Arnaud Fléchard, Directeur Technique de Kleverware

Après le traditionnel message de bienvenue de Bertrand Augé, PDG de Kleverware, Arnaud Fléchard, Directeur Technique de Kleverware, a présenté les solutions de Kleverware et les nouveautés :

– Klever Audit Suite : solution pour la Gouvernance des Accès dont la philosophie est de partir de l’existant : SAP, applications spécifiques…

– K-Transform permet de se reposer sur l’existant pour lire des extractions natives des environnements.

– K-Mapping pour faire de la corrélation entre les différentes applications.

– K-Audit pour réaliser de l’audit et du contrôle opérationnel en proposant des réponses à « le qui à le droit à quoi ». Cette solution permet de mettre en place des règles de conformité.

– K-Team Server est un produit qui permet d’orchestrer l’ensemble des 3 produits.

– K-Sceduler Server sert à industrialiser les alertes de conformité et le reporting.
Deux outils complémentaires sont édités : ACL Reader for Windows et Group Reader for Windows pour faire le focus sur l’audit des droits sur les partages bureautique.

Il a annoncé que dès la rentrée, de nouvelles solutions seront proposées.

Dans K-Audit, il y aura une amélioration des règles de conformité afin de fournir des indicateurs de conformité gradués dans le reporting. La solution intégrera de la tolérance à la conformité.
Dans K-Audit on trouvera des possibilités pour concevoir des états de recertification des habilitations afin de se focaliser sur les points essentiels de revue de comptes. Et une meilleure gestion des campagnes de validation des habilitations par une plus grande automatisation des processus. Les résultats seront stockés pour relancer des taches pour les administrateurs. Plus analyse statistiques des campagnes afin d’avoir une vision globale de l’état des certifications.
Un volet recertification sera développée dans le futur avec entre autre des formulaires de recertification des habilitations qui seront plus précis.

K-Role Building sorti à l’occasion des Klever Days permet d’aider à définir la politique de gestion des habilitations en fonction des besoins de l’organisation. Cette offre fait partie de la gamme Klever Role Management Suite qui intègre les solutions K-Transform et K-Mapping.

Pour Kleverware à l’avenir la gestion des rôles sera basée sur les métiers. Il faudra donc avoir des solutions pour que les métiers puissent valider les rôles sur leur périmètre. L’idée est donc d’alimenter un référentiel de rôles. Kleverware s’est fixé pour objectif d’aider les métiers à gérer les rôles ou les métiers selon les appellations.

Innovation au service du Role Mining avec K-Role Building

Arnaud Fléchard a conclu son intervention en présentant le Role Management. Ce concept vient d’un besoin de normaliser la gestion des droits au quotidien. La première étape passe par la définition des rôles applicatifs. La seconde est le pilotage des habilitations par les métiers. Pour construire les rôles, il y a deux approches qui se complètent : soit la gestion par les métiers Top Down, soit par l’existant Bottom Up.

Les rôles doivent être gérés pour rester en phase avec les évolutions des SI. Comment s’appuyer sur les métiers pour y arriver. L’idée est de prendre en compte les rôles métiers et les rôles applicatifs. Il faut aussi tenir compte de l’utilisation effective des habilitations au travers des traces collectées. Le regroupement automatique proposé dans K-Role Building permet cette analyse. Kleverware utilise les dernières générations de logiciels de reconnaissance automatique issus de la recherche en médecine, en robotique… pour faire de la reconnaissance de rôles. En conclusion, il a livré la formule « magique » permettant de formaliser cette approche.

