Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

11ème Kleverdays : Conformité au RGPD et revue de droit des accès

juin 2018 par Thomas VEIL

Pour sa 11ème édition, les Klervedays avait réuni une trentaine de clients qui ont bénéficié d’un programme riche avec une conférence de Frédéric LE LANDAIS, Practice Manager de Synetis, un témoigne d’un client de Kleverware et la présentation de la nouvelle version de Kleverware IAG par Arnaud Fléchard directeur technique de Kleverware.

Bertrand Augé

Cette 11e édition des Klever Days avait pour objectif la présentation de la nouvelle version de Kleverware IAG éditée par Kleverware. En préambule de cette conférence, Bertrand Augé, CEO de Kleverware adresse son mot de bienvenu et nous introduit le problème des identifiants souvent trop nombreux. En effet, pour une personne peut ne pas avoir le même identifiant sur différentes applications. La complexité va donc être de retrouver à qui appartiennent ces différents identifiants.

Arnaud Fléchard

Par la suite, Arnaud Fléchard, CTO de Kleverware nous rappelle les quatre différents axes de l’entreprise :
- Identidy Lifecycle Gouvernance qui consiste à s’assurer qu’une personne dispose bien des droits qui lui sont nécessaires. Ainsi que la suppression de ses droits relatifs à sa fonction lorsque la personne quitte l’entreprise ou effectue une mobilité dans l’entreprise.
- La cohérence des habilitations,
- La maîtrise du risque et de la conformité
- Le respect des processus.

Arnaud Fléchard nous présente donc les nouvelles fonctionnalités apportées par la version 2018 de Kleverware IAG. La première est le droit à l’exhaustivité, c’est-à-dire la possibilité de réaliser une révision des droits sur les habilitations sur la personne du SI. Le droit à être auditable, le reporting est pensé pour les auditeurs. Il est également construit pour l’audit des commissaires aux comptes. Ensuite le droit agile, c’est-à-dire la possibilité de travailler de manière collaborative. Les métiers d’une entreprise doivent être partie prenante de la révision de leur accès. Le droit doit être ciblé, afin de se concenter sur les situations à risques. Kleverware IAG parmet ainsi de cibler les campagnes sur les changements depuis votre dernière revue de droit.

Le contrôle en continu de l’ILG (Identity Lifecycle Governance)

Pour assurer l’adéquation des droits avec la mission des collaborateurs, Kleverware IAG intègre des fonctionnalités de suivi des arrivées, des mobilités internes et des départs. Et ce en tant que solution indépendante, ou en complément avec l’IAM. L’arrivée consiste à contrôler la légitimité des identités créées dans l’IAM. Les mutations (ou mobilités internes) mettent souvent les collaborateurs en situation de cumul de droits incompatibles. Pour éviter ce risque faire une recertification des droits de la personne au plus près de sa mobilité. Et pour finir une nouvelle fonctionnalité consiste à la mise sous surveillance des droits de la personne qui quitte l’entreprise pour s’assurer qu’ils seront tous désactivés, voire supprimés. La particularité de Kleverware IAG va être de modéliser la façon dont sont organisés les droits. Elles’adapte à l’organisation de l’entreprise. Cela permet entre autre d’adresser la complexité de l’entreprise aux utilisateurs tout en le rendant le plus simple possible.

Versions et Fonctionnalités de Kleverware IAG

La version « Quick Start » va être dédiée aux personnes de l’entreprise spécialisées sur les questions d’habilitation. Cette version permet la cartographie complète des droits des employés de l’entreprise. Quant à la version « Entreprise », elle reprend les mêmes fonctionnalités de la version « Quick Start » et y rajoute un travail collaboratif des équipes de l’entreprise. Ainsi que le travail avec un portail de consultation à disposition. Une gestion de la recertification efficiente grâce à une interface web.

Lorsque le secteur de l’assurance utilise Kleverware IAG

Cette matinée se poursuit sur le retour d’expérience de d’un responsable contrôle interne d’une grande entreprise du secteur de l’assurance. Cette entreprise suite à des problèmes de gestion au niveau de l’IAM a décidé de mettre en place progressive les différentes versions de Kleverware IAG avec deux ans d’écart. Janvier 2013 version « Quick Start » et Janvier 2015 version « Entreprise ».
La solution Kleverware IAG va permettre de connaitre les nouveaux profils et de les rajouter dans le système. Le manager voit à sa disposition une « matrice » sur laquelle est affichée l’ensemble des droits à disposition de ses collaborateurs.
Ce client a mis en avant le besoin d’identifier les répertoires critiques ainsi que de faire une cartographies des données structurées

Frédéric Le Landais

RGPD et revue de droit

L’entrée en vigueur du RGPD est abordée par Frédéric Le Landais, Practice Manager de Synetis sous l’angle du contrôle des données structurées et non structurées.

En préambule, FrédéricLe Landais nous rappelle que le RGPD s’applique à toutes les entreprises qui traitent des données personnelles des citoyens européens. Il nous présente ensuite trois solutions qui si elles sont prises en compte permettraient d’être en conformité avec le RGPD. On y trouve les habilitations applicatives, les comptes à privilège et enfin les données non structurées. Ces trois solutions permettraient donc d’appliquer une gouvernance dans le cloud tout en étant conforme au RGPD. Ces trois solutions forment les segments de ce marché. Premièrement L’IAM qui consiste à la gestion des données et des rôles qui sont attribués à chacun et dont l’objectif premier est le contrôle des habilitations aux SI. Ensuite le DAG (Data Access Governance) qui lui regroupe les données non structurées mais aussi les fichiers en les organisant de façon hiérarchique. Le but étant de savoir les personnes qui ont accès à ces données et leur localisation. Le dernier segment consiste en la gestion des compte à privilège autrement appelé PAM (Privilege Account Management).

Ainsi, Frédéric Le Landais, par la présentation de ces différentes solutions qui sont bien distinctes nous montre une vision éclatée, morcelée de l’exposition aux risques. Quand on sait que la conformité c’est d’avoir une vision complète du système de l’entreprise. Cette mise en conformité doit donc passer par la gestion de l’information provenant des différents systèmes ainsi que les unifiés pour obtenir cette vision complète et donc conforme.

Frédéric LE LANDAIS nous présente par la suite les attentes de cette conformité qui sont aux nombre de trois. Réaliser une couverture de toutes les populations et de tous les types d’utilisateurs. Gérer toutes les types de données qui sont dans le système et d’en réaliser la protection (sensibles, personnelles). Ainsi que de saisir l’environnement technique de la donnée, c’est-à-dire tout ce qui lui est propre localisation, accès,…

Une vision idéale nous est présentée par notre expert en partant des obstacles qu’il faudra dépasser. Le premier est d’avoir un sponsorship global fort afin d’aider ces petites entreprise innovantes à se développer. Construire cette vision globale du risque et non plus fragmenté. Ainsi que d’effectuer un alignement des équipes pour atteindre cet objectif de travail collaboratif.

Pour clore son intervention Frédéric Le Landais revient sur quelques points d’attention qui lui paraissent important, et tout particulièrement la nécessité de connaître nos besoins d’aujourd’hui et de demain. Avoir une approche itérative, c’est-à-dire procéder à des ajouts régulier afin de ne pas faire devenir obsolète ses informations et devoir tout reprendre de zéro. Cette approche se fait donc sur la durée. Ainsi que de connaître la cible que nous voulons atteindre et construire cette trajectoire.




Voir les articles précédents

    

Voir les articles suivants