Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Kleverdays 2019 : vers toujours plus d’automatisation de la gestion des identités et des accès !

juin 2019 par Marc Jacob

Pour l’édition 2019 des Kleverdays organisés par Kleverware, l’accent a été mis sur l’automatisation des processus de gestion des identités et des accès. Pour cette nouvelle édition, les organisateurs avaient invité Olivier Hassid, directeur de PWC France, a présenté les résultats d’une analyse comparative des modèles de gestion de crise cyber.

Bertrand Augé, Olivier Hassid, Laurent Berns et Arnaud Fléchard

Bertrand Augé, un des fondateurs de Kleverware après le message de bienvenue a lancé les présentations de la journée. Ainsi, Laurent Berns, International Biz Dev de Kleverware a présenté la stratégie de Kleverware pour les prochaines années. La société est présente au Luxembourg depuis déjà quelques années, projette pour les prochains mois de s’implanter en Suisse, en Belgique, en Allemagne et au Royaume-Uni. Ces déploiements passeront par un modèle de vente indirecte. La société va ainsi travailler avec un nombre de partenaires limités. Pour chacun des pays ciblés, une matrice qui croise zone de chalandise et zone de compétence sont définies. Dans chaque zone, un expert technique sera nommé. Concernant les activités de marketing, le cabinet d’analyste Kuppinger Cole a été choisi pour ses compétences sur le marché Suisse et Allemand. Un livre blanc sera publié en septembre en collaboration avec ce cabinet. Une série de webinar a été programmée suite à la participation au salon EIC à Munich afin de soutenir les efforts à l’export. Des cas clients vont être aussi publiés pour appuyer cette démarche. L’objectif est d’avoir avant la fin de l’année un certain nombre de partenaires en Suisse et en Allemagne.

Une bonne gouvernance des identités et accès passe par un management cohérent des politiques et des règles

Puis Arnaud Fléchard, CTO de Kleverware, a abordé rapidement la vision de la gouvernance des accès et des identités de sa société. Pour lui, une bonne gouvernance en entreprise consiste à avoir un management cohérent des politiques et des règles. Une bonne supervision commence par savoir « qui a le droit de faire quoi sur le SI ». De ce fait, une gestion cohérente commence par la prise de contrôle sur la gestion des accès afin de savoir si tous les accès donnés sont bien légitimes. De plus, c’est aussi contrôler les flux sortants en supprimant les accès et en contrôlant que les droits suivent les mouvements internes. Ainsi, il faut s’assurer sans cesse de la légitimité des droits avec la mise en place de revue de droits réguliers. Il faut aussi s’assurer de la légitimité des identités créées. Kleverware propose donc une brique de revue de droit ciblée en se focalisant sur les changements au sein des organisations. Bien sûr, ces campagnes doivent répondre aux audits.

Arnaud Fléchard a rappelé que la protection des données personnelles passe aussi par la gestion des droits et des accès. Il a proposé de procéder à des campagnes de revue de droits en regard avec la privacy afin de vérifier que seules les personnes habilitées aient des droits d’accès aux données personnelles.

Crise cyber : une cartographie est un must

Olivier Hassid, directeur de PWC France a proposé une analyse comparative des modèles de gestion de crise cyber. Parmi les 10 entreprises ciblées, 80% avaient subi une attaque cyber dans les 3 dernières années. 60% d’entre elles avaient un niveau de maturité satisfaisant. Elles avaient toutes réalisé une cartographie des risques cyber. 40% d’entre-elles ont changé leur comportement après la crise Wannacry. En effet, il a noté une véritable prise de conscience après cette attaque. Il y a un véritable dialogue entre les directeurs de sûreté et les RSSI pour aller vers une sécurité globale. Cette enquête montre que 90% des entreprises ont des ressources exclusivement dédiées à la gestion de crise cyber. Enfin, 70% des entreprises considèrent qu’une crise cyber demande une forte réactivité.

Pour Olivier Hassid, une entreprise mature dispose a minima d’une cartographie des risques. Durant cette enquête, il a identifié un certain nombre de bonnes pratiques en matière de cybersécurité. En premier lieu, il y a la définition des actifs sensibles avec la politique de sécurité mise en œuvre. La deuxième est la mise en place de SOC et de CERT. La troisième est le déploiement d’outils et supports qui comprend une cartographie de l’architecture réseau et une sécurisation avec entre autre du cloisonnement, des Backup… Une formalisation et une classification des ressources cyber. Enfin une disponibilité d’outils de DLP. Il faut en outre recenser les acteurs externes comme l’ANSSI, l’OCLCTIC, Europol, les acteurs du secteur... avoir aussi recours à des cabinets d’audit et conseils. Il faut procéder à des sessions de sensibilisation et de formation en particulier auprès de Comex. Il faut installer une culture de la cybersécurité chez les employés. Il est nécessaire dans les grandes organisations d’avoir des équipes de sécurité avec des équipes relais sur le terrain.

