Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cyril Gollain, Brainwave : IAM, repenser sa stratégie

octobre 2010 par Cyril Gollain, Brainwave

L’édition 2010 du livre bleu des assises de la sécurité et du système d’informations vient d’être diffusée. Traitant en particulier de la dimension économique de la Sécurité des Systèmes d’Information, le livre s’appuie sur les réponses d’un large panel de RSSI pour dresser un panorama de la fonction SSI en 2010.
On apprend, en particulier, que les priorités d’action des RSSI se recentrent en 2010. "Sujet historique", le plus mentionné (56% du panel) : la gestion des identités et des habilitations.
On ne peut certainement pas parler d’un sujet neuf : il s’agit toujours de connaître et reconnaître les utilisateurs et de contrôler leurs accès au Système d’Informations.
Pourtant, année après année, ce sujet continue de monopoliser l’attention des RSSI.
Petit rappel du contexte et des retours d’expérience...

Les bénéfices attendus

L’IAM (Identity & Access Management) est une discipline à la croisée de différents chemins :

• C’est un ensemble de composants critiques de l’infrastructure : annuaire(s), dispositif d’authentification, contrôle d’accès…
• C’est un projet d’intégration transverse, qui vise à raccorder une majorité d’applications et systèmes du SI, en vue de provisionner leurs comptes, de contrôler les accès (authentification et autorisations) voire d’auditer les habilitations ;
• C’est une composante indispensable de la mise en œuvre des politiques de sécurité : gestion des mots de passe, règles d’habilitations, suivi des accès…
• C’est enfin un ensemble de processus et d’outils qui ont des répercussions directes sur le travail des utilisateurs : qui a accès à quoi, quand et comment.

Cette multiplicité des visages de l’IAM explique la diversité des enjeux et des attentes :

Productivité : par la réduction des délais induits par les opérations de gestion des comptes (création, réinitialisation de mot de passe…) et par la simplification des procédures (Single-Sign On, gestion des demandes d’habilitations…) .
Sécurité opérationnelle : comme évoqué plus haut, l’IAM peut devenir un point d’application de l’ensemble des politiques de sécurité liées à la gestion des utilisateurs et des comptes d’accès.
Conformité : la centralisation et la rationalisation de la gestion des identités permettent d’améliorer la traçabilité, l’imputabilité et la détection des écarts.

Cependant, l’atteinte de ces enjeux macroscopiques n’est pas sans effort : deux à trois ans sont le plus souvent nécessaires pour la mise en œuvre de sa stratégie IAM. Afin d’éviter l’effet tunnel et justifier les investissements consentis, il est nécessaire de passer par une multitude de petits succès (« Quick Wins ») qui font progresser tour à tour chaque thème, dans une logique d’amélioration continue.

Les stratégies « Quick Wins »

Différentes stratégies sont envisageables pour décomposer le périmètre IAM d’entreprise en une série de Quick Wins. Nous présenterons ici les plus répandues :

La tactique « du moindre effort »

Comme son nom l’indique, elle consiste à identifier, dans le périmètre IAM, les sous-ensembles les plus « faciles » à mettre en œuvre. Par facile, on entend : plus rapide, moins coûteux, faible difficulté technique.
Cette tactique va systématiquement privilégier certains services (comme le SSO d’entreprise, le référentiel d’authentification, la gestion des mots de passe) au détriment d’autres (la gestion des habilitations, le provisionnement des applications métier).

Bien entendu, cette démarche présente l’immense avantage d’offrir le maximum dans le moindre délai et à la moindre charge. Les succès sont rapides et flagrants.
Sa fragilité intrinsèque réside dans le fait que non seulement le projet est de plus en plus complexe à mettre en œuvre (par construction), mais également le risque est grand de voir des pans entiers remis en cause au fur et à mesure que les cas d’utilisation « complexes » sont étudiés et mis en œuvre. Aussi, il n’est pas rare d’observer, chez les clients qui auront choisi cette « stratégie pure », que les projets s’arrêtent brutalement dès la fin de la première itération.
Cela reste cependant une démarche légitime dans certaines circonstances : environnement changeant (du type « start-up »), situation initiale fortement dégradée (nécessité d’agir vite)…

La stratégie des « arbitrages prioritaires »

Cette stratégie va s’intéresser à la valeur engendrée par l’IAM en matière de sécurité, productivité, conformité. Pour une enveloppe donnée en termes de délais et d’effort, on va donc prioriser le périmètre selon la valeur décroissante.
Cette solution permet de créer les conditions nécessaires à la mise en œuvre de services avancés comme la gestion des rôles.
Elle nécessite une maturité élevée de l’organisation et une phase de préparation approfondie : l’IAM s’insère alors dans la démarche plus globale d’un schéma directeur, par exemple.
Le risque associé à cette stratégie est sa lenteur de définition : bien que l’IAM soit un projet structurant pour le SI, c’est aussi un service métier adhérent à l’organisation et qui doit faire preuve d’une grande souplesse d’adaptation. Comment garantir que les priorités définies dans trois ans seront les mêmes qu’aujourd’hui ?

