Bertrand Augé

En guise d’introduction à l’édition 2012 des KleverDays, Bertrand Augé, Directeur de Kleverware, a rappelé les principales tendances de 2011/2012 du développement de son entreprise. Ainsi, Kleverware a entrepris de simplifier ses offres afin de répondre aux attentes de ses clients en regroupant ses solutions sous l’appelation Kleverware Identity & Access Governance. Durant cette année, une refonte de son site Web a été réalisée. Bertrand Augé a aussi annoncé un nouveau mode de collaboration « le Démarrage Agile » afin de répondre au mieux aux problèmes concrets des clients. La société a aussi poursuivi son expansion vers l’international. Enfin, il a annoncé la poursuite du soutien d’Oséo.

Éric Doyen

Le BYOD sous l’angle de la gouvernance des accès

Eric Doyen a proposé sa vision du BYOD sous l’angle de la gouvernance des accès, en posant tout un ensemble de questions nécessaires à envisager avant de passer à ce concept. Il a, en introduction, présenté une étude d’IDC qui montre que 34% des utilisateurs accèdent au SI via leur devices, alors que 69% des utilisateurs prétendent se connecter au SI avec leur propre device. 91% d’entre eux seraient peu favorables à ce que la société puisse effacer les données de leur device. 80% des personnes interrogées seraient contre le fait que leur société leur impose un nouveau mode d’accès pour entrer sur le SI, par exemple un PIN code pour signer leur device. 47% d’entre elles ne souhaitent pas recevoir des informations par un push mail. En 2014, on devrait, selon cette étude, avoir plus de 60% des entreprises qui feront du BYOD.

Le BYOD, mythe ou réalité ?

D’où vient le BYOD ? Selon Éric Doyen, il y a une confusion sur l’expression du besoin, les gains économiques, la productivité… Selon des études surtout anglo-saxonnes, le BYOD serait source de productivité, d’économie (TCO), mais procurerait aussi une « image » positive afin d’attirer des jeunes à fort potentiel, une souplesse dans la politique RH, de la sécurité et serait un outil de lutte contre la fuite d’information, et un tremplin pour le SSO… Éric Doyen a plus ou moins remis en cause la validité de toutes ces études, fort de son expérience terrain.

Selon Éric Doyen, s’il y a beaucoup de littérature, les exemples de BYOD en entreprise sont peu nombreux. Il a cité entre autres JP Morgan, UBS, Total pour les Smartphones, et Cisco et Kraft Food pour les PC.

Quels impacts sur son organisation ?

Pour Éric Doyen, on a peu mesuré les risques, pourtant ces derniers sont bien réels, comme par exemple : les risques sur la protection des données et des informations, la continuité d’activité, les droits d’auteurs et la propriété industrielle, la responsabilité de l’entreprise vis-à-vis des partenaires, clients… enfin la perte du contrôle d’information avec les problèmes liés à la dissémination rendant l’application du DICP difficile…

Éric Doyen considère qu’une bonne gouvernance implique de réaliser une cartographie des risques dans laquelle on se posera les questions suivantes :
– A-t-on évalué ou réévalué les risques liés à ces nouveaux usages ?
– A-t-on en projet un modèle de distribution adapté à ces nouveaux services ?
– Peut-on libérer les outils, les ressources… en dehors de la bureautique ?
– Et pourquoi les Web Suite ? Dans la mesure où des connecteurs existent, ne devrait-on pas délivrer des services full web ?

Le BYOD, un inconfort incontournable, mais… ?

Dernière le mot productivité, y a- t-il du confort ou de l’inconfort ? Voire n’est-ce pas plutôt de l’image en faisant fi des risques ? En regardant de plus près, le BYOD s’articule sur 3 piliers :

– La sécurisation du sans fil ;

– La sécurisation des accès et la gestion des profils ;

– Le management, la gestion du endpoint, en fait du matériel se trouvant dans les mains de l’utilisateur quelle qu’en soit sa forme.

Tous ces points risquent d’augmenter les coûts d’accès au BYOD.
Doit-on signer un engagement de l’utilisateur ou un simple contrat « moral » suffit-il ?

Suivant la maturité des équipes, on n’est pas tous égaux devant le BYOD. Dans ce cadre, il faut se poser plusieurs questions :

Quid de la politique de NAC ? Comment contrôler la conformité des matériels et des applications connectés au SI de l’entreprise ? Quel est le mode d’authentification à utiliser en mode nomade ? Le bureau de l’utilisateur est-il unifié, virtualisé au travers de différents matériels qui lui sont mis à disposition ? Les utilisateurs sont-ils sensibilisés aux risques propres à ces usages en mobilité ? Telles sont les principales questions auxquelles doivent répondre les équipes IT.

Quels impacts sur la gouvernance ?

