : Des examens et certifications d'accès périodiques sont effectués pour vérifier que les utilisateurs disposant d'un accès privilégié ont toujours besoin de ces droits. Cela permet d'éviter les accès non autorisés.
• Application des politiques : PAM applique les politiques de sécurité, telles que l'exigence d'approbation pour les demandes d'accès, la mise en œuvre des règles de séparation des tâches (SoD) et la garantie du respect des réglementations de sécurité.
• Audit et reporting : Des fonctionnalités d'audit et de reporting performantes sont essentielles à PAM. Les organisations peuvent générer des rapports détaillés sur les accès privilégiés, indiquant qui a accédé à quoi, quand et dans quel but. Ces rapports sont essentiels pour les audits de conformité et de sécurité.

La gestion des accès privilégiés dans IGA est essentielle pour protéger les systèmes et données les plus critiques d'une organisation contre les menaces internes, les attaques externes et les erreurs de configuration accidentelles. En mettant en œuvre des pratiques PAM, les organisations peuvent considérablement améliorer leur sécurité et se conformer aux exigences réglementaires.

L'effet IGA inclut les cas d'utilisation et les fonctionnalités suivants dans Extended ARM, comme illustré dans la figure ci-dessous : gérer les accès privilégiés, gérer les accès physiques, gérer le cycle de vie des droits, auto-enregistrement des utilisateurs, gérer le stockage des identités et créer et mettre à jour les droits.