Avez-vous inventorié les identités sensibles de votre organisation ?

Avez-vous inventorié les identités sensibles de votre organisation ?

Il est utile de constituer et maintenir une liste de "personnes sensibles" de son organisation.

Publié le 22/10/2023 par Stefan THIBAULT

Defense Priorisation Efficacité Identités

2 min de lecture

Pour des mécanismes de détection mieux calibrés et une meilleure priorisation des incidents de compromission de comptes, il est utile de constituer et maintenir une liste de “personnes sensibles” dont les activités impliquent un droit d’accès à des données ou systèmes les plus critiques.

On peut lister plusieurs populations concernées :

  • Les “VIP”, souvent assimilés au top management. Leurs fonctions leur donnent accès à des informations stratégiques et usurper leur identité est un accélérateur des schémas de fraudes. Dans les grandes entreprises, il est usuel qu’une liste existe déjà, car ils peuvent bénéficier d’un support informatique personnalisé. Attention à ne pas oublier les assistant(e)s ou autres adjoint(e)s qui bénéficient souvent de délégations d’accès sur les boîtes mails ou workflows de validation !
  • Les administrateurs informatiques : si tout est bien fait, seuls les comptes dédiés à l’administration sont critiques, et identifiables via une convention de nommage. Mais si l’administration ne se fait pas depuis des postes dédiés, le compte “bureautique” est aussi à surveiller.
  • L’ensemble des fonctions qui ont des accès à des données ou validations critiques : trésorerie, analystes marketing qui manipulent des fichiers clients, compta fournisseurs qui modifie les IBAN, équipes de R&D travaillant sur les projets les plus innovants, équipes M&A ou de communication financière… Cette identification est complexe et doit reposer sur une méthode structurée.

Le principal challenge étant de maintenir cette liste à jour, quelques approches peuvent aider :

  • Fonctionner sur base d’attributs RH : un flag de criticité peut être positionné sur chaque fiche de poste, et identifier automatiquement les comptes concernés lors des mouvements. Cela nécessite toutefois une maturité avancée dans la gestion des accès et le support des équipes RH.
  • Constituer des listes dynamiques grâce aux informations d’accès à des données classifiées sensibles fournies par l’outil de DLP ou de gouvernance de données. Ici aussi, ces outils doivent être en place et les pratiques de labellisation des documents répandues.
  • Un peu de tout ça pour faire au mieux. Difficile d’être exhaustif, mais ce sera toujours une avancée par rapport à l’impossibilité de mesurer rapidement l’impact potentiel d’un incident.

Cet exercice est aussi l’occasion de faire des sensibilisations plus ciblées et de rappeler aux populations concernées leur rôle vis-à-vis des données que l’organisation leur confie.