Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Hassan Maad, Evidian : "IAM or IAM not" ?

septembre 2008 par Marc Jacob

Telle n’est plus la question ! La gestion des identités et des accès (Identity and Access Management) connaît aujourd’hui un essor particulier et propose des outils qui deviennent stratégiques dans le choix des organisations. Confrontées à des incidents dont le coût ne cesse de croitre, les entreprises tous secteurs confondus ainsi que les administrations ont bien conscience des enjeux mais demeurent à la recherche de la bonne approche. Comment partir ? Comment réussir les objectifs de l’IAM ? Une certitude ; les exigences des utilisateurs et du métier sont souvent les repères qui doivent guider toute approche. L’effort est tout autre que technique, et les outils doivent s’adapter pour répondre aux besoins de l’ensemble des utilisateurs de l’organisation et se placer au cœur de ses processus métier. L’IAM un vecteur de développement du métier de l’organisation, telle est la raison d’être de l’IAM.

L’IAM est autre que la construction d’un référentiel d’identité

Si les premiers pas qui ont guidé l’IAM ont été ceux du déploiement des référentiels d’identités (ces derniers poussés par l’ouverture à des millions et non plus à des milliers d’utilisateurs), l’IAM aujourd’hui doit répondre à des exigences qui sont bien loin de l’unique souci des complexes synchronisations entre référentiels d’identités et de services. Certes le sujet est toujours d’actualité et les choix en la matière peuvent avoir des impacts importants sur un système IAM, mais l’enjeu le plus important reste ailleurs. L’IAM doit aller au-delà de la gestion des référentiels d’identités, et même au-delà des outils qui s’y greffent pour les intégrer à l’existant dans l’entreprise.

L’utilisateur, un acteur majeur de la politique de sécurité

Mettre l’utilisateur au cœur de la sécurité – la sécurité n’est pas un produit, mais un processus. Trop compliquée à utiliser, administrer ou auditer, elle sera contournée. Nous le constatons, l’Utilisateur est au cœur de la stratégie de sécurité, il contribue d’une manière active au renforcement de la sécurité du système. La priorité est donnée à de nouveaux moyens d’authentification, l’utilisateur s’approprie et signe la charte de sécurité à ce point de départ. Un utilisateur qui adhère à un processus de sécurisation est, pour un projet d’IAM, un véritable gage de réussite. Il est donc important que l’ergonomie des outils soit prise en compte dès le début. Les exigences de sécurité induisant des tâches répétitives et reposant uniquement sur le facteur humain, sont un danger. Les outils de SSO entreprise et l’essor qu’ils rencontrent en sont la meilleure illustration.

L’utilisateur, un mutant

Plus que jamais, l’agilité de l’entreprise est un facteur essentiel de la réussite de ses missions. Poussée par des changements économiques à grande vitesse, toute organisation agit dans un espace de confiance dépassant ses frontières. Dans un monde ouvert, l’enjeu n’est plus uniquement celui de la protection de son espace de confiance des menaces extérieures. La notion de « citadelle » tombe avec l’ouverture vers des partenaires, des clients et des citoyens. L’utilisateur est dans ce contexte partout, dans l’enceinte de son organisation, chez le client, chez le partenaire, sur la route, accédant à son bureau à distance pendant ses vacances, etc... L’Utilisateur est aussi le partenaire, le client, le citoyen. Son accès à l’information se fait à tout moment et de n’importe quel point, et depuis différents moyens de communication.

L’ubiquité du système

Si la virtualisation tente d’offrir à l’utilisateur l’interface la plus simple, la complexité demeure présente et se multiplie tous les jours poussée par la spécialisation des métiers, et l’hétérogénéité des systèmes informatiques. Nous sommes loin d’un système informatique central ou simplement distribué. Le casse tête des services informatiques à tracer les identités multiples des utilisateurs dans les différents systèmes et à offrir un accès transparent à la hauteur du chemin fait par la virtualisation, demeure une importante préoccupation des DSI.

Identifier, habiliter

Il devient donc essentiel, au sein d’une organisation, d’identifier les personnes d’une manière unique, de pouvoir habiliter les bons utilisateurs par les bonnes personnes, et de prouver ces actions d’habilitation lors de l’audit. Le langage n’est plus celui des codifications de « groupes » dans tel ou tel annuaire, mais à la communication sur les autorisations entre informatique et métier. La problématique de la gestion par rôles sort au premier plan et intègre les processus métier dans toute leur dimension. Nous devons prendre en compte le processus d’habilitation au même titre que n’importe quel processus métier de l’entreprise.

De l’automatisation des processus IAM à la réconciliation d’une politique basée sur des rôles

L’IAM qui se retrouve à la croisée des trois chemins, celui des utilisateurs, des DSI et de la politique de sécurité de l’entreprise, peut offrir le service attendu par tous si elle réussit le pari de la réconciliation de la politique avec l’usage. Il n’est pas suffisant de décrire les règles d’habilitation, il est tout aussi nécessaire de pouvoir les traduire dans les différents systèmes et avoir les outils qui permettent d’en contrôler l’opérabilité, et en final l’usage qui en est fait. Le système IAM n’offre son service attendu qu’une fois qu’il est rentré dans ce cercle vertueux qui lui permet de faire face aux permanents changements de l’organisation. Cette intégration est possible si l’objectif est bien pris à la base, sinon le risque demeure sur l’isolement de l’IAM dans la case des outils techniques.


Voir les articles précédents

    

Voir les articles suivants