Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

RIAMS 2013 : l’IAM indispensable ou une simple obligation règlementaire ?

mai 2013 par Marc Jacob

« L’IAM est-il indispensable de la sécurisation des SI ou une simple obligation règlementaire ? » Telle était la question posée à un panel d’expert constitué& d’un RSSI entouré par Gaël Kergot, de CA Technologies, d’Olivier Melis de Cyber-Ark, d’Arnaud Gallut de Dell-Quest, de Pascal Colin de Keynectis-Open Trust et d’Anne-Gabrielle Saint-Joigny de Venafi. Cette thématique a été introduite par Anthony Cirot, Directeur Security Systems d’IBM Software. Cette table était animée par Nicolas Arpagian rédacteur en chef de « Prospective Stratégique » .

En préambule Anthony Cirot expliqué comment IBM pouvait répondre aux besoins des RSSI avec sa gamme de solutions qui vont de la gestion des identités, à la gestion des log en passant par la fédération des identités. Sans compter bien sûr, les challenges liés à la mobilité et au « Social », pas seulement Facebook, mais aussi le réseau social des entreprises et l’e-reputation qui doivent être particulièrement surveillées. Il a rappelé l’importance de déployer des solutions pour se préserver de la menace interne via des solutions de corrélation en relation avec de la gestion des identités. Pour lui, on a souvent dans l’entreprise un nombre d’utilisateurs a privilèges beaucoup plus important que l’on veut bien le croire et ce ne sont pas seulement les gens de l’IT ! Pour un RSSI d’un grand groupe international qui compte plus de 350.000 employés dans le monde il y a deux risques : le premier est la continuité d’activité et le second, la protection du savoir faire. Pour le premier risque, on se trouve face à un empilement de couches d’applications et des employés répartis dans le monde entiers. Pour remédier à ces problèmes, il a mis en place un système de rationalisation des Data Centers avec une vigilance particulière sur les comptes à privilège. Pour le second risque, la fuite d’information, il a cherché à simplifier le nombre de mot de passe en restant simple avec deux niveaux d’authentification. Il a cherché à réduire les accès en fonction du métier de chaque collaborateur. Pour Arnaud Gallut de Dell-Quest, la question principale est : quels sont les bénéfices pour les clients du déploiement de l’IAM. Il a rappelé qu’il était important que ce déploiement sert aux métiers au quotidien. Il estime que l’on peut aujourd’hui parler de ROI en matière d’IAM. Effectivement, a repris Olivier Mélis de Cyber-Ark, le ROI peut être calculé. Par ailleurs, il a précisé que les entreprises doivent se centrer sur l’analyse de risque et la conformité. Il a rappelé que la conformité peut permettre de détecter des problème. « Nous sommes alignés sur la position de l’ANSSI qui explique qu’il faut surveiller les comptes à privilège » a-t-il insisté. Pour lui, ils doivent faire partie des premiers projets. Il est important de faire en premier une cartographie du SI pour trouver ces comptes et vérifier comment ils sont utilisés. En revanche, ce RSSI estime que le ROI est certes important, mais il faut surtout prendre en compte la valeur que l’on va apporter à l’entreprise. Cette valeur est vérifiable le jour où un nouvel entrant dans l’entreprise peut avoir ses accès en quelques heures ! Pour lui le problème principal du déploiement d’une solution d’IAM reste celui de l’organisation et non celui de l’implémentation technique. Pour cela, il faut travailler avec les RH. Il faut que dans l’organisation il y ait un véritable référentiel RH. Il est aussi important de faire régulièrement de la re-certification en moyenne tous les 6 ou 12 mois afin de valider que les habilitations données à chaque collaborateur sont toujours valides. Il faut aussi pouvoir sortir rapidement cette donnée pour les auditeurs. Effectivement, cette traçabilité est importante mais il faut aussi apporter à l’utilisateur un bon niveau d’automatisation des accès. Pour Arnaud Gallut, un des premiers critères est l’ergonomie de la solution afin d’éviter aux utilisateurs de passer trop de temps pour s’authentifier. Dans l’entreprise de ce RSSI, c’est le responsable du collaborateur qui gère les demandes d’habilitation. Ainsi, pour lui la difficulté est de créer par pays, ou par site le vocabulaire métier pour créer ces habilitations.

Anne-Gabrielle Saint-Joigny de Venafi estime qu’il est important d’avoir un visibilité des échanges entre machines. Gaël Kergot de CA Technologies pense que l’identité représente une valeur clé dans l’innovation et la compétitivité de l’entreprise. Dans les systèmes hétérogènes dans lequel on travaille aujourd’hui, il faut une gestion d’identité très fine pour en tirer de la valeur. L’identité dans les années à venir va permettre aux entreprises d’être plus compétitive. Pour Pascal Colin de Keynectis, on doit apporter le moyen de faire mieux à son business. Dans ce cadre, la PKI alliée à la signature électronique donne une valeur ajoutée et non une contrainte. Le Cloud va sans doute obliger les RSSI à se réoccuper de l’identité car elle redevient stratégique. Anne-Gabrielle Saint-Joigny a rappelé les résultats de l’étude faite avec l’Institut Ponemone : « les entreprises ne connaissent pas le nombre de certificats qu’elles ont et où ils se trouvent ! Ce qui peut engendrer en particulier pour certains sites marchands des pertes financière extrêmement importantes. » Selon Pascal Colin quelque soit l’entreprise, il faut toujours penser aux usages que l’on va faire de l’identité. Gaël Kergot de CA Technologies explique que de nombreux projet de cartes à puce qui ont eu du mal à aboutir jusqu’au moment où par exemple on y a inclus les jeton pour le café, ou l’accès à la cantine… Pour ce RSSI, le problème est de présenter par avance les risques à ses dirigeants. Par la suite, à eux de les assumer ou de les prendre en compte. Gaël Kergot a posé la question de l’intérêt de gérer les identités dans le Cloud. Pour ce RSSI, on peut tout réaliser dans le Cloud, mais il ne faut pas que l’entreprise perde la gestion des accès. D’ailleurs, un des risques de la fuite de données reste la gestion des accès. Pascal Colin est tout à fait d’accord. Il a vu des industriels qui ont opéré une PKI en interne, préférer aujourd’hui l’externaliser. Les dogmes sur l’externalisation sont entrain de changer. Bien sûr, cela passe par des SLA et de la sécurité. Une fois cette étape passée, l’externalisation n’est plus un problème. Effectivement, repend Anne-Gabrielle Saint-Joigny, l’externalisation des certificats peut-être un avantage car le prestataire prend à son compte le renouvellement de tous les certificats.




Voir les articles précédents

    

Voir les articles suivants