Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

2ème édition des Kleverdays : « Qui a le droit à Quoi et Comment ? »

juin 2009 par Emmanuelle Lamandé

La 2ème édition des Kleverdays fut l’occasion pour Bertrand Augé, CEO de Kleverware, de faire le point sur la stratégie et l’avancée technologique de Kleverware. Nous avons ainsi pu découvrir la version 2009 de Klever Audit Suite, une solution permettant d’auditer et d’analyser les habilitations des utilisateurs du SI, mais aussi la Roadmap du groupe pour les mois à venir.

Depuis la première édition des Kleverdays, plusieurs actions ont été mises en oeuvre au sein de la société pour répondre aux remarques des clients et des besoins observés. Tout d’abord, un cycle de formation pour Klever Audit Suite a été mis sur pied. La première session se déroule en ce moment même, la suivante aura lieu fin 2009. L’offre K-Audit, quant à elle, est apparue comme une solution puissante et riche dans sa globalité, cependant certaines entités ne nécessitent pas autant de richesse en termes fonctionnel et financier. C’est pourquoi Kleverware a choisi de scinder K-Audit en 3 versions : Basic, Premium et Ultimate.

En cette période incertaine, Bertrand Augé a également tenu à rassurer ses clients sur la santé du groupe. « A l’heure actuelle, Kleverware est une entreprise saine, qui bénéficie en plus du soutien d’Oséo ». 2009 marquera d’ailleurs le lancement d’une mission sur le marché nord américain. « Nous recherchons des partenaires pour le moment au Canada, dans la zone francophone. Nous pensons aborder le marché américain via le Canada ». En ce qui concerne l’avenir technologique, l’investissement continuera en R&D. « Les produits que nous développons aujourd’hui seront des demandes de demain. Nous avons un certain nombre de projets dans le domaine du Role Management, qui se concrétiseront à travers notre offre Klever Role Management Suite ». Enfin, Bertrand Augé a souligné une volonté de développer plusieurs partenariats forts avec des intégrateurs ou sociétés de conseil, en nombre assez restreint. La qualité aura le privilège.

« Qui a le droit à Quoi et Comment ? »

Un expert des solutions de Kleverware nous a présenté la version 2009 de Klever Audit Suite. Cette nouvelle version intègre dans son analyse les chemins d’affectations qui permettent de savoir par quels chemins une personne obtient ses droits. Il s’agit donc de connaître l’ensemble des droits utilisateurs à l’ensemble des applications. La solution offre également la possibilité de mettre en avant les habilitations atypiques que pourraient posséder les utilisateurs du SI.

La suite est formée de 3 logiciels :

- K-Transform : il s’agit du logiciel de transformation de données intégré à Klever Audit Suite. K-Transform permet l’uniformisation des données. La nouveauté de la version 2009 repose principalement sur son interface graphique et son ergonomie, de manière à améliorer son utilisation ainsi que les dossiers fonctionnels.

- K-Mapping est le logiciel de réconciliation de données de Klever Audit Suite, y compris pour les fichiers sans identifiants communs. La version 2009 permet de personnaliser la configuration et de travailler de manière plus conviviale sur les règles de mapping. Elle permet de faire le tri dans les fichiers et annuaires. Le mapping peut également se faire indépendamment de la suite Klever Audit Suite.

- K-Audit est le logiciel d’audit de la sécurité du système d’information de la suite. Comme annoncé précédemment, la version 2009 se compose dorénavant de 3 versions, qui vont venir s’adapter aux différents besoins :
1. Basic : permet de faire des recherches, analyses, simulations, comparaisons.
2. Premium : permet, en plus, de créer et de mettre à disposition le MCI sur les serveurs.
3. Ultimate : grâce, entre autres, à l’historique et au Reporting, ce niveau assure la conformité, la gouvernance et la diffusion de l’information.

Les clients ayant précédemment acheté K-Audit se situent actuellement au niveau Ultimate. La migration sera assurée sans coût supplémentaire.

La version 2009 intègre également des composants serveurs facilitant le travail collaboratif entre tous les acteurs concernés par la sécurité et l’automatisation des tâches rébarbatives et redondantes, l’envoi des rapports.

