GH GambleHub

Audit des identités

1) Objectif et résultat

Objectif : assurer une conformité prouvée avec les principes de Zero Trust et les privilèges les plus bas en vérifiant régulièrement qui a les accès où et pourquoi.
Résultat : un registre complet et à jour des identités et des droits avec des propriétaires confirmés, des accès « dépendants » éliminés, une base de données probantes pour les contrôles internes et les régulateurs.

2) Portée

Utilisateurs internes : personnel, stagiaires, superviseurs, rôles temporaires.
Entrepreneurs/partenaires : studios de jeux, fournisseurs PSP/KYC/AML, affiliés.
Identités de service : bots, CI/CD, intégrations, clés et jetons API.
Rôles privilégiés : Admins d'infrastructure/OBD, Payments, Risk, Trading.
Joueurs (dans le contexte KYC) : exactitude du lien de compte ↔ profil KYC ↔ statuts RG/AML (vérification des processus, non du contenu des documents).

3) Termes et principes

Identité (identité) : un sujet unique (personne/service) avec des attributs.
Intérêt (privilège) : droit/rôle spécifique sur la ressource.
JML : Joiner → Mover → Leaver est le cycle de vie de l'identité.
SoD : partage des responsabilités pour les opérations à haut risque.
Least Privilège & Just-in-Time (JIT) : ensemble minimum de droits accordés pour une durée limitée.
Comptabilité : chaque identité a un propriétaire, tout le monde a un droit - une justification commerciale et un délai.

4) Sources de vérité et modèle de données

Système HRIS/RH : source principale du statut d'employé (hire/move/exit).
IdP/SSO : point unique d'authentification (MFA/FIDO2), fédération.
IAM/IGA : répertoire des rôles, des politiques et des processus de certification.
CMDB/annuaire de services : propriété des systèmes et des boucles d'accès.
Plates-formes de fournisseurs : PSP/KYC/CDN/WAF/fournisseurs de jeux - portails d'accès externes.
Модель: Identity → (belongs to) → Org Unit/Team → (has) → Roles → (expand via ABAC) → Entitlements → (apply) → Resources.

5) Contrôles qui vérifient l'audit

1. SSO et MFA sont omniprésents (sans comptes locaux et comptes partagés).
2. RBAC/ABAC/PBAC : les droits sont décrits par des politiques (policy-as-code), les rôles sont typiques et harmonisés.
3. SoD : des rôles et exceptions incompatibles sont formalisés.
4. JIT/PAM : augmentations temporaires avec tiquet, enregistrement de session et auto-rappel.
5. Secrets/clés : stockées dans un gestionnaire de secrets, avec rotation et durée de vie.
6. Logs et probabilités : tamper-evident, trace cohérente de qui/quoi/où/quand/pourquoi.
7. Data Access : masquage PII, exportation - uniquement par flux de travail avec cryptage et TTL.

6) Processus d'audit (de fin à fin)

1. Préparation : gel de l'instantané des droits (entitlements snapshot) par système ; déchargement de l'IdP/IAM/fournisseurs.
2. Normalisation : mappage des rôles au répertoire, déduplication, regroupement par propriétaire de ressources.
3. Catégorisation des risques : P1/P2 (privilégiés et sensibles) → vérification prioritaire.
4. Revérification des droits : les propriétaires de systèmes confirment/refusent les droits (campagnes d'accès).
5. Vérification SoD : identifie les incompatibilités et les exceptions temporaires (avec date d'expiration).
6. Rapprochement JML : mappage hire/move/exit avec les droits réels (y compris les portails externes).
7. Comptes de service : présence du propriétaire, tokens à courte durée de vie, pas de « god-scope ».
8. Base de preuve : formation d'un paquet d'artefacts (rapports, décharges, actes).
9. Plan de remédiation : tickets de rappel/correction, délais et responsables.
10. Rapport final : état des risques, KPI du cycle, leçons et améliorations des politiques.

7) contours JML (ce que nous vérifions plus profondément)

Joiner : attribution automatique des rôles de base, interdiction des « suppléments » manuels en dehors du catalogue.
Mover : le remplacement de l'équipe/emplacement → le remplacement automatique des rôles, le rappel des vieux privilèges.
Leaver : révocation de tous les droits dans les X minutes/heures, fermeture du courrier/VPN/portails des fournisseurs, désactivation des clés et des tokens.

8) Dépendances extérieures et portails

PSP/KYC/AML/CDN/WAF/fournisseurs de jeux : chaque compte a un propriétaire, un but, un terme, un MFA, l'interdiction des comptes partagés.
Contrat SoD/SLA : disponibilité du contrôle double pour les opérations P1 (modification du routage des paiements, limites de bonus, etc.).
Rapprochement régulier : Registre des portails externes ↔ liste des utilisateurs actuels ↔ résultats des revérifications.

9) Caractéristiques du domaine iGaming

Payments & Risk : branches SoD séparées ; les aprouves sur les modifications des limites/itinéraires ; audit des ajustements manuels.
Trading/ratios : bac à sable pour la modélisation, rôles de publication distincts, retour rapide ; Journal des changements.
Jeu responsable/KYC/PII : contrôle rigoureux des exportations, masquage dans BI, SLA traitement des demandes de régulateur.
Affiliations et streamers : portails limités avec capacité de déclaration sans accès à l'IPI.

