Gouvernance sécurité et indicateurs IAM

Jusqu’en 2010, il était assez  courant d’entendre que plus de la moitié des appels au support étaient liés à des problèmes d’accès et/ou de mot de passe. Ces éléments statistiques chiffrés ont d’ailleurs largement été utilisés par les éditeurs de solutions de gestion des identités et des accès comme argument de persuasion puis d’aide à la vente.

Une étude du cabinet Deloitte parue 2012 démontre que le « top 5 » des préoccupations des responsables  de la sécurité du SI  restent encore les problèmes d’attribution, de suppression et de surclassement des droits d’accès.

Il semble donc légitime d’un point de vue de la gouvernance/conformité de la sécurité  de vouloir suivre de près ce qui se passe dans les solutions de gestion des identités et des accès via des tableaux de bords sécurité comme il est coutume de le faire sur d’autres sujets. Or, force est de constater que ce n’est souvent pas le cas. D’un point de vue de la gouvernance, c’est même très souvent le grand absent, habituellement par le manque de capacité des solutions de gestion des identités et ds accès à disposer d’indicateurs simples, parlant et facilement déployables.

Pourtant, rendre visible la gestion des identités et des accès au moyen d’indicateurs simple, concis et précis dans des tableaux de bords sécurité est un des meilleurs moyens pour permettre de faire prendre conscience aux différents acteurs de l’ampleur du sujet, des coûts et des problèmes rencontrés.

Plusieurs indicateurs

Synetis vous livre donc ici quelques indicateurs simples que nous avons pour habitude de fournir à nos clients, leur permettant ainsi  d’avoir une vision fine de leur maturité sur les problématiques de gestion des identités et des accès. Un ou deux de ces indicateurs clés pourront s’intégrer facilement dans vos tableaux de bord.

  • Volume de réinitialisation de mot de passe par mois
  • Nombre moyen d’informations de connexion (identifiant + mot de passe) distinct par utilisateur
  • Nombre de nouveaux comptes provisionnés
  • Temps moyen nécessaire pour provisionner ou dé-provisionner un utilisateur
  • Temps moyen nécessaire pour autoriser le changement
  • Nombre de systèmes ou des comptes privilégiés sans propriétaire
  • Nombre de comptes non corrélés
  • Nombre d’exceptions de réconciliation
  • Nombre d’exceptions par cycle de de re-certification
  • Nombre de violation de ségrégations de droits

On  constate très rapidement que certains de ces indicateurs sont plus rapides et simple à mettre en place que d’autres.  Un moyen simple d’évaluer et votre maturité sur ces problématiques de gestion des identités et des accès est d’ailleurs de savoir quels indicateurs peuvent-être calculés automatiquement.

Philippe

Chef de projet Sécurité