De gauche à droite : Arnaud Fléchard (CTO Kleverware), Thomas Jolivet (Harmonie Technologie) et Bertrand Augé (General Manager Kleverware

Bertrand Augé, General Manager de Kleverware, lors de l’introduction, a fait un rappel de la forte activité de Kleverware depuis 2012.

– Kleverware continu de renforcé son positionnement sur le marché Luxembourgeois, avec de nouveaux succès dont l’utilisation pour ses besoins internes d’un organisme public de surveillance dans le secteur financier et également le démarrage d’un partenariat avec une société de services.

– L’ouverture du marché marocain avec une référence chez un leader des télécoms suite à un appel d’offre international gagné en 2012.
– La sortie de la dernière version majeure (Kleverware IAG 12.10) a été lancée avec un apport significatif pour la consultation des droits à travers un portail compatible avec les souhaits (flexibilité du modèle d’information pris en compte) clients en matière de restitution.

Avant le 5 juin 2014, date de la 7ème édition des Klever Days, de nouveaux investissements important en R&D sont prévus, mais également sur le plan commercial pour conquérir de nouveaux marchés notamment en Afrique et en Europe. Enfin, Bertrand Augé a annoncé en avant-première une nouvelle version majeure de Kleverware IAG pour cette année et qui est conçue en méthode agile avec un client historique autour d’une réelle solution de « Gestion de campagne pour la revue de comptes » qui de plus permet une remédiation simplifiée. Puis il a cédé la parole à Thomas Jolivet, Responsable du pôle conseil d’Harmonie Technologie.

Thomas Jolivet a expliqué comment améliorer la gestion des habilitations. Pour lui, le risque majeur concerne les écarts entre les droits légitimes et nécessaires, les droits demandés et les droits effectifs. Ces écarts génèrent à la fois des risques opérationnels, des risques de sécurité et des risques de non-conformité. Il a cité plusieurs cas comme la carence de droit, les délais d’obtention de droits qui engendrent des pertes d’efficacité opérationnelle et des pertes de traçabilité des actes.

En outre, il a noté aussi des problèmes liés aux comptes génériques, au cumul de droits incompatibles et à la conservation des droits. Ces trois problèmes induisent des erreurs, des fraudes et des actes de malveillance, des fuites et des pertes de données et bien sûr des problèmes de non-conformité réglementaires… A ceci se rajoute, ceux liés aux licences.

Tous ces manques dans la gestion des habilitations peuvent induire des usurpations d’identité souvent dû au fait qu’entre collègues, il est souvent habituel de se communiquer les mots de passe pour accéder à des applications car les délais d’habilitation sont trop longs. De même, ces problèmes induisent la mise en place de comptes qui sont diffusés sans passer par les processus d’habilitations. Il est donc important de recenser les comptes génériques afin de les limiter et de les contrôler.

Le troisième risque concerne les comptes incohérents : compte dormants, fantômes et orphelins. Il est donc nécessaire de les recenser et de les contrôler régulièrement afin d’améliorer à terme la gestion des départs dans l’entreprise.

Pour Thomas Jolivet, il est primordial de gérer les écarts entre les droits nécessaires légitimes et les droits demandés. Ce problème vient souvent de la méconnaissance du modèle d’habilitation, une ignorance des règles de ségrégation et de clonage de comptes. Pour y remédier, il faut faire des revues de droits, du contrôle de cohérence et maîtriser le modèle d’habilitation. De ce fait, il est nécessaire de bien gérer la gouvernance du processus d’habilitation.

Thomas Jolivet a cité aussi les problèmes liés aux droits demandés et aux droits effectifs. Ils proviennent du contournement du processus habilitation, de traitement et de modélisation. Pour y remédier, il faut agir sur la gouvernance du processus d’habilitation, automatiser le provisionng et faire une fois de plus du contrôle de cohérence.

Les problèmes de gestions des habilitations peuvent trouver leurs solutions
Pour remédier à tous ces problèmes Il faut tout d’abord identifier les risques afin de savoir où il faut mettre particulièrement l’accent. Il est nécessaire d’implanter des règles de gouvernance dans les outils d’IAM. Il faut aussi maîtriser le modèle d’habilitation. Il faut aussi faire du contrôle permanent et vérifier la conformité. Il est aussi important de produire des rapports d’exceptions et de mettre en place des indicateurs comme par exemple les comptes dormants, les accès à des horaires non appropriées... Enfin, des contrôles périodiques de recertification de droits doivent être mis en place. Toutes ces données nécessitent d’être agrégées afin de faire apparaître des écarts et vérifier la cohérence des règles avec les propriétaires des ressources métiers, SI, les managers opérationnels, les correspondants SSI, les contrôleurs internes...

