Gestion des identités et des accès

 

Ce guide pratique a pour objectif de fournir aux responsables d’audit et aux auditeurs internes un aperçu des concepts clés de la gestion des identités et des accès (ou IAM pour Identity & Access Management) et de proposer des pistes d’investigation en la matière.
La gestion des identités et des accès est une activité transverse qui consiste à s’assurer que les accès aux données, au travers du système d’information, sont alignés avec les rôles et responsabilités des utilisateurs tels que définis par l’organisation.
Après avoir rappelé que la plupart des organisations ne se sont pas encore dotées d’un processus suffisamment robuste de gestion des accès et des identités, les auteurs suggèrent plusieurs bénéfices - tels que par exemple, la diminution des coûts et des risques – qui résulteraient d’un renforcement de ce processus de gestion.
 

Couverture GTAG 9Concepts clés

Afin de permettre aux lecteurs d’appréhender l’intégralité du processus IAM, les auteurs rappellent quelques définitions concernant les identités et les droits d’accès puis déclinent les notions de :

  • Provisionnement : processus qui part de la demande jusqu’à la création du compte utilisateur,
  • Administration : processus qui permet de surveiller et de mettre sous contrôle la gestion des accès,
  • Mise en œuvre : processus transverse qui impacte les différentes composantes du SI lors de chaque connexion.

En outre, le guide propose à l’auditeur une liste des principaux points de vigilance pour appréhender le processus de gestion des identités et des accès existant et pour en évaluer chaque étape clés.

 

Commentaire de l'IFACI

La gestion des identités et des droits d’accès est un sujet d’audit clé dans le sens où celle-ci constitue le socle sur lequel vont s’appuyer bon nombre de « contrôles métiers ». Ainsi, au cours de la revue d’un processus métier (paye, achat, etc.), dès lors qu’il souhaitera s’assurer que les contrôles basés sur des autorisations (autorisation de dépenses, autorisation de réviser une limite de crédit, etc.) sont en place, l’auditeur devra se poser la question de la fiabilité de la mise en œuvre de ces contrôles dans les systèmes conformément aux décisions de l’organisation et aux habilitations.
Ce guide pratique propose ainsi à l’auditeur une base solide lui permettant d’orienter et planifier une mission spécifique sur la gestion des identités et des accès. Il propose en effet une liste de questions permettant à l’auditeur de définir un programme de travail pour couvrir chacun des domaines Administration, Provisionnement et Mise en œuvre des droits d’accès.

 

Télécharger le GTAG en français
Télécharger le GTAG en anglais