Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Gestion des identités : l’ère de la maturité

mars 2008 par Marc Jacob

Le 11 mars 2007, SUN Microsystem avait organisé, en partenariat avec Global Security Mag, un débat sur la gestion des identités, sujet d’une actualité brûlante. Au cours de ce débat, animé par Hervé Schauer, fondateur du Cabinet HSC, Maître olivier Iteanu, Avocat du cabinet Iteanu et Associés, d’Olivier Prompt, Responsable Avant Vente Pratice Software France de SUN Microsystem, ainsi que plusieurs responsables de la sécurité, tels Olivier Baranek, Natixis, Jean-Pierre Doussot, Esopica, Eric Doyen, CIF, et Sylvère Léger, AGF, ont apporté leur témoignage. Cet événement a réuni plus de 35 participants responsables sécurité, consultants et intégrateurs, au sein d’établissements financiers, d’assurances, d’opérateurs télécom ou encore de sites Internet marchands.

Hervé Schauer : Comment fait-on pour lancer un projet de gestion des identités ?

Dans les banques, nous avons le contexte règlementaire, mais aussi la conformité interne poussée par la problématique de la séparation des pouvoirs entre le front office et le back office. Pour monter un projet de gestion des identités il faut, tout d’abord, avoir le sponsor d’un dirigeant de l’entreprise et l’assistance des directions métiers. Dans notre établissement, la direction avait décidé qu’aucune personne ne pourrait obtenir d’habilitation si elle n’était pas présente dans le référentiel identité. Nous avons ainsi remis les métiers faces à leurs obligations en les sensibilisant aux problématiques de sécurité et de fiabilités des données d’identités.

Hervé Schauer : Olivier Prompt, pouvez-vous nous faire un état des lieux des différentes approches que vous rencontrez dans ce domaine ?

Olivier Prompt : Il existe plusieurs approches. Nous voyons des RSSI qui partent du problème de la gestion des droits. D’autres, par contre, prennent le sujet par une approche métiers. Dans notre démarche, nous aidons nos clients à faire les meilleurs choix en fonction de leurs configurations, mais aussi de leur sensibilité.

Dans notre entreprise, rebondit un responsable sécurité d’une assurance, nous avons commencé à travailler sur ce sujet depuis 1990. C’est au début un projet d’identification unique. Tout s’est construit pour obtenir un système avec une seule base. Nous avons mis en place des administrateurs délégués à la sécurité dans les métiers qui délivraient des habilitations et des authentifications. Nous avons bien sûr subi la pression réglementaire avec un problème de traçabilité. En effet, notre outil maison était trop compliqué à mettre à jour. Nous avons donc eu recours à des outils plus novateurs que nous avons trouvé chez SUN. Toutefois, vouloir tout faire d’un coup peut se révéler très coûteux. Nous avons donc pris le problème en partant de la synchronisation d’une base sur un modèle complet de gestion des habilitations. Nous avions pour avantage d’avoir un parc relativement homogène.

Dans cet établissement financier, le RSSI a un parc totalement hétérogène du fait de la concentration dans son groupe de plusieurs dizaines d’établissements. Aujourd’hui, son parc est encore constitué de l’héritage de 17 systèmes différents. De ce fait, il a travaillé sur les workflow à partir d’une matrice de risques et des périmètres à couvrir. Il a travaillé avec l’ensemble du comité de direction pour gérer les différentes demandes pour les flux d’accord ou de refus des droits. Aujourd’hui, il estime que son système est mature en ce qui concerne l’organisation du process. D’ici à deux ans, il devrait passer d’un système de provisionning manuel à un système automatisé.

Dans cette très grande banque, tout a débuté dans les années 1990 par la gestion comptable et les flux des clients. Cette mise en œuvre a été réalisée avec l’accord et le soutien de la direction générale de l’entreprise.

Hervé Schauer : Olivier prompt, comment se positionne SUN Microsystem ?

Olivier Prompt : Une partie des produits de SUN Microsystem permet de mettre en place un système de gestion des approbations, une autre permet d’implémenter les flux d’habilitation. Nous avons aussi des outils de workflow qui sont incontournables, couplée à du provisioning pour assurer la traçabilité et l’audatibilité.

Hervé Schauer : Maître Iteanu, qu’en est-il de la législation dans ce domaine ?

Olivier Iteanu : La responsabilité d’une organisation réside dans sa capacité à tracer ce qui se passe sur son système d’information. Ainsi, nous voyons de plus en plus d’affaires de fraudes internes liées à des problèmes de traçabilité. Pourtant, la traçabilité est une obligation légale. Par exemple, concernant la conservation des données de connexion toute organisation qui fournit un accès Internet est considéré comme un FAI et doit donc conserver les données durant un an sous peine d’une amende pouvant aller jusqu’à 75.000€ et d’un an d’emprisonnement. Ainsi, récemment BNParibas a été condamnée pour n’avoir pas pu produire ses données dans une affaire de diffamation. Je remarque qu’il y a encore des entreprises qui ne sont pas capables de tracer ce que font leurs utilisateurs.

Hervé Schauer : Comment vérifier que les droits sont les bons, qui doit les contrôler ?

Chez nous, explique ce RSSI d’une assurance, nous avons une politique de sécurité qui vient de la BS 7799. Du fait de SoX, nous faisons une revue des droits deux fois par an. C’est une équipe de 30 à 50 personnes en provenance des métiers qui contrôlent les 514 000 lignes.

Dans notre établissement, cette revue des droits est déléguée aux métiers. Par contre, nous avons beaucoup plus de mal avec les administrateurs non seulement pour limiter leurs doits mais aussi pour obtenir que leurs actions dans les systèmes soient tracées. Nous mettone également en oeuvre des actions de sensibilisation auprès des utilisateurs.

