Audit de la gestion des habilitations
		La notion d'entreprise étendue implique aujourd'hui que les ressources du système d'information soient connectées, disponibles et accessibles aux seules personnes habilitées, qu'elles soient à l'intérieur ou à l'extérieur du périmètre de confiance. Ces évolutions ont ainsi poussé les entreprises à renforcer leur modèle de sécurité tant au niveau de l'infrastructure technique (et équipements sous-jacents) qu'au niveau des mécanismes de gestion de l'identité (Identity Management). Une gestion des identités et des accès maîtrisés permet d'une part, de renforcer la politique de sécurité de l'entreprise et d'autre part, d'être en conformité avec les textes de loi récents tels que SOX (Sarbanes-OXley) et la LSF (loi de Sécurité Financières).
		Démarche préconisée par Lynx Technologies
		Dans un contexte aussi évolutif (passage de la gestion des droits d'accès à la gestion des identités numériques), Lynx Technologies préconise une approche pragmatique afin d'analyser toute la problématique de gestion des habilitations, concernant les accès aux ressources systèmes ou applicatives et impliquant des utilisateurs internes ou externes à l'entreprise. Ainsi, les comptes et les droits fantômes seront détectés, les actions de fraude seront rendues plus difficile et la détection des actes malicieux sera facilitée. Pour atteindre ces objectifs, Lynx Technologies audite l'ensemble des accès (ou habilitations) des différentes populations d'utilisateurs sur les ressources du système d'information de l'entreprise. Les investigations menées par Lynx Technologies permettent de vérifier :
		Sur le plan organisationnel :     la définition et cohérence des profils définis au niveau des ressources ciblées (applications, systèmes, composants réseaux, …) ;     les modalités d'attribution de ces profils (qui établit la demande ? qui la valide ? qui la traite ? qui la contrôle ?) ;     la cohérence entre la base d'habilitations et les utilisateurs autorisés (les identités stockés au niveau du ou des référentiels) à intervenir, et les moyens de la contrôler périodiquement ;     la traçabilité des actes d'habilitation et des actions entreprises par les utilisateurs (piste d'Audit) ;   Sur le plan sécurité :     les Autorisations à travers les permissions sur les fichiers et les répertoires en fonction des profils attribués (accès aux données sensibles, mécanismes de conservation, journalisation, etc.) ;     la vulnérabilité et la complexité des référentiels existants (annuaires, bases de compte, …..) ;     les mécanismes utilisés (Authentification des utilisateurs, confidentialité des échanges, …) ;     l'interopérabilité des plates-formes (systèmes, annuaires, BdD, ..) ;     les risques liés à la localisation des bases de données et leurs interactions avec les autres composants de l'architecture applicative,     les risques liés à la propagation de l'identité (cookies, requêtes, formulaires, etc.),     etc.