|
|
|
|
Sécurité |
Gestion
des identités : le parent pauvre de la sécurité |
Patienter deux jours avant d'avoir ses identifiants, accéder à des bases de données critiques et continuer de le faire après avoir quitté une société, telles sont les conséquences d'une gestion des identités déficiente.
(Lundi 23 juin 2003) |
|
Plus de 20% des entreprises
européennes mettent plus de deux semaines pour
supprimer des droits d'accès obsolètes.
Un nouveau salarié doit attendre plus de deux jours
pour obtenir ses codes d'accès dans 48% des sociétés.
Et 15% des DSI déclarent ne pas être conscients
des risques liés à la gestion des droits
utilisateurs.
Ce sont quelques unes des étonnantes conclusions
fournies par une étude réalisée début
2003 par Novell Worldwide Services et les universités
de Stanford et de Hong-Kong, auprès de 200 entreprises
parmi les 2 000 plus importantes en Europe, en Asie
et aux Etats-Unis.
A travers les trois grandes étapes du cycle de
vie d'une identité - création maintenance,
révocation - l'étude passe au crible les
différentes lacunes et les multiples freins rencontrés.
Définir
une politique claire de gestion des droits d'accès
Avant toute chose,
la définition d'une politique claire et précise
d'attribution des droits semble incontournable. "Nous
ne savons pas qui a accès à quoi et qui
peut modifier quoi", déclare un manager cité
par l'étude. L'absence de règles peut aboutir
à des situations ineptes, voire dangereuses, comme
le libre accès aux bases commerciales de l'entreprise
par un simple stagiaire.
Même si ces règles existent, encore faut-il,
précise l'étude, que les cadres de la société
qui ont le pouvoir de créer ou de modifier les
droits puissent le faire par le biais d'outils automatisés.
Laisser un message téléphonique ou envoyer
un mail à un administrateur - qui se mettra lui-même
en recherche de ce qui peut être consulté
ou pas par la personne concernée - relève
bien trop souvent du parcours du combattant.
Assurer
une gestion au quotidien efficace
Une gestion de
mots de passe déficiente mène par ailleurs
à des risques et coûts additionnels. Les
mots de passe ne doivent pas être des mots du dictionnaire
mais inclure des lettres et des chiffres mêlés.
L'étude note que 86% des répondants ont
à se souvenir de plus de deux mots de passe en
tout, ce qui les contraint à les consigner physiquement
quelque part dans leur environnement de travail. La mise
en place d'un système à mot de passe unique
permet d'optimiser considérablement les processus
et de réduire les quelque 30% du temps que disent
consacrer les centres d'appels internes (help desk)
à ces questions.
Cette gestion au quotidien concerne aussi et surtout la
mise à jour et la révocation des droits,
en cas de changement de poste ou de départ d'un
salarié de la société. 54% des sociétés
de moins de 10 000 employés reconnaissent mettre
plus de deux jours pour réagir quand un salarié
s'en va. Ce pourcentage tombe à 32% dans les entreprises
de plus de 50 00 personnes. Mais ce ne sont que des moyennes
car les cas sont nombreux où d'anciens employés
gardent pendant de longues semaines un accès à
leur boîte mail ou, pire, aux locaux de l'entreprise,
leur badge continuant de leur ouvrir toutes les portes...
De réels
obstacles au déploiement
L'étude
se conclut par les principaux obstacles au déploiement
d'un management sécurisé des identités
(Secure Identity Management). Parmi les principaux, trois
se dégagent du lot : le manque de prise de conscience
des enjeux liés à ces problèmes et
l'insuffisant soutien des directions pour développer
cette prise de conscience, la peur des déploiements
de solutions complexes et coûteuses et, pour finir,
le manque d'intégration des systèmes d'information
au sein même des processus de l'entreprise.
|
|
|
|
|
|