10) Politiques en tant que code (PaC)

Stratégies dans le référentiel (Rego/YAML), PR, tests.
Contexte dynamique dans les solutions allow/deny : environnement (prod), temps, localisation, criticité de l'opération, signaux KRI (par exemple, surtension des actions sensibles).
Référence obligatoire au tiquet et à la cible lors des augmentations JIT.

11) Journaux et probabilités

Chaîne d'événements : admin-console/IdP → API → OBD → fournisseurs externes.
Tamper-evident : WORM/immutable-storage, signature d'enregistrement, TTL stricte.
Recherche et réponse : La SLA répond aux demandes internes/externes (audit, régulateur, banque/partenaire).

12) Métriques et KPI/KRI

KPI:
  • Pourcentage d'autorisations confirmées dans le délai (reversement), % de campagnes en retard.
  • Le temps entre le licenciement et la révocation complète des droits (MTTR-leaver).
  • Part des augmentations JIT vs privilèges permanents.
  • Nombre de conflits SoD résolus par cycle.
  • L'exhaustivité des systèmes couverts et des portails externes.
KRI:
  • Spike des actions sensibles (exportation PII, modifications PSP).
  • Droits inutilisés> N jours.
  • Break-glass sans post-audit.
  • Comptes sans propriétaire/but/durée.

13) Feuille de route pour la mise en œuvre (8-12 semaines)

Ned. 1-2 : inventaire des identités et des systèmes (y compris les portails externes), annuaire des rôles et matrice SoD.
Ned. 3-4 : connexion SSO/MFA partout, collecte unique d'entitlements, premiers rapports snapshot.
Ned. 5-6 : Lancement des campagnes de certification IGA (priorité P1/P2), rappel automatique par Leaver.
Ned. 7-8 : JIT/PAM pour les circuits pro, enregistrement des sessions, interdiction des comptes partagés chez les fournisseurs.
Ned. 9-10 : PaC : formalisation des politiques clés (exportations de PII, itinéraires PSP, sorties), tests unitaires des politiques.
Ned. 11-12 : dashboards KPI/KRI, règlement des cycles trimestriels, rapports pour les responsables de la conformité/régulateurs.

14) Modèles d'artefacts

Role Catalogue : rôle, description, privilèges minimums, propriétaire, applicabilité (tenant/région/environnement).
SoD Matrix : rôles/opérations incompatibles, exceptions, durée et propriétaire de l'exception.
Access Review Pack : feuille de confirmation des droits, commentaires, résultat (approve/revoke/mitigate).
Service Account Register : but, propriétaire, durée de vie, scoops, lieu de stockage des secrets, horaire de rotation.
External Portals Inventory : système, contacts, liste d'utilisateurs, MFA, date de la dernière créance.
Evidence Checklist : quels chargements/logs et dans quel format stocker pour l'audit.

15) Anti-modèles

Comptes généraux et « admin pour toujours ».
Délivrance manuelle de droits en contournant l'IdP/IGA.
Pas de SoD ou de « exceptions temporaires » sans date d'expiration.
Jetons de service sans rotation/propriétaire.
Exportation PII « par lettre » sans flux de travail ni cryptage.
Aucun audit des portails externes (PSP/KYC/fournisseurs de jeux).

16) Fréquentes découvertes d'audit et correction rapide

Accès aux licenciés/entrepreneurs : activer l'auto-avis sur les événements HR (Leaver).
Rôles redondants : décomposer en attributs plus petits et attacher ABAC.
Comptes partagés chez les fournisseurs : migration vers des comptes personnels + MFA, attribution de rôles temporaires pour des tâches rares.
Secrets à longue durée de vie : passage à des tokens/certificats à courte durée de vie et rotation planifiée.

17) Incident-gestion ligamentaire

Tout incident avec un composant d'accès → la mise à jour obligatoire du registre des risques et des stratégies, la reconfiguration ponctuelle des rôles touchés, l'après-mortem avec action items (et les délais).

Résultat

L'audit des identifications est un cycle répété, automatisé : le registre complet идентичностей et les droits → le risque-orienté ресертификация → rigide JML et JIT/PAM → les politiques comme le code et l'audit démontrable → les améliorations d'après les résultats du cycle. Ce circuit réduit les risques d'abus et d'erreurs, accélère les enquêtes, renforce la conformité et protège les principales activités de la plate-forme iGaming.

Contact

Prendre contact

Contactez-nous pour toute question ou demande d’assistance.Nous sommes toujours prêts à vous aider !

Commencer l’intégration

L’Email est obligatoire. Telegram ou WhatsApp — optionnels.

Votre nom optionnel
Email optionnel
Objet optionnel
Message optionnel
Telegram optionnel
@
Si vous indiquez Telegram — nous vous répondrons aussi là-bas.
WhatsApp optionnel
Format : +code pays et numéro (ex. +33XXXXXXXXX).

En cliquant sur ce bouton, vous acceptez le traitement de vos données.