Thomas Jolivet a présenté quelques exemples de retour d’expériences avec des timings de déploiement : 2 à 3 mois pour la réalisation de la mise en place d’un processus de recertification, 2 mois pour déployer un outillage afin d’effectuer un travail préliminaire de gestions des habilitations.... Il a présenté une démarche de gestion d’habilitation en 6 étapes :

1 Recenser les risques
2 Prise en compte fête ou ajustement des politique SSI
3 Prise en compte ou définition d’une gouvernance adaptée
4 Définir des besoins en termes de contrôles
5 Conception et production d’outils indicateurs et rapports
6 Recette et contrôle

Selon lui, les facteurs de succès d’un processus d’habilitation sont :
– effectuer au moins des contrôles a posteriori,
– produire des rapports utiles qui vont être lu facilement,
– travailler en priorité sur les exceptions,
– outiller la démarche pour simplifier la conception et la diffusion des rapports,
– encadrer les actions de contrôle.

Le Premier témoignage client : Le RSSI d’une entreprise d’assistance aux personnes a présenté comment il a réussi avec le sponsoring de sa DSI à mettre en place son projet et les premiers résultats obtenus très rapidement ont finis de convaincre les sceptiques au sein de l’entreprise. Utilisée quotidiennement la solution l’aide bien sûr pour contrôler que les habilitations sont en adéquation avec les besoins métier en fournissant des reporting incluant les résultats de requêtes qui sont la traduction de la PSSI pour les habilitations, mais aussi comment ce projet sensibilise les utilisateurs aux problématiques de sécurité logique.

Le Second témoignage client : Un membre de la SSI d’une entreprise leader de l’assurance a expliqué comment sa société et Kleverware ont réussi le projet de mis en place du portail de consultation des habilitations répondant aux besoins de consultation des droits par typologie et/ou périmètre pour la centaine d’administrateurs délégués en charge du contrôle et de la révision des droits donnés aux utilisateurs finaux. Les retours « enfin un seul outil ! », « c’est juste vachement bien », « incontournable, la référence pour les droits d’accès » ont convaincu la direction d’aller plus loin dans ce partenariat et a donc lancé un deuxième projet toujours en méthode agile pour « gérer la campagne des revues de comptes ». Ce projet sera finalisé prochainement et se verra proposé aux clients de Kleverware dès cette année sous forme de la prochaine version majeure de Kleverware IAG incluant le Progiciel K-Rectification Manager.

Le but de K-Recertification Manager est d’alléger la lourdeur de la préparation et du suivi des campagnes de recertification des comptes. Cette solution selon le souhait du client propose de sélectionner les types de droits que l’on veut réviser. Puis, elle aide à la définition du périmètre organisationnel. K-Rectification Manager prévoit l’organisation des relances des campagnes.

Les 3 grands rôles d’une campagne peuvent être donnés comme :
– Le gestionnaire de campagne qui pourra via le portail mettre en place la campagne, consulter à tout moment l’état global de la campagne,…
– Les approbateurs (Managers de service, d’applications,….) qui sont en charge de valider ou non les droits, et suivront avec leur tableau de bord le niveau de finalisation de la campagne qui leur incombe.
– Les auditeurs (Contrôle Interne, Commissaires aux Comptes…) n’auront plus de soucis pour récupérer l’information pertinente sur la validité d’habilitation des collaborateurs, prestataires...

Avec K-Recertification Manager, il est possible de prolonger une campagne si les résultats ne sont pas satisfaisant en termes de volume traité. Quand la fin de campagne sera décrétée, elle sera figée (photo immuable), auditable de bout en bout. Il faut noter que le reporting a été dès l’origine pensé pour les auditeurs (Contrôle Interne, Commissaires aux Comptes…). Cette nouvelle solution a été créée en collaboration avec la participation de plusieurs utilisateurs finaux . De ce fait, l’interface est ergonomiquement conçue selon le besoin de chacun des acteurs de la sécurité des habilitations.

Kleverware souhaite une solution qui soit adapté aux besoins du marché, qui s’interface naturellement avec les Workflow des entreprises. Ainsi, par exemple lors de changement au sein d’une même entreprise une recertification des habilitations doit pouvoir être automatiquement lancée suite à la détection d’anomalie de cumul de droit (Segregation of Duties), mobilité des collaborateurs… Rendez-vous le 5 juin 2014 pour plus de détail sur les évolutions.