alphaspirit - Fotolia

Le Crédit Agricole Assurances contrôle ses habilitations avec Brainwave

La pression réglementaire et la prise de conscience croissante des risques associés au manque de contrôle des comptes utilisateurs ont poussé l’assureur à industrialiser le contrôle des habilitations avec IdentityGRC.

Caagis est l’entité qui s’occupe de l’informatique de Crédit Agricole Assurances. RSSI de Caagis, Hervé Juhel explique utiliser IdentityGRC de Brainwave depuis début 2013, pour contrôler les habilitations, notamment pour pouvoir identifier d’éventuelles opérations frauduleuses ou, à tout le moins, illégitimes, voire des tentatives d’exfiltration de données. « Nous avons commencé en 2012 avec des fichiers Excel, mais nous avons vite réalisé que nous touchions aux limites. Avec 3800 utilisateurs et 150 applications, ça devient très vite compliqué à gérer de manière manuelle ».

La recherche d’outils a alors commencé et IdentityGRC a été retenu notamment grâce à l’intuitivité de sa prise en main et à son interface Web, peu courante à l’époque pour ce genre de produit.

Un contrôle mensuel des habilitations

Caagis a ainsi mis en place une extraction mensuelle des habilitations en vu de leur intégration dans IdentityGRC, « pour procéder ensuite à des analyses dans le cadre de nos procédures de contrôle permanent ». Il s’agit notamment là de vérifier que les comptes des personnes ayant quitté l’organisation ont bien été clos, ou encore que les comptes techniques génériques sont clairement identifiés. L’outil de Brainwave permet en effet d’identifier les comptes qui n’ont pas été utilisés depuis un certain temps. De quoi, le cas échéant, se retourner vers le manager responsable de l’utilisateur concerné et lui demander : « n’auriez-vous pas oublié de nous déclarer un départ ? »

Car comme le relève Hervé Juel, l’un des principaux risques tient à l’omission de déclaration du départ d’un utilisateur en régie : « c’est le chef de projet qui connaît ces personnes, pas les ressources humaines. Lorsque le projet démarre, il est toujours enclin à créer des comptes le plus rapidement possible. C’est normal ; c’est son besoin immédiat ». Las, la déclaration des départs ne relève pas spontanément du besoin assorti de la même immédiateté.

Mais pour les équipes de Hervé Juel, il s’agit également de garder la maîtrise de comptes à privilèges dont les activités seront d’ailleurs prochainement suivies à l’aide d’un AdminBastion. Certes, les administrateurs « doivent signer une charte » selon laquelle ils s’engagent notamment à ne pas créer eux-mêmes, directement, d’autres comptes d’administration sur les systèmes dont ils ont la responsabilité, pour des collègues : « il y a un processus dérogatoire pour cela et il doit être suivi ». Mais ce n’est hélas pas toujours le cas.

Dès lors, régulièrement, les équipes de Hervé Juel voient apparaître des comptes d’administrations qui ont été créés sans suivre le processus officiel : « on les fait supprimer dans la foulée ».

Outre le suivi mensuel des habilitations, IdentityGRC sert également à répondre à des demandes d’analyse ponctuelles, de manière quasi immédiate alors qu’avant, il fallait demander l’extraction du fichier utilisateurs pour procéder aux croisement.

Vers une intégration avec l’IAM

Mais le déploiement d’IdentityGRC ne s’est pas fait sans difficultés : « au départ, nous avons voulu intégrer trop de référentiels », explique Hervé Juel. Du coup, ces équipes ont été amenées à découvrir des anomalies trop nombreuses pour qu’il soit possible de les traiter d’un seul coup. D’où le choix de revenir en arrière pour intégrer les référentiels par lots, en hiérarchisant les phases d’intégration suivant la criticité des systèmes concernés. Aujourd’hui, toutes les applications critiques sont couvertes et les équipes de Hervé Juel répondent aux demandes d’intégration venant des métiers.

Autre écueil initial : les extractions. « Au départ, on demandait les fichiers habilitations aux équipes, mais au bout de quelques mois, on a pris conscience de l’impératif d’entrer dans un mode industriel, comme pour tout système de production ». C’est désormais un ordonnanceur qui se charge de ces extractions ; un incident de production est déclaré en cas d’échec.

Toujours dans la même logique, Hervé Juel prévoit de déployer l’an prochain un environnement de recette, afin de gagner en souplesse notamment pour les travaux de maintenance. Et si l’intégration n’est pas encore faite avec la solution de gestion des identités et des accès (IAM), c’est une évolution qui fait déjà l’objet d’une réflexion, notamment pour automatiser les cas les plus classiques de gestion des comptes orphelins, comme les départs non déclarés. 

Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)

Close