Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

IAM : entre confort pour les utilisateurs et réduction des coûts

mars 2009 par Marc Jacob

Sun Microsystem, BT – Cyber-Networks et Avencis ont présenté, lors d’une conférence débat, les nouvelles tendances en matière de gestion des identités. Deux de leurs clients ont, à cette occasion, fait part de leur retour d’expérience. Pour eux, l’IAM est source d’amélioration du confort des utilisateurs et de réduction de coûts. Olivier Prompt, Responsable Avant Vente Pratice Software France de de Sun, pour sa part, estime que l’IAM et, en particulier la gestion des rôles, pourrait être le nouvel Esperanto pour réconcilier tous les intervenants impliqués dans ces projets.

Selon Olivier Prompt, le marché de l’IAM est en pleine croissance, les projets sont nombreux et de toutes tailles. Il est vrai qu’il permet de réduire les coûts de gestion de tous les employés, les sous-traitants, les prestataires… qui se connectent au SI, entre autres par la réduction du nombre d’appels au Help Desk. Si les projets sont parfois longs à mettre en œuvre, il est souvent conseillé de commencer par des services visibles pour les utilisateurs. Ainsi, le SSO qui permet de réduire le nombre de mots de passe à mémoriser est a priori une des premières briques à déployer. Bien sûr, viennent ensuite les annuaires, avec leurs pages jaunes et blanches, et leurs indicateurs de présence, qui sont fortement utilisés dans les entreprises et qui peuvent être connectés au système. Enfin, l’IAM répond aussi au besoin de conformité et des nouvelles législations sur la traçabilité des opérations. De plus, il rend le SI auditable, pour le cas échéant fournit des preuves et fairt de la recherche d’incidents. En effet, on peut mettre en place des systèmes de séparation des droits et de validation des processus d’attribution des droits aux utilisateurs.

Les fournisseurs proposent des outils adaptés avec des systèmes d’administration centralisée ; chez Sun, cet outil a pour nom Sun Identity Manager. Dans cette panoplie, on trouve des outils de provisionning, de synchronisation avec les annuaires et des produits de sécurisation comme le LDAP ou Active Directory ou tout autre annuaire interne. Bien entendu, il y a aussi du SSO. Sun travaille avec Avencis qui propose la solution eSSO. Bien entendu, pour aller plus loin, les entreprises peuvent mettre en place des outils de gestion des rôles et du WebSSO pour aller jusqu’à la Fédération d’identités. Pour le contrôle d’accès, Sun intègre OpenSSO, l’outil de PKI d’OpenTrust.

Selon Oliver Prompt, depuis 2000, les motivations des entreprises ont changé. Dans le passé, il s’agissait d’accroître la productivité des entreprises. Aujourd’hui, il est primordial de protéger les données. Il a donc fallu intégrer des règles de sécurité, de séparation et d’habilitation des rôles… Les entreprises sont, aujourd’hui, face à des offres matures tant au niveau des produits que des services. Chez Sun, des partenariats technologiques ont été conclus avec des intégrateurs comme BT France, des fournisseurs parmi lesquels OpenTrust, RSA, Avencis… Ainsi, ses solutions sont adaptées au SI de quelques centaines de poste à plusieurs milliers.

Le SSO pour faciliter le contrôle d’accès

Frédéric Pierre d’Avencis a présenté SSOX, sa solution de SSO qui s’interface avec les outils d’IAM de Sun. Il estime que le SSO permet d’accroître le niveau de sécurité tout en diminuant les coûts d’exploitation et en répondant au besoin de conformité règlementaire. SSOX est un outil de gestion des accréditations et de contrôle d’accès avec un module de signature unique. Il s’interface avec des cartes à puce, de la biométrie et de tout autre processus d’authentification. Il intègre aussi un module d’audit. Toutes ses briques s’appuient sur l’infrastructure de l’entreprise comme les annuaires et les outils d’IAM. Ils intègrent des fonctions d’auto-dépannage, d’audits et de rôle Mining. Le SSO renforce le contrôle d’accès logique grâce à des cartes à puces, de biométrie ou encore de mots de passe dynamique (OTP). Il permet aux utilisateurs de n’avoir qu’un mot de passe à mémoriser. Ainsi, il est possible de changer ces mots de passe plus facilement et de les rendre plus complexes (chiffres, lettres, symboles). Les fonctions d’auto-dépannage permettent de réduire les délais de réinitialisation des mots de passe. Le SSO améliorent aussi la connectivité des utilisateurs distants ou mobiles. Il renforce, bien sûr, la traçabilité avec des possibilités de remonter et d’extraction des alertes dans un format standard. Enfin, les fonctions de provisionning répondent à la nécessité de conformité réglementaire. Il a cédé la parole à un de ces clients qui travaillent dans une institution financière.

Le SSO est un projet léger en termes de déploiement, mais après l’adhésion des utilisateurs

Cet utilisateur d’une institution financière a environ 4.000 collaborateurs qui se connectent au SI tous les jours dont des utilisateurs mobiles, des agences… Ils utilisent entre 5 et 15 mots de passe pour accéder aux différentes applications. Ainsi, des problèmes de sécurité autour de la gestion des mots de passe se sont fait sentir, ou encore de réactivité pour la réinitialisation des mots de passe. Sans compter la nécessité d’améliorer la disponibilité. Pour lui, le déploiement d’un SSO est certes un projet technique mais aussi, à part égale, une question d’organisation et de gestion des habitudes des utilisateurs. « Le SSO est un projet léger à gérer car le déploiement est relativement facile à mettre en œuvre. » Il a choisi d’effectuer sa mise en place en procédant par étape. Aujourd’hui, ces utilisateurs peuvent réinitialiser leur mot de passe en utilisant l’outil d’auto-dépannage en moins de 2 heures.