Michel Van Den Berghe, Atheos : Il faut travailler par petits lots

Michel Van Den Berghe, PDG d’Atheos, a présenté le marché de l’IAM. Selon lui, les RSSI vendent à leur direction un projet soit en parlant de ROI, soit d’urbanisation, soit de sécurité en partant sur la traçabilité, mais aussi sur la conformité. De nombreux projets partent sur la gestion des habilitations. D’autres sont partis sur la publication de contenu. Enfin des entreprises ont eu une approche en passant par la gestion des accès. Selon l’analyse de Michel Van Den Berghe, les métiers veulent travailler le plus vite possible pour donner des habilitations très rapidement.
Ainsi, des entreprises ont une approche par demande d’accès implique mis en œuvre à partir d’un portail. Puis la mode est passée pour travailler à partir de la gestion des rôles. Par contre, c’est une approche assez longue à mettre en oeuvre et les résultats sont « invisibles » pour les directions. Pour Atheos, il faut faire une approche hybride.
De grands comptes on choisi une approche par l’urbanisation permet de travailler sur des petits lots, donc c’est une approche plus visible.

Enfin l’approche par les risques, donc le « qui et pourquoi » on accède à une application. Celle-ci permet de mieux sensibiliser les directions.

L’IAM doit être vu comme un projet et non comme un produit

L’IAM doit être vu comme un projet et non comme un produit. C’est aujourd’hui une grande part de services et non plus une suite de solutions. Il faut commencer par la désintoxication des comptes : les habilitations, les comptes dormants… Il faut se focaliser sur ce qui « rapporte ». Enfin, il faut faire des petits lots qui avancent vite et permettent de montrer des résultats rapides aux directions et métiers.
Demain, avec la dépérimétrisation, le Cloud Computing, la mobilité… le problème des habilitations, de la traçabilité… va rendre la gestion des accès et des habilitations plus complexes. D’où l’intérêt de travailler par petits lots !

La suite de Kleverware : pour générer de façon automatique des rapports d’habilitations

Un client de Kleverware est venu présenter son retour d’expérience. Pour lui la gestion des habilitations est très difficile a administré. De plus, le contrôle a posteriori est très consommateur de temps. Par ailleurs, l’adéquation des habilitations par rapport à la politique d’autorisation des accès au niveau des applications est très difficile à effectuer dans les entreprises. Selon lui Klever Audit Suite répond à ces trois problématiques en automatisant les processus. Cette suite lui permet aussi de faire la réconciliation des comptes afin de vérifier a posteriori la cohérence entre les demandes d’habilitation et la « réalité du terrain ».
La suite répond aux questions fondamentales dans ce domaine : Les habilitations attribuées ont-elles été validées ? Les habilitations ont-elles été retirées lorsqu’une personne a quitté l’entreprise ? Les comptes techniques et génériques sont-ils justifiés ? Les habilitations accordées sont-elles vérifiées périodiquement ? Comment garantir l’adéquation des habilitations avec l’organisation de l’entreprise et la ségrégation des pouvoirs ?

Avant de passer à la Suite de Kleverware, il avait commencé avec un fichier Excel qui a vite trouvé ses limites. Son SI était constitué d’environnements hétérogènes, K-Audit Suite a permis de façon quasi automatique d’homogénéiser les formats. Avec K-Mapping, il a fait les premières analyses des comptes pour faire une réconciliation. Il a pu obtenir ainsi un référentiel des habilitations le plus proche possible de la réalité. Aujourd’hui, son journal des demandes d’habilitations, géré sous Access, est relativement précis, sachant que dans son entreprise, il y a des mouvements de personnels réguliers. Ainsi grâce à cet outil, il sort tous les mois un état des habilitations. Son fichier ne sert pas seulement à la SSI, mais aussi à la maîtrise d’ouvrage. Donc avec K-Audit Suite, il fait : une extraction, une homogénéisation et une corrélation des habilitations et émet des rapports de façon automatique qui sont adressés aux métiers, départements ou clients externes. Avec la solution, il repère de façon automatique, les comptes applicatifs orphelins et dormants, les accès des utilisateurs expirés et dormants, la justification des comptes techniques et génériques, les comptes génériques administrateurs, la revue de comptes. Il a précisé qu’il a accès au « référentiel des présents » fournis par la DRH et les achats qui lui permet de connaitre l’ensemble des personnes présentes dans l’entreprise sous-traitants inclus. Dans sa démarche il a privilégié la démarche des petits pas.