Ils sont nombreux à commencer par ceux sur :
– L’authentification et la gestion des accès profilés et du rôle management
– La traçabilité des connexions au SI et des ressources avec des systèmes de log management
– L’identification et le contrôle des informations « sensibles » pour l’entreprise
– L’exigence du bureau unique
– L’impact et la mesure du « tout le temps, de n’importe où, à partir de n’importe quel moyen » ?
– L’isolement personnel versus professionnel est-il envisageable ?
– Quels impacts sur le mode de management ?
– Enfin, le retour en arrière est-il possible ?

Que faire en tant que RSSI ?

Le RSSI doit convaincre que le motif évoqué ne peut pallier le retard pris en termes d’architecture, de poste de travail…
Le RSSI doit donc en faire un cheval de bataille pour définir le « bureau virtuel 2014 » de l’utilisateur comme un service
Il doit revoir les chartes et politiques tout comme le demanderont les RH et les services juridiques comme moyen de définir la « juste » ligne employeur-employés
Enfin, Éric Doyen a recommandé de ne pas laisser de zones d’ombre concernant cette ouverture car il n’y a pas de raison d’être plus permissif, sauf à revoir l’analyse de risques.

Au final, le BYOD remet donc en cause les systèmes de gouvernance. Ce peut donc être une bonne idée à fort risques en cas de mauvais usages… sans maîtrise de son information, "Back to Basics !" a-t-il conclu.

Arnaud Fléchard
Kleverware aujourd’hui et demain

Arnaud Fléchard, Directeur technique de Kleverware, a présenté la roadmap de Kleverware en commençant, en premier lieu, par l’offre actuelle avec la suite de Kleverware Identity & Acess Governance (IAG), sa solution pour la gouvernance des accès. Avec cette solution, l’approche de Kleverware est non intrusive, car elle part des extractions natives des différentes plateformes : LDAP, TSS, RACF, AD… avec la solution K-Transform. K-Mapping va permettre de faire de la corrélation de comptes. De son côté, K-Audit offre l’audit, le contrôle et le reporting. K-Server (regroupement de K-Team Server et K-Scheduler) va permettre, pour sa part, de faire le travail collaboratif et l’industrialisation. Le Role Mining avec K-Role Building est assuré dans IAG. Cette solution prend en compte les normes et règlementations. Elle permet d’aider à la création de rôles métiers et profils applicatifs. Enfin, K-Extract permet avec :
– ACL Reader for Windows de récupérer des ACL sur les partages (serveurs bureautiques/partages NAS),
– Access Granted Reader for Windows : récupération des Groupes Locaux & Utilisateurs locaux sur les postes Windows,
– Access Granted Reader fo Sharepoint : extraction des habilitations des environnements Sharepoint

Kleverware devrait proposer dans le futur Services Accounts Readers for Windows pour la collecte utilisée pour les services Windows.

Concernant les indicateurs et la conformité, Kleverware va renforcer son module. Au niveau des règles de conformité, les indicateurs ont des résultats paramétrables afin de donner une échelle de valeur sous forme graphique. De plus, l’implémentation a été améliorée, ce qui permet de créer une règle de conformité en quelques minutes. Un tableau de bord est aussi fourni de façon graphique par niveau, par catégories… et bien sûr de façon globale. Les indicateurs de conformité sont intégrés dans des rapports.

Pour ce qui est de K-Role Building, cet outil va permettre d’aider à la construction des rôles pour aller vers une gestion des droits par profils applicatifs et va offrir le pilotage des habilitations par rôles métiers. Ainsi, cette solution va proposer des rôles en partant d’une cartographie de l’existant afin d’arriver à une politique de gestion des habilitations par les rôles. En cas de différences entre le modèle et la réalité des habilitations, il sera toujours nécessaire de faire des ajustements en analysant les différences.

Vers la « Webisation » de l’offre de Kleverware

K-Audit Web Access est un portail web pour la consultation des habilitations qui sera mis en ligne au 4ème trimestre 2012. Cette solution capitalise sur le MCI déjà créé pour K-Audit. Cette solution a été mise au point avec des utilisateurs finaux qui l’ont testée durant toute sa phase de développement. Au final, un des points forts de cette solution est que la présentation de l’interface web est personnalisable pour chaque client. Dans le futur, cette solution devrait être un véritable portail pour la gestion des accès.

En outre, K-Recertification Manager, une solution pour lancer des campagnes d’habilitation, sera prochainement proposée. Elle intègre 3 composants pour gérer l’ensemble du cycle : la conception des formulaires des états de Recertification pour pouvoir faire des campagnes d’habilitation plus fréquentes, les rappels… via des emails. Il y aura aussi la possibilité de faire de la revue de compte suite à la détection d’anomalies. A chaque règle, on pourra définir le workflow de traitement des anomalies. Cette solution sera disponible en 2013. Dans le futur, K-Recertification Manager Online sera également proposée avec un accès et un transfert sécurisés.