Roadmap : focus sur les composants serveurs de Klever Audit Suite et l’offre Klever Role Management Suite

Arnaud Fléchard, Responsable R&D chez Kleverware, nous a présenté plus en détails la Roadmap des solutions Kleverware, avec un focus sur les composants serveurs de Klever Audit Suite (K-Team Server, K-Scheduler et K-Audit « Thin View ») et l’offre Klever Role Management Suite.

- K-Team Server permet d’héberger les applications et de les partager. Il s’agit de travail collaboratif. Ce dernier est essentiel pour garantir une bonne communication entre les équipes en charge des audits de sécurité et des contrôles permanents.
- K-Scheduler Server assure la planification et le traitement des processus de travail, la génération automatique des rapports, l’envoi automatisé par messagerie électronique du Reporting aux correspondants concernés.
- Enfin, K-Audit « Thin View » en permet la consultation via une interface Web.

Klever Role Management Suite est une solution de gestion des habilitations par rôles. La gestion des profils métier est devenue une étape incontournable pour gérer les accès aux ressources en fonction des rôles de chacun dans l’entreprise. Concernant la définition des profils métier, deux approches sont possibles :
- L’approche Top Down, partant des métiers et de leurs besoins pour en déterminer les rôles et y associer les collaborateurs,
- L’approche Bottom Up, qui démarre de l’existant en analysant les fonctions et les droits des collaborateurs et en recoupant les données de chacun afin d’en définir des rôles.

La solution Klever Role Management Suite permet de concilier les deux approches en proposant automatiquement les rôles métier types pour l’ensemble des collaborateurs de l’entreprise. K-Role Building propose une approche basée par profils métiers/ profils applicatifs qui donnent tel droit à telle personne, selon des critères définissables par l’entreprise. L’utilisation de fichiers de logs permettra de connaître les habilitations utilisées par les utilisateurs. L’objectif est d’alimenter un référentiel, dans lequel on couple logs et habilitations. Ce référentiel pourra être hébergé dans K-Repository. Vous pourrez même aller plus loin avec le logiciel de workflow, K-Workflow. Une fois qu’on a le référentiel, l’objectif est, en effet, d’avoir un workflow de gestion des habilitations.

« Le pilote de Klever Audit Suite a été convaincant car il a fonctionné dans la journée »

Avant de nous faire une démonstration en live des solutions précédemment annoncées, un RSSI, client de Kleverware, nous a fait part de son retour d’expérience. Cette société d’assurance de plus de 2000 collaborateurs avait au préalable installer un gestionnaire d’identités au sein de son entreprise. Un déploiement de 2 ans assez lourd qui a mis en exergue l’absence de revue de comptes. Difficile pour un RSSI de convaincre la direction générale, même si la revue de comptes est recommandée par la politique et l’audit SSI. Un déploiement accéléré par la pression des commissaires aux comptes qui ont mis en avant ce manquement. C’est ainsi qu’en 2008, cette société d’assurance a opté pour la solution Klever Audit Suite de Kleverware, qui a permis de centraliser les 45 annuaires de l’entreprise. La plus grosse difficulté a été de récupérer en interne l’ensemble des informations. La constitution de cette « base de données » a mis en avant un certain nombre d’énormités et d’incohérences. Pour plus de 2 000 collaborateurs, c’est près de 39 000 comptes utilisateurs et environ 24 000 habilitations qui ont été recensés. Le nombre d’habilitations sans rattachement « vivant » à l’entreprise dépassait, quant à lui, le nombre de 1 000. Pour ce RSSI, le pilote de Klever Audit Suite a été convaincant car il a fonctionné dans la journée. Il a insisté sur cette rapidité de mise en œuvre mais a également souligné la nécessité d’une formation pratique. « C’est un outil qu’on n’utilise pas tous les jours, d’où l’importance de son ergonomie ». Pour conclure, il a félicité l’assistance de Kleverware et leur prise en compte des demandes spécifiques.




Voir les articles précédents

    

Voir les articles suivants