Thierry Durand a lancé le débat en demandant au RSSI du monde de l’industrie la raison de sa démarche d’IAM qu’il a entreprise en commençant par la gestion des rôles. Selon ce RSSI l’objectif de son projet était poussé par la réduction des coûts et non la sécurité. Son sponsor était l’IT qui visait d’obtenir un ROI tous les 3 à 6 mois : « notre projet est devenu du Role of Invest ! Il a donc choisi directement de travailler sur le rôle des employés au sein de son entreprise. Il a dans l’ensemble de l’entreprise près de 2000 mouvements de collaborateurs par jour. Même si un compte se crée dans son entreprise en environ 10 minutes, le total du nombre de minutes nécessaires au quotidien était trop important pour l’IT. Il a donc reporté la gestion au quotidien des accès aux directions métiers afin d’alléger le travail de l’IT. Ainsi, chaque responsable de business est devenu autonome. En parallèle, il a mis en place de la traçabilité pour vérifier la cadence de génération de nouveau mots de passe, le nombre d’incident éventuel…

Olivier Prompt, SUN Microsystems

Thierry Durand : Quel est l’état du marché du rôle management ?

Olivier Prompt, SUN Microsystems : Il y a une maturité de l’offre mais aussi des besoins. Le rôle management est devenu une nécessité sans remettre en cause pour cela les projets d’IAM, au contraire, il les rend plus facile à aboutir. Le rôle management débute souvent d’une simple feuille Excel, mais avec la complexité des SI, elle devient difficile à manipuler et atteint donc ses limites. Les outils de rôles management apportent une vraie valeur lors des changements d’organisation dans les entreprises. Toutefois, il est aussi important de répartir la charge de travail sur les métiers. Les besoins sont principalement de deux types :

– Le besoin de réduction des coûts.
– La recherche de conformité par rapport aux législations et réglementations

La gestion des rôles répond à ces deux besoins car elle permet d’obtenir de la traçabilité tout en réduisant les coûts de gestion par l’automatisation des processus (diminution des appels au help Desk, du temps d’attribution des droits...).

Lors de sa mise en œuvre, il est important de s’appuyer sur un comité de gouvernance pour créer un glossaire pour coller à la réalité des métiers en définissant les rôles opérationnels dans l’entreprise ;

Thierry Durand : Quid de la gestion des droits fins ? Comment mesurer la pertinence et l’usage qui est fait de ces droits fins ?

Pour ce RSSI du secteur financier, la gestion des droits fins est poussée par la pression règlementaire, mais aussi par le ROI. En effet, les managers ont besoin d’avoir des informations sur la traçabilité. La gestion des rôles, c’est d’abord un projet d’entreprise et accessoirement d’outils techniques. La traçabilité c’est avoir une vision sur le « qui fait quoi » sur le SI à partir de la gestion des logs, mais la traçabilité des métiers c’est le qui fait quoi, mais aussi qui a autorisé à faire des actions. De plus, il a besoin de garantir la confidentialité des informations sur ces clients. Il doit donc garantir le comportement de ces collaborateurs. Pour cela, il communique vers les métiers, mais aussi de tracer les mouvements afin de prévenir les risques d’abus. Dans certains contextes, il faut aussi investiguer en cas de suspicion d’abus afin de pouvoir réagir le plus rapidement possible. Cela nécessite d’avoir un système de collecte, d’analyse et d’investigation. Obtenir des informations sur les événements et les comportements permet aussi d’auditer els coûts du SI. On peut, en effet, obtenir ainsi une cartographie de l’usage fait des outils. Par contre, pour lui l’échelle de valeur est de 3 ans mais avec des objectifs de réalisation annuelle.

Thierry Durand : La traçabilité permet d’avoir une cohérence dans la démarche et la conformité, mais qu’en est-il du stockage de toutes les informations recueillis ?

Pour ce RSSI du domaine financier, suite à une analyse poussée des risques, il a du systématiser la collecte de toutes les traces sur le SI. Toutefois, il filtre ces informations en fonction des cahiers de chaque métier. Il a déploré que lors des achats de logiciels par els métiers, les aspects sécurité ne soient pas suffisamment pris en compte, d’autant qu’il doit surveiller les transactions sur 500.000 à 1.000.000 de clients.

Ce RSSI d’un autre établissement financier constate que dans son entreprise la traçabilité existe depuis longtemps mais sans être reliée avec la gestion des identités.

Thierry Durand a clôturé le débat en posant la question de la conservation des logs vis à vis des règlementations en vigueur en particulier issues de la CNIL.