La stratégie mixte « bottom-up, top-down »

Cette stratégie consiste à mener son projet de gestion des identités alternativement suivant des axes « bottom-up » et « top-down ».
Concrètement, cette stratégie commence selon une approche infrastructure privilégiant centralisation et synchronisation des données en identifiant ce qui peut être automatisé rapidement (par exemple, l’authentification centralisée sur un annuaire, le provisionnement des applications d’infrastructure…).
Cette approche a un effet positif tangible sur l’efficacité opérationnelle, sans nécessiter pour autant une lourde phase d’analyse (organisation et métiers, rôles, processus…).
Cette première phase est suivie par une phase de rationalisation de ce qui vient d’être automatisé (« top-down ») : remise à plat des habilitations, création de « rôles », définition des modèles de délégation d’administration et d’approbation des demandes d’habilitation... Cette deuxième phase a donc un contenu fonctionnel riche, dont la mise en œuvre est facilitée du fait de l’existence du socle technique construit lors de la première phase.
Une fois cette phase réalisée, le périmètre est à nouveau étendu à l’aide d’une nouvelle itération « bottom-up », « top-down ».
Cette stratégie permet véritablement d’inscrire le projet IAM dans une démarche d’amélioration continue. Elle est également relativement complexe à piloter.

Les pré-requis indispensables

Avant de pouvoir mettre en œuvre un projet IAM dans les meilleures conditions, il est indispensable de porter son attention sur quelques petites « formalités »…

La connaissance de l’existant

C’est un constat : la difficulté d’accès à l’information concernant le SI existant est une source majeure de retards sur les projets d’intégration tels que l’IAM. Pourtant la checklist pourrait se résumer à trois points : identification des interlocuteurs techniques (à la fois pour l’analyse et pour les tests), disponibilité de la documentation et disponibilité des plates-formes de tests.

 Notre conseil : dressez cette check-list pour chacune des applications incluses dans le périmètre IAM et veillez à la tenir à jour, notamment au vu des événements du cycle de vie des applications (turn-over des équipes, changements technologiques…).

La qualité des données

C’est souvent un objectif implicite du projet IAM que d’améliorer la qualité des données dans les référentiels d’infrastructure ou applicatifs. A contrario, il est significatif de constater que le nettoyage des données est rarement identifié en tant qu’étape nécessaire dans la mise en œuvre de l’IAM. Les conséquences se mesurent à nouveau en termes de délais et coûts supplémentaires : le nettoyage de données est initié sous la contrainte lors de la mise en production, car chaque écart entraîne des répercussions négatives sur le fonctionnement de l’IAM.

 Notre conseil : procédez à l’analyse de la qualité des données en amont du projet IAM et menez les activités de nettoyage de données en parallèle de celui-ci.

Ne pas oublier le reporting

Les fonctionnalités de reporting et d’audit sont souvent le parent pauvre des projets IAM, peut-être parce qu’elles sont moins spectaculaires et ne concernent pas directement les utilisateurs. Pourtant, elles devraient au contraire être le fer de lance de l’initiative IAM. Rapidement mises en œuvre, apportant une forte valeur ajoutée (sur le pilotage, la modélisation et le nettoyage des données) et permettant une restitution à la fois micro et macroscopique, elles s’inscrivent parfaitement dans chacune des stratégies Quick Wins décrites précédemment. De plus, elles contribuent à la transparence (exhaustivité et imputabilité) des opérations d’IAM, vis-à-vis des responsables applicatifs et des managers. Enfin, ces outils peuvent être mis entre les mains des auditeurs internes ou externes qui peuvent à loisir vérifier le respect des politiques de sécurité et de gestion.

 Notre conseil : intégrer des fonctions de reporting dès le démarrage du projet.

S’il est vrai que la Gestion des Identités reste un sujet riche et dense, l’expérience accumulée depuis plusieurs années sur le marché, ainsi que la disponibilité d’une offre logicielle aboutie permettent d’aborder sereinement une telle démarche. Quelle que soit la stratégie adoptée, restez pragmatique : vous disposerez alors, avec l’IAM, d’un formidable outil au service du métier et de la sécurité.


Voir les articles précédents

    

Voir les articles suivants