Page 1 © Evidian 2008 1

IAM et habilitations, l'approche par les accès ou la réconciliation globale

04/12/08

Page 2 © Evidian 2008

Les couches archéologiques du Système d’information: Les systèmes centraux

EmployéEmployéEmployésEmployés

Applications

RHRHVentesVentes

Page 3 © Evidian 2008

EmployeeEmployeeEmployésEmployés RHRHVentesVentes

Les couches archéologiques du Système d’information: Les systèmes distribués

Page 4 © Evidian 2008

Les couches archéologiques du Système d’information: Mobilité et ubiquité

EmployeeEmployeeEmployésEmployés RHRHVentesVentesUtilisateursinternes

PartenairesPartenairesEmployésmobiles

Employésmobiles

Utilisateurs externes

Page 5 © Evidian 2008

Le contexte de l’IAM…

Exigences techniquesVirtualisation du S.I.Extension de l'écosystèmeMobilité, accès à l'informationOuvertures de services de plus en plus nombreusesSpécialisation des applications pour chaque métier

Contraintes métiers et légalesTransparence financière et conformitéClarté du système informatique, au service du métierRéduction des coûts opérationnels

Page 6 © Evidian 2008

Par où commencer ?

Des processus d’habilitations existentLes administrateurs des ressources gèrent les droits d'accès existantsLes accès des utilisateurs finaux traduisent l’état réel des habilitations

Premières cibles pragmatiquesRéduction de la complexité : réduire le nombre d'éléments gérésTransparence et visibilité : pas de processus manuels ou non écritsContrôle des coûts : systématiser, mettre en commun

Page 7 © Evidian 2008

La première étape:L’automatisation des processus

Automatiser les processus : projets IAM simplesROI rapide, robustesse accrue

Résoudre les problèmes d'hétérogénéitéRendre l'organisation indépendante du S.I.Prendre en compte l’historique des politiques passées

Domaine IAM Type de projet IAM Objectifs business SponsorsGestion des identités

Provisionnement utilisateur,Synchronisation d'annuaires

Simplification informatique, flexibilité et réduction des coûts

DSI

Gestion des Accès

Single Sign-On (SSO),Authentification forte

Contrôle d'accès, flexibilité et réduction des coûts

Utilisateurs,RSSI

Page 8 © Evidian 2008

Projets de Gestion des Identités

Provisionnement Utilisateur Virtualiser les ressources informatiquesAméliorer l'efficacité de l'informatique en automatisant la gestion des comptes utilisateursGérer les utilisateurs sur la base de leur identité numérique ou profils informatiquesEmpêcher les erreurs manuelles

Synchronisation d'annuairesConstituer une source fiable à partir de sources autoritativesAutomatiser les modifications des identités numériques en cas d'arrivée, changement et départ des utilisateursAutomatiser l'assignation des profils aux utilisateurs

Page 9 © Evidian 2008

Projets de Gestion des Accès

Authentification forteRenforcer la sécurité d'accès au système informatiqueAuthentifier les identités numériques et non les comptes utilisateurs

Single Sign-On (SSO)Réduire les coûts de helpdesk liés à la gestion des mots de passeRenforcer la politique de sécurité des comptes utilisateursAuditer les accès au système d’information

Web Access Management/SSO MobileSécuriser les accès externes aux applications de l'entreprise

Page 10 © Evidian 2008

Bilan de la première étape

L'automatisation des processus régule l'accès des utilisateurs aux ressources informatiques

C'est un bon début mais de nombreuses limitations demeurentPéremption des processus à cause de l'évolution de l'entrepriseAutomatisation sur de multiples organisationsAttente des auditeurs métier: rôles fonctionnels et non profilsGestion de la politique de sécurité de bout en boutMultiplication des profils ou problèmes de granularité

PersonnePersonne IdentitéIdentité ProfilProfil Accès SIAccès SI

Page 11 © Evidian 2008

La deuxième étape:La Gestion des Rôles

Rendre les audits plus clairs en utilisant des concepts métierDéfinir les processus et les rôles au niveau métierIdentifier les risques métier grâce à la séparation des tâches

Faciliter les changements dans l'entrepriseAssigner des droits aux utilisateurs en fonction des rôles métierRépercuter les changements organisationnels ou fonctionnels

Domaine IAM Type de projet IAM Objectifs business SponsorsGestion des Rôles

Outil de définition de la politique de sécurité,Workflow d’approbation,Role mining/engineering

Conformité,flexibilité métier

RSSI,Management, Contrôles internes

Page 12 © Evidian 2008

Bilan de la deuxième étape

La gestion des rôles donne une vue métier des utilisateurs

Mais cet état théorique doit être rendu effectif sur le S.I.Contrôler l'utilisation réelle des comptes du S.I.Prendre en compte les droits existantsLes politiques ne doivent pas rester dans leur "tour d'ivoire"

PersonnePersonne Profil SIProfil SI Accès SIAccès SIRôleRôle

Page 13 © Evidian 2008

Rappel sur la conformité

Une politique de sécurité n'est pas qu'un gros classeur

Comme toute politique :1. Un ensemble de contrôles doit exister

Role management et workflow d'approbation2. Ces contrôles doivent être implémentés

Provisionnement et workflow d'exécution 3. Ces contrôles doivent être efficaces

Access management et reporting

Comment faire pour que tout ceci fonctionne simplement ?

