Contrôle d'accès
Introduction
Le contrôle d'accès consiste à déterminer les activités autorisées des utilisateurs légitimes, y compris les employés et les sous-traitants, en intervenant dans les tentatives des utilisateurs d'accéder à une ressource dans un système. Le Groupe Altus conçoit nos configurations de contrôle d'accès pour éviter la fuite d'autorisations vers des entités/utilisateurs non autorisés.
Nos principes directeurs
L'accès aux systèmes et aux données est explicitement fourni selon le principe du « moindre privilège ».
L'accès est mis en œuvre selon le principe de « séparation des tâches »
Les utilisateurs doivent s'authentifier avant d'accéder aux ressources réseau ou aux systèmes hôtes
L'autorisation d'accès est fournie par une autorité centrale de confiance
Les autorisations d'accès sont définies à l'aide de Role-Based-Access-Control (RBAC) ou équivalent
Les tentatives d'accès aux systèmes et aux données de l'entreprise sont enregistrées
L'accès non autorisé est empêché grâce à une protection appropriée au niveau du réseau et à un contrôle d'accès
Gestion des accès utilisateurs
L'accès des utilisateurs du Groupe Altus est fourni via un système de provisionnement de comptes intégré à la base de données interne du groupe Altus. Les privilèges d'accès sont accordés en fonction des rôles professionnels et, le cas échéant, nécessitent l'approbation de la direction.
Attribuez des droits d'accès en fonction des besoins de l'entreprise.
L'accès privilégié est attribué avec soin et avec le moins de privilèges requis.
Les droits sont révoqués lorsqu’il n’y a plus de besoin commercial pour l’employé ou l’entrepreneur d’avoir accès.
Des procédures de connexion sécurisées pour contrôler l'accès aux applications et aux systèmes, y compris l'authentification multifacteur (MFA) sont appliquées
Gestion des accès privilégiés
Le contrôle d'accès privilégié est mis en œuvre de manière à ce que l'accès aux fonctions et systèmes privilégiés soit limité au personnel autorisé uniquement et que l'accès privilégié soit fourni conformément au principe du « besoin de savoir » et du « principe du moindre privilège ».
Demande d'accès et mise à disposition
Nos contrôles de demande d’accès et d’approvisionnement sont conçus pour éviter la divulgation non autorisée de données. Le provisionnement des accès est considéré comme un processus sensible nécessitant de la vigilance et suivant un processus établi.
La demande d'accès à un actif et son approbation est un processus formel documentant les attentes, l'approbation, la durée et toute information complémentaire nécessaire au processus
Les processus d'approbation nécessitent l'approbation du gestionnaire et celle du propriétaire de l'actif
Les droits d'accès sont fournis, par défaut, conformément aux rôles et responsabilités professionnels et aux exigences du propriétaire de l'actif
L'accès est fourni à l'aide du contrôle d'accès basé sur les rôles (RBAC)
Les règles d'attribution d'accès par défaut sont documentées et régulièrement révisées
Révision des droits d'accès
Le Groupe Altus examine régulièrement le réseau, les comptes du système d'exploitation, le cloud/SaaS et l'accès aux logiciels, en ce qui concerne les niveaux d'accès des utilisateurs appropriés. En cas de licenciement, de décès ou de démission d'employés, les processus du Groupe Altus sont conçus de manière à ce que les actions appropriées pour mettre fin rapidement aux accès réseau, logiques et physiques soient suivies.
Accès au réseau
Le Groupe Altus a conçu une protection du réseau pour appliquer le principe de confiance zéro sur notre réseau pour la protection et le contrôle des données du Groupe Altus et des clients au repos et pendant leur transmission. Ceci est appliqué comme suit :
La configuration de l'accès au réseau applique la ségrégation de l'environnement
Des techniques de filtrage de réseau sont utilisées pour limiter l’exposition des actifs
Les règles d'accès au réseau sont révisées périodiquement
Contrôles d'accès au code source
Le code source du Groupe Altus est le pilier des activités du Groupe Altus et un accès non autorisé peut avoir un impact négatif sur les activités du Groupe Altus , car cet accès aux codes sources doit être contrôlé.
L'accès au code source est réservé aux personnes autorisées
L'accès aux référentiels de code source nécessite MFA pour tous les utilisateurs
L'accès au code source est enregistré et surveillé
L'accès des invités n'est pas autorisé
Accès à l'environnement de production
Les changements dans l'environnement de production peuvent avoir un impact involontaire sur les processus métier, par conséquent :
Un processus formel de fourniture d'accès utilisateur est mis en œuvre pour attribuer ou révoquer les droits d'accès de tous les types d'utilisateurs à tous les systèmes/services de l'environnement de production
L'accès aux environnements de production est crypté
L'accès est enregistré et surveillé activement
L'accès aux environnements de production est considéré comme un accès privilégié et est conforme aux exigences d'accès privilégié
Accès des utilisateurs externes (tiers)
L'accès de tiers aux systèmes et aux données du Groupe Altus est contrôlé et surveillé pour empêcher tout accès non autorisé ou toute violation. L'accès n'est accordé qu'en cas de besoin et l'accès est résilié lorsqu'il n'est plus nécessaire.
Les demandes d'accès de tiers suivent un processus d'approbation formel
Les tiers doivent s'authentifier avec un nom d'utilisateur et un mot de passe uniques et utiliser MFA ou une source cible approuvée
Les tiers reçoivent une autorisation pour les données, systèmes ou réseaux requis spécifiques
L'accès des tiers est accordé sur la base du principe du moindre privilège
Les activités de tiers et l'accès aux données, systèmes ou réseaux sont surveillés pour détecter toute activité non autorisée
Des examens et un audit périodiques de tous les journaux d'accès tiers sont effectués
L'accès des tiers prend fin lorsqu'il n'est plus nécessaire