Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

KleverDays 2010 : sous le signe de la GRC et du Role Management

juin 2010 par Marc Jacob

Kleverware a organisé à Paris sa convention annuelle, Klever Days 2010, sous le signe de la GRC (Governance, Risk, Compliance) et du Role Management. Après le traditionnel message de bienvenue de Bertrand Augé, Manager Général, qui a fait un retour sur les faits marquants de 2009 et donné sa vision de l’évolution de son entreprise pour les trois prochaines années, Emmanuel Cosperec, responsable opérationnel de la business line IAM de Solucom, a dressé un rapide panorama de l’évolution de l’IAM. Puis Alexandre Huyn Van Loc, ingénieur et Arnaud Fléchard, responsable R&D, ont présenté à la fois l’offre de Kleverware et donné les grandes tendances des évolutions des solutions de l’éditeur.

Bertrand Augé

Selon Bertrand Augé, le marché de la GRC est en pleine croissance. Il est tiré par l’Identity & Access Gouvernance et par le Role Management. Aujourd’hui, l’opposition entre les métiers et l’IT commence à s’aplanir et ces deux services travaillent de plus en plus ensemble afin de répondre de concert aux impératifs de normes et de règlementations. Toutefois, les entreprises se servent principalement de tableaux Excel comme outil de conformité ce qui aujourd’hui devient insuffisant car les entreprises ont besoin d’outils automatisés capables de s’intégrer rapidement et facilement dans leur SI et de prendre en compte les mouvements de personnels. Il devient primordial de commencer par faire une cartographie de l’ensemble d’une SI pour mettre en place une gestion des rôles. Ainsi, Kleverware va développer d’ici à 2013 des solutions de gouvernance des identités et des accès afin de réduire les risques et mettre en place des solutions de conformité réglementaire. Puis, il a cédé la parole à Emmanuel Cosperec, responsable opérationnel de la Business Line IAM de Solucom. Pour ce cabinet d’audit indépendant, une démarche de GRC a vocation à renforcer la maîtrise des risques avec une démarche en deux volets : Comment maîtriser les risques et un volet pour la gestion de la conformité réglementaire. La dimension gouvernance nait de l’exploitation conjointe des résultats de ces volets en s’appuyant sur des tableaux de bords. Dans tous les cas, un projet d’IAM doit impliquer le management et sur les métiers. Il a rappelé qu’une démarche de GRC s’inscrit dans une démarche ISO 27001.

Concernant la gestion des identités, il a rappelé que les principaux problèmes ne viennent pas lors de l’intégration des collaborateurs mais plutôt proviennent des changements de fonction ou de poste et surtout lors des départs. Il est donc important de veiller à ce que les bonnes personnes aient les bonnes habilitations au travers de processus automatisés. Il faut donc déployer des contrôles a priori. Le role management permet de rajouter une couche d’abstraction entre les personnes et la manière dont sont modélisées les habilitations. L’objectif est de rendre plus intelligible par les acteurs des métiers les rôles applicatifs. L’enjeu est de déléguer l’attribut des rôles métiers aux acteurs des métiers. Emmanuel Cosperec estime que dans les grands comptes les reporting et les audits sont bien développés. De même pour les workflow d’habilitations. Par contre, le Role Management, le reporting et l’audit avancé sont des solutions dont la maturité est en progression. Enfin, les systèmes de rectification des accès par les métiers et de revalidation réguliers des habilitations sont en devenir. Il a conclu son intervention en rappelant les bonnes pratiques en matière d’IAM et de Role Management en partant de la gouvernance des projets, en passant par les processus de gestion pour terminer sur les modèles d’habilitation. Pour lui, la GRC est un concept marketing qui apporte beaucoup à la façon de gérer les habilitations. Les outils existent et sont matures et performants. Par contre, l’expertise et le bon sens sont des atouts importants pour le déploiement de telles solutions.

Alexandre Huyn Van Loc, ingénieur, a présenté les principales innovations des suites de Kleverware. Ainsi, Klever Audit Suite 2010 intègre des composants serveurs. K-Transform 2010 offre des possibilités d’utiliser des masques binaires pour interpréter certaines données numériques. Il prend en compte des formats de date, des composants additionnels... K-Mapping permet dorénavant de faire la jointure entre des fichiers ayant des données communes. Les nouveautés de K-Audit concernent la partie Ultimate avec des améliorations des processus d’envoi de mail et une meilleure ergonomie de l’édition des rapports. Toutefois, la principale nouveauté est l’apport de composant serveur avec K-team Server et K-Scheduler Server. Le premier est un outil de collaboration qui s’interface avec K-Transform, K-Audit et K-Mapping. K-Scheduler permet de configurer et d’adresser les mails.

Arnaud Fléchard, responsable R&D, a proposé à l’audience une feuille de route d’amélioration pour Klever Audit Suite et Klerver Management Suite. Comme à son habitude Klerverware validera les différentes options proposées à la fin de l’été après dépouillement des remarques des utilisateurs présents lors de cet événement.
Les améliorations concernent l’ensemble des solutions avec, entre autre, pour K-Transform la prise en charge de nouveaux formats comme XLSX, XML… Pour K-Audit, il s’agit de la définition de convention de nommage rattaché à n’importe quel champ et l’amélioration de tableaux de bord analytique... Quant à Klerver Management Suite, la vision de Kleverware passe par l’amélioration des fonctions de Role Management et une gestion qui passe par la normalisation des droits pour la définition des rôles applicatifs. Le pilotage des habilitations passera par les métiers avec une construction des rôles en prenant en compte l’existant. L’objectif sera de concilier les approches Top Down et Botton Up. Ainsi, les nouveautés de cette suite devraient suivre cette évolution avec des fonctionnalités de Role Mining pour la création des rôles. K-Building devrait donc proposer un suivi de l’adéquation du modèle avec la réalité des habilitations.

Au niveau de la stratégie, Bertrand Augé a confié qu’il était en phase de recherche d’investisseur pour faire une levée de fonds. De plus, il a des contacts relativement avancés outre-Atlantique en particulier au Canada.




Voir les articles précédents

    

Voir les articles suivants