Comment faire pour que tout ceci fonctionne simplement ?

Page 14 © Evidian 2008

Rappel sur la flexibilité

La flexibilité exige de pouvoir orchestrer rapidement les changements d'organisation !

Une décision métier peut avoir de nombreuses conséquencesChanger les rôles utilisateurs, introduisant de nouveaux acteursIntroduire ou réorienter les ressources informatiquesOptimiser les processus sur demandes opérationnelles

Comment orchestrer ces processus avec de nombreux utilisateurs ?

Comment orchestrer ces processus avec de nombreux utilisateurs ?

Page 15 © Evidian 2008

La troisième étapeDonner du sens au puzzle IAM

Défis de conception

Défis techniques

Défis humains

RôlesRôles

IdentitésIdentités

AccèsAccès

??

Mettre ensemble toutes les composantes de l'IAM n'est pas simple

Page 16 © Evidian 2008

La réconciliation globale pour résoudre le puzzle IAM

La réconciliation est un concept unificateur efficace

L'infrastructure IAM est gérable à taille humaineL'audit est facilité: chaque étape est documentéeA chaque domaine son spécialisteLes investissements existants sont conservés et plus efficaces

Chaque organisation définie par avance la portée de la réconciliation et l'impact sur ses

données

Chaque organisation définie par avance la portée de la réconciliation et l'impact sur ses

données

Page 17 © Evidian 2008

La réconciliation de l’infrastructure IAM

IdentitésIdentités

Synchronizationd’Identités

Gestion des Rôles

Audit etReporting

E-mails et Workflows

Standards(SPML)

Provisioning(Legacy)

Gestion desAccès

Page 18 © Evidian 2008

Exemple de déploiement classique de l’IAM

Les étapes classiques de l’IAMConstruire et maintenir une base centrale des utilisateursY intégrer une politique “Qui a le droit d’accéder à quoi”Mettre en place un workflow d’approbation pour les droits d’accèsMettre en place un “provisionnement” automatiqueSécuriser les accès

La difficulté principale: la prise en compte de l’existantIl existe déjà un SI complet et richeIl existe X versions de N processusL’historique des droits est archivé sur de multiples média. Il est à peu près impossible de déterminer qui a donné le droit à qui.Il existe de multiples règles pour la création des identifiants. Pour certaines applications, il est impossible de faire le lien entre un compte et ses utilisateurs.

Page 19 © Evidian 2008

Difficultés de déploiement de l’IAM

Scénario de mise en œuvreImplémentation des agents de provisionnement pour collecter automatiquement les comptes existants dans les applicationsAssignation des comptes aux utilisateursImplémentation des processus de workflow et définition des rôles

ConstatSeuls 30% des comptes peuvent être automatiquement affectés à un utilisateur Affecter un compte manuellement prend au moins 5 minutes

Soit près de 10 jours pour 1500 comptesComptes orphelins ou obsolètes difficiles à détecter

Approche longue et coûteuseLes outils de Role Mining/Role Engineering sont inefficaces sur ce sujet

Page 20 © Evidian 2008

Approche avec la réconciliation globale de l’IAM :Simplification de la prise en compte de l’existant

Exploitation des données de la Gestion des AccèsUtilisation du SSO d’entreprise ou d’un moteur d’auto-enregistrementLes identifiants sont automatiquement collectés lors de la connexion des utilisateurs à leurs applications

Les avantages principaux Moins de 1 jour de configuration par application Seuls les comptes effectivement utilisés sont réellement collectésLes irrégularités sont immédiatement détectées (comptes partagés, usurpés)La collecte assigne automatiquement les comptes aux utilisateursLe SSO est déployé ce qui fournit un avantage immédiat aux utilisateurs.Le SSO renforce la sécurité et réduit les coûts de support

Page 21 © Evidian 2008

La réconciliation des politiques existantes

Qui accède à quelle applicationet avec quel compte ?

Quels sont les droits de chaque compte

dans les applications ?

Qui accède à quelles applications avec quels comptes et quels droits ?

ConstruireConstruire

Page 22 © Evidian 2008

Approche avec la réconciliation globale de l’IAM:Contrôle de l’application des politiques

La Gestion des Identités et des Rôles ne définit qu’un état idéalSeuls les processus d’habilitations et de création des comptes sont sous contrôle complet de l’IAMLes mots de passe peuvent toujours êtres usurpésLes applications n’auditent que les comptes pas les utilisateurs

L’association de la Gestion des Accès contrôle l’application de la politique

Les mots de passe ne sont plus connus des utilisateursL’utilisateur des comptes peut être authentifié fortementL’audit de la Gestion des Accès fait le lien entre un compte et son utilisateur, y compris pour les comptes partagés ou déléguésLes politiques de gestion des mots de passe sont centralisées et appliquées

Page 23 © Evidian 2008

L’application des politiques d’accès

Accès aux applicationsavec les comptes autorisés.

Audit des accès.

Création des comptes avec les droits appropriés

Qui accède à quelles applications avec quels comptes et quels droits.

ContrôlerContrôlerle cycle de viele cycle de vie

de l'identitde l'identitéé

ContrôlerContrôlerl'accl'accèèss

Page 24 © Evidian 2008

Les avantages de la réconciliation globale

Rentabiliser les investissements existants

Accélérer le déploiement de la Gestion des Rôles

Rendre effective la politique de sécurité

Consolider les données des audits