En outre dans cette étude, il apparaît que les entreprises sont préoccupées par la propagation des attaques, mais aussi ont une certaine difficulté à faire un diagnostic de crise. Durant les crises, il y a une pression managériales fortes et une tendance à la minimisation de l’incident. En effet, toutes les entreprises qui ont subi une crise cyber forte et coûteuse ont vu leur cours de bourse baissée d’environ 20% de façon permanente.

En conclusion, il a insisté sur l’importance de mettre en place une ségrégation des réseaux et a minima une pour les réseaux sensibles. Il note en outre l’importance des entraînements à la gestion de crise en particulier pour les COMEX. Il considère que la prise en compte nécessaire des impacts est difficile à chiffrer. Enfin, il est important de mettre en place une veille et d’un dispositif de surveillance de type SOC.

Kleverware IAG pour la gestion des accès et des identités

Arnaud Fléchard par la suite a mis en avant la manière d’intégrer Kleverware IAG étape par étape. La première étape pour cette intégration est la collecte la donnée à partir de différents types de format. Ainsi, Kleverware va homogénéiser les formats de fichier avec K-Transform. Avec cette solution, on peut isoler les informations intéressantes à partir de filtres. Par la suite, il est possible de faire de la corrélation pour savoir « à quel compte appartient quelle identité » et ce à l’aide de K-Mapping. Cette solution permet de mettre des règles de mapping pour faire de la corrélation. La troisième étape est de concevoir un modèle qui s’adapte à l’organisation en prenant en compte les particularités de chaque client à l’aide de K-Audit. La quatrième étape permet l’exploitation des données en chargeant le modèle afin de connaître les droits de chaque collaborateur. Grâce à l’outil, il est possible de retrouver les comptes dormants. On peut aussi exploiter les résultats en fonction des règles de conformité. Par exemple, il est possible de trouver les comptes orphelins comme sur SAP. L’objectif est de générer des rapports simples et visuels avec une mise en page prédéfinie. Avec cette application on a une vision sur les comptes orphelins, la ségrégation des droits... et bien sûr on peut obtenir un rapport automatisé. L’étape suivante est l’industrialisation pour pouvoir publier ces rapports sur les serveurs afin qu’il y ait un accès plus général. Puis, il est possible de recevoir des alertes de façon automatique par mail lorsqu’il y a des anomalies. La dernière étape est celle de la planification des tâches qui peuvent être réalisées de façon régulières soit toutes les semaines, tous les mois... en fait, il est possible aujourd’hui d’automatiser toutes les étapes.

A partir du portail de gestion les utilisateurs finaux peuvent avoir une vision globale des accès et des droits pour chaque collaborateur par type d’application. Par exemple, les demandes de suppression de droits peuvent être automatisées. Un système de ticketing est mis en place qui permet de connaître toutes les étapes liées à la suppression de droits application par application. On peut être informé sur toutes les étapes de ce type de demande. En outre, il est aussi possible de gérer les campagnes de revue de droits. Lors de la création d’une campagne on gère différents paramètres comme à fin de la campagne, les droits soumis à la révision des approbateurs, la sélection des approbateurs, il est aussi possible de faire des notifications pour le début de la campagne auprès des approbateurs. Puis l’étape suivante consiste à faire un snapshot du périmètre sélectionné qui est adressé aux approbateurs. Par la suite, une signification des « pré-validés » est soumise aux approbateurs qui peuvent tout de même demandé de refaire une analyse ou non. Il est aussi possible de faire un suivi de la campagne département par département, mais aussi par approbateur. De plus, on peut avoir une vision de gestion de la campagne. Concernant la gouvernance de l’identity LifeCycle, il est possible de faire de la revue de droit granulaire en faisant par exemple des demande de prolongation des campagnes.

En fait, avec Kleverware IAG on peut gérer de façon automatique les arrivées, les changements internes et les départs de façon dynamique. Pour cette année, des re-certifications par les propriétaires des ressources et les métiers ont été mises en place avec une double approbation.

La gestion des tags a été aussi intégrée avec des descriptions en français pour être comprises des métiers. Cette description peut être enrichie. Il est aussi possible de mettre en place des matrices de rôles et de droits. La solution va être capable de gérer ces matrices pour être intégrée lors des campagnes de re-certification. De plus, Kleverware ouvert un chantier autour d’Office 365 et Azur afin de mieux gérer les droits sur ses plateforme à l’aide d’un extracteur dédié.

Pour le futur, Kleverware va reprendre les workflows de gouvernance en particulier lors des arrivées afin d’aider à gérer les demandes d’accès aux droits pour les nouveaux collaborateurs. Pour la mobilité interne, là encore une automatisation des destructions et créations des nouveaux droits va être proposée. Durant le cycle de vie des identités on va vers l’automatisation pour intégrer les accès aux nouvelles applications et de même pour les départs. En conclusion Arnaud Fléchard considère que Kleverware va de plus en plus vers une gestion des risques pour les accès. Pour l’avenir Kleverware veut aller jusqu’à l’automatisation des demande d’accès et des requêtes du management en allant plus loin dans les matrices de SoD (Ségrégation des Droits) pour agir en préventif.




Voir les articles précédents

    

Voir les articles suivants