Lors du déploiement, ce qui lui a pris le plus de temps c’est l’unification de son annuaire. Les problèmes principaux qu’il a rencontrés sont dus à l’interfaçage du SSO avec la mire d’accueil des logiciels spécifiques de certaines applications. Il a également eu à surmonter d’autres problèmes d’interfaçage avec des applications internes conçu en Java. De plus, le SSO a parfois quelques difficultés avec les releases de certains produits du marché, comme Citrix.

En plus des problèmes techniques, il a, en outre, dû faire face à la résistance au changement des utilisateurs, du fait des procédures à mettre en œuvre, mais aussi de la culture d’entreprise.

Par contre, il constate aujourd’hui une adhésion des utilisateurs au système. Il a obtenu des gains importants pour le Help Desk avec une baisse de 70% des charges des administrateurs. Il est passé de 1.500 appels à 450 et compte encore réduire ce nombre en 2009. Toutefois, le déblocage de mot de passe secondaire est plus élevé que dans le passé. Ainsi, son ROI devrait être un peu plus long que prévu. Enfin, selon lui, le coût du SSO est marginal par rapport à la satisfaction des utilisateurs.

Tout projet d’IAM doit reposer sur un sponsor

Sylvain Dieudonnée, Manager IAM de BT France, a présenté la démarche de son entreprise face à de tels projets. BT s’est positionné dans ce domaine depuis 2000 en commençant par la gestion d’annuaire. Depuis 2002/2003, elle a créé un pôle gestion des identités qui s’est enrichi au fil des années. BT France propose aujourd’hui une démarche « industrialisée » de la gestion des identités qui commence par une phase d’analyse. Pour lui, la clé du projet est de trouver au sein de l’entreprise un sponsor fort qui sera le moteur du projet. Ce sponsor ne doit pas être trop impacté par la mise en place du projet afin d’avoir le recul suffisant pour prendre les décisions stratégiques. Il est important de travailler par lots afin d’une part d’éviter « l’effet tunnel » et de pouvoir faire sentir aux utilisateurs les avancées du projet. D’autre part, il est ainsi plus facile de « coller » aux évolutions de l’entreprise car ces projets sont longs à déployer dans leur intégralité. Bien sûr, il faut durant tout le projet communiquer et former les utilisateurs, pour cela il faut mettre en place des indicateurs afin de montrer la QoS obtenue.

Le discours des fournisseurs et des intégrateurs doit être plus clair et homogène


Jean-Yves Pronier

Puis le débat entre Olivier Prompt et deux utilisateurs, animé par Jean-Yves Pronier Senior Manager - Product Marketing de Sun Microsystems, a été lancé. Pour cet utilisateur d’une institution financière, il faut dans un premier temps déterminer une cible réduite d’autant que certaines applications, comme par exemple business Object, posent des problèmes d’interfaçage avec le SSO. Effectivement, reprend cet autre utilisateur, un industriel présent dans de nombreux pays, il est important de cibler les applications afin de pouvoir créer le cas échéant des connecteurs pour s’y interfacer.

Jean-Yves Pronier : l’IAM est-il adapté aussi aux PME ?

Olivier Prompt : Dans les PME, les projets existent. Leurs dirigeants ont une vision pragmatique et fonctionnelle. Ils souhaitent avoir une solution rapide à déployer. Des projets à partir de quelques centaines de postes commencent à émerger.

Jean-Yves Pronier : Quels sont les principaux écueils à éviter ?

Pour ce client d’une institution financière, c’est la forte résistance au changement et le fait de convaincre sa direction du bien fondé de la mise en place de l’IAM. « J’ai été obligé de déployer d’abord un SSO et après de faire du provisionning alors que je souhaitais faire l’inverse » déplore-t-il. Effectivement, reprend cet industriel, il est difficile de trouver le bon sponsor dans l’entreprise : « chez nous, ce ne peut pas être la DSI car elle est perçue comme trop technique. » Dans tous les cas, le mieux est d’avoir un sponsor qui ne soit pas impacté directement par le projet, conclut Sylvain Dieudonnée.

Jean-Yves Pronier : Quels sont vos conseils ?

Pour ce client d’une institution financière, c’est de ne pas sous-estimer la charge fonctionnelle car ses projets ne sont pas uniquement techniques. La part fonctionnelle est aussi importante que le déploiement des outils. En particulier, il est difficile de profiler les utilisateurs et les processus d’habilitation. De plus, dans certains cas, les nouveaux process sont plus complexes que ceux qui ont été mis en place naturellement dans les services.

Jean-Yves Pronier : Quelle est la place des fournisseurs et des intégrateurs ?

Pour cet industriel, « il est difficile de faire passer un message en interne alors que celui des fournisseurs et des intégrateurs est souvent discordant. Tant que le responsable du projet n’a pas les idées claires sur ses objectifs et les moyens d’y parvenir, il aura des difficultés à faire passer son projet. Il peut se faire aider par un intégrateur, mais c’est insuffisant. Pour progresser dans ce domaine, il va falloir unifier et clarifier les discours… »

Pour Olivier Prompt, l’IAM et, en particulier, la gestion des rôles pourraient devenir le nouvel Esperanto pour réconcilier les métiers, les services et les utilisateurs. Mais le chemin jusqu’à la fédération des identités est encore long.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants