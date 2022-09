septembre 2022 par Marc Jacob

A l’occasion de l’édition 2022 des Klever Days Bertrand Augé fondateur de Kleverware a annoncé la version 17 de Kleverware IAG développé sur la nouvelle plate-forme microservices nommé « Eagle » et le partenariat avec Inwebo et avec Wallix. Un des points fort de la matinée a été le retour d’expérience d’un client issu d’une grande assurance française.

Bertrand Augé et Arnaud Fléchard

Arnault Flechard CTO et confondateur de Kleverware a présenté Kleverware IAG et sa nouvelle version, depuis 2005 le leitmotiv de Kleverware est « Qui a le droit à quoi ? » L’objectif est de travailler sur les processus en complément d’une solution d’IAM. Kleverware IAG propose une gouvernance des cycles de vie des identités ce qui implique de faire des inventaires des droits et accès. La solution vérifie la cohérence des accès. Enfin, elle améliore la maîtrise des risques et de la conformité en s’assurant des légitimités des accès. L’objectif reste d’être conforme aux législations sectorielles. Ainsi la solution Kleverware IAG collecte des informations en format natif et les mets en forme pour la modéliser fidèlement aux SI. Elle fait aussi de la revue de droit en vérifiant que les bonnes personnes aient les bons droits. Des revues sont ciblées sur les situations dites à risque. Il est aussi possible de cibler ces revues de droits. L’ensemble est auditable et conforme aux demandes de l’audit interne. Lors de la gestion des mouvements arrivées, départs, changements de fonctions... des campagnes sont lancées ce qui conduit à une réduction des risques. Des matrices d’habilitation des droits sont intégrées dans l’outil qui servent lors des campagnes de recertification cela facilite la tâche des équipes et la qualité des revues de droits. Ainsi, des tableaux de bords sont proposés pour faciliter la tâche des auditeurs.

Kleverware et Inwebo : une offre complémentaire

Guillaume Absi, Channel Manager d’Inwebo Group a présenté son entreprise et son intégration avec Kleverware IAG. Inwebo est une société français créée il y a une dizaine une d’année. La société est forte de 350 clients dans le monde. Elle possède ces propres infrastructures. Sa solution sécurise les identités dans pour le B to B que pour le B to C. Elle permet avec un point d’accès unique de sécuriser les accès et les services en connectant les identités et les applications. Une brique de MFA (Authentification Multi-facteurs) permet de renforcer la sécurisation des transactions. Ainsi la solution d’Inwebo vient en complément de Kleverware IAG. La brique des accès et des identités vont alimenter la partie gestion de la gouvernance. Les deux s’alimentent mutuellement.

Kleverware Wallix : Une longue histoire pour le meilleur de la sécurisation des accès

Puis Julien Cassignol Directeur Sales et Frédéric Sarrat Général Manager de Wallix ont rappelé la relation historique qui lient les deux sociétés. Wallix est un éditeur de logiciel français présent en Europe et aux États-Unis. Elle revendique plus de 2000 clients avec un modèle de vente indirecte fort de 300 partenaires dans le monde. Elle a environ 200 collaborateurs dont une centaine en France. Elle a plusieurs certifications de l’ANSSI et a été reconnue cette année par le Gartner parmi les leaders de son cadran magique. Ses solutions proposent de sécuriser les accès à privilège avec entre autre PAM4ALL sa nouvelle offre sortie en 2022. Wallix propose de la gestion des sessions qui surveille la session en regardant le trafic et en analysant les flux pour permettre l’audit. Elle permet l’authentification via Bastion et la gestion des mots de passe. A travers de son MFA elle vérifie les accès, la gestion des privilèges pour éviter au niveau de la ressource que les droits d’utilisation soit les moins persistants possibles et pour que les privilèges soit accorder pour une durée et des droits limités.

Puis Julien Cassignoles a expliqué l’intérêt de l’intégration avec Kleverware IAG. Dans un contexte de PAM, le CIEM devient obligatoire a-t-il expliqué. Le premier cas d’usage est de détecter l’obtention de droits excessifs. Le point de contrôle reste Kleverware IAG et le contrôle des accès à privilège passe par la solution de Wallix.

Le deuxième cas d’usage est de vérifier la cohérence des droits et des fonctions. Par comparaison entre les droits des collaborateurs de même fonction on peut trouver des anomalies au niveau des droits. Ceci permet d’avoir une meilleure gestion des droits à privilège.

Quand Kleverware IAG simplifie le travail des équipes IT

Par la suite un client de Kleverware appartenant à une grande institution financière française a fait un retour d’expérience de Kleverware IAG. Il explique qu’au sein de son entreprise trois personnes supervisent la gestion des droits et une centaine de personne sont des administrateurs délégués à la gestion des droits et des habilitations. Les administrateurs délégués doivent vérifier que les nouveaux arrivants ont les bons droits par rapport à leur fonction. Ainsi, ils ont été amenés à déployer Kleverware IAG au sein de leur groupe. Lors de l’arrivée d’un nouvel entrant, un circuit a été mis en place qui commence par une déclaration de la RH. Puis le manager intervient dans le processus et valide ses demandes pour le nouvel entrant. Les administrateurs doivent vérifier les droits demandés afin qu’il n’y ait pas de trop de droits attribués par les managers. Des dérogations peuvent être données au cas par cas. Des matrices d’habilitation ont été construites afin de connaître les paramètres nécessaires aux droits. Dans ce cadre, cette entreprise utilise Kleverware IAG depuis les années 2000 à l’occasion d’un de leur projet d’entreprises pour revoir les droits Mainframe que possédaient les utilisateurs. Pour ce projet, ils ont utilisé Kleverware KAudit. Ils ont travaillé avec les managers pour connaître ce dont il avait besoin comme type de droits selon les profils d’utilisateurs. Ils ont pu supprimer des centaines de profils et de faciliter le travail de révision de droits qui était fait auparavant à partir de fichier Excel. Au départ uniquement 4 à 5 personnes utilisaient KAudit. En 2012, la société a acquis la solution Kleverware IAG qu’elle a ouvert à l’ensemble des administrateurs délégués soit une centaine de personnes. Ils ont travaillé avec Kleverware IAG pour mettre en place la recertification puis les revenus de droits. Aujourd’hui, elle utilise deux instances : une pour la gestion des droits un managériales et une seconde pour les administrateurs. Aujourd’hui 180 collaborateurs parmi lesquels administrateurs et les équipes de qualité de services utilisent cet outil. Les auditeurs ont aussi un accès. 85000 personnes sont répertoriés, 150000 comptes et 284000 SA Open pour les outils distribués sont répertoriés. Kleverware IAG reçoit tous les jours environ 140 fichiers avec des formats hétérogènes. Tous les mois Kleverware IAG fournit des fichiers d’écarts. 5 campagnes de recertification sont lancées tous les ans. Pour les distributeurs agents d’assurances trois campagnes sont lancées par an. Chaque campagne dure environ deux mois. Il y a environ 37000 mouvements par an dans la société en se basant par les fichiers RH. Les fonctionnalités de recertification sont appréciées aussi par l’audit interne.

Il note que les administrateurs délégués peuvent, lors de la recertification ou en consultant la fiche d’un utilisateur, effectuer des suppressions de droits. Ces demandes sont personnalisées soit ils utilisent les outils de workflow d’habilitation soir directement via Kleverware IAG qui va créer un mail en direction de « l’implémenteur » pour supprimer des droits. Le mail génère aussi un ticket dans l’outil de ticketing. Lorsque l’on passe par Kleverware IAG la tâche des administrateurs est facilitée d’autant que des traces sont conservées. De plus, les demandes sont automatisées et adressées aux bonnes personnes. Les demandes sont suivies dans l’outil de leur premier envoi jusqu’à la réalisation de la suppression. Il est possible d’avoir des alertes de suivi des demandes.

L’administrateur délégué fait tous les jours de la détection des départs, arrivées et mouvements. Pour ces derniers des détections spécifiques à la population concernée sont lancés. Pour les agents, les courtiers, les distributeurs des droits automatisés sont donnés ce qui facilite les campagnes de certification.

Quant aux campagnes de recertification qui sont lancées des rapports sont fournis qui sont conforme aux demandes des différents types d’auditeurs. La tâche est facilitée par des certifications automatisées pour les personnes qui n’ont pas eu de changement dans leur profil entre deux campagnes de certification. Il a donné un exemple d’une campagne de certification sur une population de plus de 3200 distributeurs soit de plus de 25000 habilitations en utilisant les matrices, 98% des comptes étaient prévalidées ce qui a réduit considérablement le temps passé.

Au final il a travaillé de 2013 à 2017 avec les équipes de Kleverware en faisant évoluer la solution en commun. Il a participé à l’évolution de l’outil de recertification organisé en verticale par action budgétaire et unité managériales qui a permis de faire évoluer les légendes et les indicateurs. Enfin il a aussi participé au modèle des mouvements organisés et horizontale par action budgétaire.

Kleverware IAG version 17 : Prenez de la hauteur avec « Eagle »

Arnault Flechard a conclu cette matinée en présentant les évolutions majeures de Kleverware IAG avec la plateforme surnommé « Eagle ». Elle repose sur le retour d’expérience de tous les utilisateurs. Elle va vers l’IGA pour mieux contrôler les workflow dès cycle de vies des identités dans l’entreprise. Pour Arnaud Fléchard, cette solution est en mesure de devenir le référentiel des identités. Ainsi, ces technologies sont prêtes pour prévoir les interconnexions au SI Bien sur la recertification reste identique. L’architecture Cloud a été revue en micro services pour accélérer les déploiements. Il est possible de personnaliser l’interface aux couleurs du client. Elle responsive au mobile, tablette... la solution est conforme au RGPD en mettant par exemple les délais de purge des bases de données selon la politique de l’entreprise. Des interfaces spécifiques sont fournies aux intégrateurs. Dans la nouvelle version on pourra faire des rafraîchissements partiels des différentes applications contenu dans Kleverware IAG. Elle propose aussi des personnalisations en direction des utilisateurs finaux. Le but est d’améliorer l’expérience utilisateurs en lui faisant gagner du temps.

La solution propose plusieurs langues en plus du français qui sont interchangeable sur un simple clic. Il est aussi possible de créer des requêtes multiples par exemple pour connaître toutes les personnes qui ne se sont pas connecter depuis un certain laps de temps. On pourra construire autant de tableau bord que l’on souhaite afin de suivre les évolutions par type de requêtes, par verticaux, comme AD, Mainframe, RGDP par habilitations... ceci pour détecter la moindre anomalie.

Grâce à sa version Cloud, cette infrastructure pour 2000 identités coûte 2€ par jour. Il est possible de rendre l’infrastructure élastique en fonction des heures de connexion.

Dans une première phase bêta, la solution, qui va utiliser la plateforme Inwebo pour l’authentification, va être testée par des clients. Cette phase va durer quelques mois pour arriver à une version officielle en mars 2023. . Après, la sortie de Kleverware IAG Eagle version 17 il pense proposer une version majeure tous les 6 mois. Ainsi une version CIEM devrait être proposée vers la fin 2023. La recertification va être déployée sur cette version et aussi des applications autour de la demande et de l’approbation de droit à partir de 2024. Il a conclu son intervention en rappelant le slogan de cette nouvelle solution : Tout en prenant de la hauteur, aucun détail n’échappera à votre vigilance avec Kleverware IAG !