Automatisation robotisée des processus (RPA) : les bonnes pratiques IAM
Au sein de grandes entreprises, des processus d’automatisation des tâches via des robots sont couramment utilisés. Ces processus robotisés sont appelés RPA, « Robot Process Automation » ou automatisation robotisée des processus. Ils permettent d’améliorer la productivité, de réduire les coûts et d’augmenter la qualité et la flexibilité de certaines tâches. Ils remplacent très souvent l’humain dans ses tâches répétitives. Ces robots présentent des vulnérabilités car ils accèdent à des ressources via des accès spécifiques, ce qui augmente considérablement la surface d’attaque. Il est donc nécessaire de s’assurer de la gestion sécurisée de ces robots, de leurs identités ainsi que de leurs accès. Quelles sont donc les bonnes pratiques IAM à mettre en place pour la gestion des accès dans le cadre de l’automatisation robotisée des processus en entreprise ?
Comment identifier le responsable d’une action d’un RPA ?
L’identification du responsable d’une action repose sur l’identification du robot associé et le maintien à jour d’un inventaire des actifs. Il est important de bien renseigner le détenteur du robot, l’objectif pour lequel il est utilisé et une documentation associée. Cette identification dans l’inventaire des actifs se rapproche des bonnes pratiques liées à l’IoT (Internet of Things).
En tant qu’actif, chaque robot a un identifiant unique qui lui est propre. Pour accéder à une ressource, la liaison de cet identifiant à un compte applicatif est nécessaire. L’utilisation d’un compte applicatif se justifie par un mode de fonctionnement similaire entre une application et un robot. Une fois que le robot a bien été identifié, il est nécessaire de configurer son authentification sur les ressources. L’authentification via des jetons applicatifs permet de faciliter l’accès à la ressource en s’affranchissant notamment des contraintes de mises à jour régulières requises par d’autres méthodes d’authentification.
Quelles actions permettre aux processus robotisés ? Et comment gérer ces autorisations ?
Les principes de moindre privilège et du besoin d’en connaître s’appliquent pour les accès des robots de la même façon que pour ceux des utilisateurs.
De plus, dans certains cas, comme pour l’automatisation des actions via interface utilisateur, un robot peut avoir le même niveau d’autorisation qu’un utilisateur. C’est pourquoi, sur chaque ressource, une gestion séparée des accès pour les robots (et applications) et pour les utilisateurs doit être mise en place. Cette gestion séparée doit s’accompagner de procédures spécifiques, tant lors de la validation des accès que lors de l’approvisionnement de ceux-ci. Vu le nombre grandissant de robots, il est judicieux d’implémenter une gestion d’accès qui se base sur des profils, de manière similaire à ce qui est fait pour des utilisateurs. Sur ces profils, des attributs spécifiques peuvent être ajoutés pour les regrouper par catégorie et les différencier.
Comment surveiller et encadrer le fonctionnement des processus robotisés ?
Lorsqu’un robot est déployé, il est nécessaire de surveiller son fonctionnement nominal afin de ne pas entraîner d’éventuels incidents de sécurité en cas de dysfonctionnement. Pour ce faire, il est recommandé de définir des cas d’usages et de surveiller les comportements anormaux, qui sortiraient d’un fonctionnement nominal. Par exemple, une élévation de privilèges, des ressources accédées en dehors de celles autorisées devraient faire partie de ces cas d’usages.
Basé sur ces cas d’usages, des scénarios alertes doivent être construits. Ces alertes doivent ensuite être centralisées dans un tableau de bord. Ceci permet aux équipes métiers et à la sécurité de surveiller et de remonter les comportements anormaux. Ce tableau de bord permet également de montrer une vue complète du parc de robots.
Comment gérer la fin de vie d’un robot ?
Lorsque des robots deviennent obsolètes, il est nécessaire de supprimer leurs comptes, identités et accès pour diminuer la surface d’attaque. Sans gestion de fin de vie des robots, ils peuvent être utilisés à des fins malveillantes ou engendrer des dysfonctionnements. Pour aider à gérer cette fin de vie, un attribut renseignant la date de fin d’utilisation d’un robot doit accompagner son identification.
Quels rôles et responsabilités tout au long du cycle de vie d’un robot ?
L’ensemble des thématiques évoquées précédemment implique un certain nombre d’acteurs différents, à qui il faut attribuer des rôles et responsabilités. Cela permet de s’assurer de la mise en œuvre harmonieuse de chacune des étapes du cycle de vie d’un robot. Ci-dessous, un exemple de répartition des responsabilités sous le format d’un RACI est disponible.
Pour finir… Ces bonnes pratiques sont nécessaires pour maîtriser le nombre grandissant de ces robots au sein des entreprises. Il est judicieux de les adapter au contexte dans lequel ces robots sont utilisés. Des procédures formalisées et maintenues à jour doivent accompagner l’usage de ces robots au quotidien.
Co-écrit par Audrey Fournies et Yannis Boukhalfa.