Dans notre entreprise nous avons délégué la revue de droit à l’audit interne, mais nous avons aussi le même problème que mon confrère avec nos « super-users ».

Olivier Iteanu : Vous abordez le problème de la cyber-surveillance qui est très réglementée. Il est possible de vérifier les flux, de contrôler les accès mais ces actions doivent être motivées et proportionnelles aux risques. Par contre, pour les administrateurs, une possibilité de mieux les gérer est de faire de la délégation de pouvoirs. Ainsi, il est possible de reporter les risques sur ce type de personnel.

Hervé Schauer : Peut-on parler de RoI sur ces projets ?

Effectivement, c’est la première chose à faire, explique le responsable d’un établissement bancaire, mais c’est assez difficile à réaliser. Nous avons procédé en mettant en place notre projet brique après brique. Ainsi, le projet a pu passer plus facilement en termes d’engagement de budget. Après chaque déploiement de brique, nous avions un retour positif des utilisateurs qui permettait de déployer la brique suivante. Pour la partie provisionning, le RoI a été facile à mesurer en fonction de la diminution des appels au Help Desk.

Pour ceux qui commencent un projet par le SSO, l’impact sur les utilisateurs est assez facile à mesurer. Il est même relativement simple à vendre à ces derniers, constate ce RSSI. Par contre, lorsque l’on aborde le problème de la gestion des droits c’est souvent un autre problème. Car il y a un impact psychologique important.

Lorsque l’on met en place un système de facturation interne des appels au Help Desk, la justification de la mise en oeuvre d’un tel projet est assez facile à démontrer, reprend ce RSSI. On peut aussi prendre le problème dans une logique de continuité pour créer un standard plus facile à mettre en œuvre sur les sites de repli.

Hervé Schauer : Comment inclure un projet de gestion des identités dans un système de management de la sécurité et comment le faire évoluer ?

Dans notre entreprise, l’évolution des projets se fait avec la montée des nouvelles versions, des besoins des métiers et des règlementations. Nous sommes donc dans un processus de révision permanente.

Chez nous, les évolutions ne se font pas sur la totalité de la chaîne. Il faut aussi compter avec les utilisateurs et agir pour faire évoluer les mentalités. En effet, les processus de validation sont de plus en plus complexes, en raison du découpage des fonctions.

Dans notre établissement bancaire, notre projet devrait durer deux ans. La première phase a été mise en place en six mois. Nous évoluons tous les trois mois. Nous avons débuté un audit du système il y a environ deux semaines.

Hervé Schauer : Quels sont les types de projets que vous rencontrez actuellement ?

Olivier Prompt : De nombreux projets commençaient par un référentiel de type annuaire, qui se poursuivait par les données. Aujourd’hui, avec la maturation de l’offre, les projets débutent par les applications métiers. Aux Etats-Unis et en Europe, les entreprises ont de plus en plus de préoccupation sur le thème de la conformité et de la traçabilité.

Hervé Schauer : On parle de convergence des accès physique et des accès aux applications, qu’en pensez-vous ?

Olivier Prompt : Nous rencontrons des projets de ce type qui sont montés en parallèle et qui commencent à converger.

Pour moi, reprend ce RSSI d’une assurance, je vois une convergence des supports sur une seule carte qui permet de rentrer dans l’entreprise et d’accéder aux applications.

Hervé Schauer : Qu’en est-il de la gestion des rôles ?

Ce doit être une évolution pluridisciplinaire qui implique la DRH, le back et le front office, les métiers, le contrôle interne et les audits.

Olivier Prompt : La gestion des rôles est l’élément clé pour trouver les anomalies et les responsabilités. Aujourd’hui, le challenge consiste à faire travailler les acteurs du business et ceux de la sécurité sur ce sujet. Il y a de plus en plus d’outils qui ont des fonctions de Risk Management. Aujourd’hui, certains projets sont matures aux Etats-Unis et en Europe, la France est un peu en retard sur ce sujet.

Hervé Schauer : Maître Iteanu, quels sont les problèmes juridiques que posent ces projets ?

Olivier Iteanu : Mis à part les problèmes liés à la définition des cahiers des charges, on en rencontre de nombreux liés, entre autres, à la CNIL. En effet, la CNIL impose d’utiliser des mots de passe de 6 à 8 caractères. Elle oblige, de plus, suite à trois tentatives de connexion infructueuses, d’interdire toute nouvelle connexion… des sanctions peuvent être prises à l’encontre des contrevenants. D’ailleurs, ponctuellement à l’occasion de contrôle des entreprises se font « épinglées ». Ainsi, les RSSI doivent travailler avec des juristes pour vérifier la conformité réglementaire de leurs projets.

Un participant : Comment résout-on les problème d’historique et qui doit décider de la mise en place d’un tel projet ?

Les outils d’IAM permettent justement de résoudre ce problème. Dans tous les cas, il faut un leader d’un rang hiérarchique élevé qui connaisse l’informatique. Si c’est une femme c’est encore mieux, car elle saura mieux faire passer les projets. Il faut aussi s’appuyer sur une équipe multi-compétences. Les chefs de projets devront avoir des compétences techniques dans tous les secteurs mais avoir une bonne ouverture d’esprit.

Hervé Schauer : Pour conclure, Olivier Prompt quelle est votre vision des offres de gestion des identités ?

Olivier Prompt : Les offres sont matures, les retours d’expériences sont nombreux. Nos partenaires en amont sur la partie consulting jusqu’à nos intégrateurs peuvent aider nos clients à déployer des projets des plus simples au plus complexes. Ils peuvent s’appuyer sur une large palette d’outils de plus en plus performants qui vont de la gestion des rôles à la fédération des identités.


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants