Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

4èmes RIAM : l’approche par la gestion des risques est l’avenir de l’IAM

mai 2008 par Marc Jacob

Les 4èmes RIAM (Rencontres de l’IAM) ont réuni cette année plus d’une centaine de personnes. Michel Van Den Berghe, PDG d’Atheos, initiateur de cet événement, a présenté rapidement les temps forts de cette édition. Il est vrai que l’actualité, ainsi que les législations et règlementations mettent la gestion des identités en avant dans les entreprises. Après son message de bienvenue, il a annoncé le premier débat animé par Christophe Elise, Rédacteur en chef de "Les Nouvelles.net", Paul-Olivier Gibert, Président de l’AFCDP, Maître Eric Caprioli, du Cabinet Caprioli et Associés et Patrick Langrand, RSSI du groupe La Poste, dont le thème était : « la gestion des identités répond-elle aux contraintes de conformité et de traçabilité tout en respectant le cadre juridique imposé ? ».

Pour Michel Van Den Berghe, l’identité et sa protection est un enjeu majeur pour les organisations. Elle repose sur plusieurs points : l’administration des identités, l’audit, le monitoring de l’activité et des remontées d’alertes, la vérification des identités. Elle est aussi génératrice de gain de productivité dans la mesure où elle permet de réduire les appels au help desk, d’améliorer l’efficacité opérationnelle, d’éviter des pertes dues à des malveillances… dans certains pays comme la Suisse ou le Luxembourg, on réfléchit sur un système de « Cote de confiance » basé sur le déploiement d’IAM. Pour conclure son intervention, Michel Van Den Berghe a remercié tous les partenaires de cette édition, SUN Microsystems, IBM, Microsoft, Cyber Ark, Evidian, Ilex, OpentTrust, RSA, division sécurité d’EMC, SecurIT et Utimaco.

Eric Caprioli, Christophe Elise, Paul-Olivier Gibert et Patrick Langrand

Le débat qui a suivi a mis en avant un certain vide juridique qui régit directement la gestion des identités en tant que telle. Par contre, Maître Eric Caprioli a rappelé les principales législations sur l’utilisation de l’Internet en rappelant que le droit commun oblige à faire de la conformité, En faisant un rapide panorama, on peut trouver des lois dans le droit du travail, dans la Loi Informatique et Liberté, mais aussi dans les règlements corporatifs, comme ceux des banques, CRBF, Bâle II, SoX… Ainsi, il est important d’encadrer les actions afin d’être dans un espace juridique légal en particulier dans le domaine de la collecte d’informations aux fins de preuves. En effet, cette collecte doit être loyale et licite.

Patrick Langrand a lancé le débat en posant la question cruciale de la responsabilité des RSSI dans les projets d’IAM. Il a milité pour une charte des dirigeants qui limiterait les « passe-droits ». Par ailleurs, il a soulevé aussi le problème de la vie privée non seulement des collaborateurs, mais aussi des clients.

Paul-Olivier Gibert a rappelé que la Loi Informatique et Liberté pose le principe de la responsabilité de la personne qui met en place un système de gestion des identités. Pour lui, au vu de la loi, il est nécessaire de mettre en place un système de protection des données personnelles afin que seules les personnes habilitées puissent avoir accès aux informations collectées. Ce système doit, dans tous les cas, être pertinent mais aussi conforme dans le sens de la proportionnalité des moyens mis en œuvre. Dans ce cadre, le correspondant informatique ne pourra pas être le responsable du traitement. En cas de manquement, il devra en référer aux RSSI, dirigeants, voire aux administrations compétentes. Concernant le problème des passe-droits, tant que ceux-ci ne vont pas à l’encontre des règlementations en vigueur, le correspondant ne pourra agir.

Christophe Elise : Quels sont les risques pour les entreprises ?

Maître Eric Caprioli a rappelé différentes jurisprudences sur les grands principes de la responsabilité des entreprises en matière d’identification (article 6 de la LCEN), de conservation des données (6, 8, 12, voire 24 mois), de mise à disposition de moyens aux collaborateurs (affaire Lucent/Escota, BNP…)… Il a rappelé que si certains professionnels comme les avocats, les médecins étaient soumis statutairement au principe de confidentialité, les consultants ne le sont pas…

Christophe Elise : Qu’en est-il de l’approche de la traçabilité et de la gestion des identités par la gestion des risques ?

Pour Patrick Langrand, l’approche par les risques c’est l’avenir de l’IAM ! C’est absolument l’orientation que les acteurs de ce marché doivent donner. En effet, le Web a multiplié les problèmes liés à la business intelligence, à la contrefaçon… Il est donc important de déployer de la gestion des identités y compris pour les clients. D’autant qu’avec la création d’identités virtuelles, il devient de plus en plus difficile de tracer les utilisateurs. Pour Paul-Olivier Gibert, la création d’identités virtuelles conduit à une perte de traçabilité et donc de preuve. Il a posé la question de l’intérêt d’établir des liens entre les différentes identités que l’on peut se créer : personnelle vis-à-vis des administrations, d’autres particuliers, professionnelle…
Les réseaux sociaux sont devenus un véritable problème dans la mesure où il y a une confusion entre la vie privée et professionnelle. Jusqu’où peut aller la tolérance de leur utilisation dans les entreprises d’autant que l’on constate aussi des pertes de productivité. Maître Eric Caprioli conseille de les interdire purement et simplement dans la charte de la sécurité.

Christophe Elise : La fédération des Identités peut-elle répondre à ces problèmes ?

Patrick Langrand estime que l’usage de produits de fédération est difficile à imposer aux utilisateurs. Paul-Olivier Gibert estime qu’une traçabilité totale réalisée à l’insu des utilisateurs est interdite. En revanche, un système pour déterminer les incidents a posteriori pour permettre l’investigation pour en trouver l’auteur est licite. Toutefois, Patrick Langrand rebondi en lançant le débat de la collaboration avec les services de police hors du cadre de commissions rogatoires. Eric Caprioli estime que dans ce domaine, dans certaine activités sensibles, il est possible de collaborer avec les services de Police.

Pour conclure, Patrick Langrand a rappelé que le guide du RSSI donne des éléments de réponses sur le thème de la gestion des identités et du caractère personnel des informations. Paul-Olivier Gibert souligne que dans tous les cas la règle de la proportionnalité doit être respectée.


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants