Pour faire suite à ce post ainsi qu’à celui-ci, voici une rapide check-list à mettre en place pour gérer convenable vos habilitations dans le temps :
1️⃣ Réaliser un audit de l’existant et de l’ensemble des applications SaaS utilisées par la société (on reste dans le thème du SaaS, mais exactement pareil pour les autres cas de figure)
2️⃣ Réaliser un audit d’habilitation sur ces applications (Qui dispose d’un compte ? Quels sont les niveaux de privilèges ? Y a t’il une redondance des comptes à privilèges ? Y a t’il des comptes génériques (pitié, dites non) ? )
3️⃣ Supprimer les comptes inutiles, restreindre les droits pour les autres (#DroitDenConnaitre). Non Paulo de la compta, tu n’as pas besoin d’être admin office365 !
4️⃣ Mettre en place un système de ticketing pour les demandes d’accès et de révocation ! Ce système doit être couplé à votre système RH pour disposer d’une notification lors d’un départ
5️⃣ Implémenter au maximum le SSO lorsque c’est possible. Lorsque ce n’est pas possible, privilégier les applications disposant d’une API permettant d’obtenir la liste des utilisateurs et automatisez les tests
6️⃣ Créer une procédure de départ des utilisateurs à rattacher à la PSSI. Cela permettra également d’avoir le process pour les applications sans SSO ni API
7️⃣ Soyez humain et fair, un départ ne doit pas être vu comme un affront