in

La gestion des accès toujours au cœur de la SSI – Synthèse de la conférence thématique du CLUSIF du 19 octobre 2016

Le 19 octobre, s’est tenue la conférence du CLUSIF sur la gestion des accès. Thierry Chiofalo a rappelé que les enjeux de l’Identity and Access Management (IAM) sont au cœur de la sécurité des systèmes d’information. Les organisations doivent protéger leurs secrets industriels, les informations qui pourraient intéresser la concurrence, leurs bases clients mais doivent également répondre à des critères de conformité de plus en plus exigeants (RGDP, données de santé, données financières, etc.). Pour répondre à tous ces besoins touchant notamment la confidentialité des informations, l’objectif de l’IAM va être d’apporter une authentification fiable et des autorisations appropriées.
Pour autant, si chacun convient que l’IAM est un point central de la sécurité des systèmes d’information, un tel projet soulève des problématiques variées auxquelles il convient d’être préparé. Les parties prenantes sont multiples (ressources humaines, RSSI, responsable des applications, hiérarchie, contrôle interne, etc.), le périmètre est souvent très large (salariés, stagiaires, prestataires externes). Les défis sont nombreux avec l’apparition des objets connectés, le développement des relations avec les clients et les partenaires et, enfin, il convient de relier la sécurité logique à la sécurité physique, a souligné Thierry Chiofalo.

Le groupe de travail IAM au sein du CLUSIF, mené par Olivier Morel (société Ilex) planche sur le sujet depuis maintenant deux ans et va publier à la fin de cette année un guide pratique d’implémentation des projets IAM/AG (Access Governance). Il s’adressera à tous ceux qui doivent mettre en œuvre tout ou partie d’un projet IAM dans leurs organisations. Le groupe de travail a choisi de déterminer trois modules fonctionnels qui couvrent les étapes du projet : avant, pendant et après. Sont ainsi abordés L’Identity Management (annuaire des identités, cycle de vie des utilisateurs, gestion des habilitations), l’Identity & Access Governance (revue des habilitations, gestion des rôles), l’Access Management (fédération des identités, Web Access Management, Enterprise Single Sign-On, authentification forte).

Trois entreprises ont accepté de partager leur expérience de mise en place d’un projet IAM :

IAM PSA : 16 ans déjà ! Valérie CHASSAING, PSA

Tout d’abord, le groupe PSA qui a entamé son projet il y a maintenant seize ans. Valérie Chassaing est revenue sur les réussites, les moments complexes et les bénéfices du projet. Le premier « répertoire unique des personnes » de PSA est né en 1991. Mais c’est en 2000 que démarre véritablement le projet IAM de PSA. Il faudra 10 ans pour mettre en place les briques de la solution et, depuis, le projet vit des évolutions permanentes. La sécurité logique est désormais reliée à la sécurité physique. Sans badge, il est impossible de se connecter au système d’information de l’entreprise, mais également de pénétrer sur les sites. Les aspects B2B sont opérationnels puisque si un fournisseur déclare qu’une personne n’existe plus chez lui, automatiquement, elle n’existe plus chez PSA. Le projet IAM du groupe compte quelque 445 000 identités dont 115 000 internes, 17 800 rôles applicatifs pour 3 000 applications et 30 400 groupes logiques.

Les droits sont gérés par un responsable de sécurité logique de direction qui supervise un administrateur de la sécurité logique (périmètre de sécurité), un propriétaire de rôle applicatif (application) et un responsable de groupe logique (communauté). Il existe une quinzaine de responsables de sécurité logique de direction.

Le projet IAM a apporté au groupe un outil d’administration de sécurité unique pour toutes les applications, une administration déléguée à des utilisateurs métiers, une automatisation de toutes les mises à jour techniques dans les cibles (AD, SAP, TSS, LDAP), il permet une attribution et un retrait des accès en quelques minutes, la traçabilité des actions d’administration des identités et de leurs habilitations. Pour Valérie Chassaing, l’IAM PSA est « un des piliers majeurs de la sécurité » du groupe.

Toutefois, le projet présente des limites. À titre d’exemple, les principes de l’époque, en 2000, ne sont plus vrais aujourd’hui. Le groupe était alors très stable. Or l’environnement est aujourd’hui plus mouvant. PSA a absorbé de nombreuses entreprises et personnels, ceux-ci sont souvent hors des sites « historiques » de PSA et les administrateurs de plus en plus éloignés de leurs utilisateurs. La technologie est désormais vieillissante. La solution technique retenue est particulièrement complexe car elle devait répondre à un niveau d’abstraction fonctionnelle important. Les évolutions fonctionnelles sont donc limitées au strict nécessaire.

Ce qui amène de nouveaux enjeux : être plus agiles pour accompagner la transformation du Groupe, adapter le modèle d’administration aux nouvelles réalités du groupe, intégrer les nouvelles typologies d’identités comme les objets connectés, les usagers des objets connectés, les clients.

Les facteurs de succès, selon Valérie Chassaing, ont été une DSI centralisée, le fait que l’IAM est proposé comme un service d’infrastructure « gratuit » mais « obligatoire », un chef de projet Maitrise d’ouvrage très impliqué et charismatique, une collaboration MOA/MOE très étroite, un développement en mode agile avant l’heure et purement interne, et le fait que le contexte des métiers de l’entreprise a été pris en compte, ce qui a entraîné leur adhésion.

Au registre des difficultés, il a fallu maintenir l’intérêt des sponsors pour le projet dans la durée, faire comprendre l’intérêt des enjeux et les coûts associés et s’adapter en cours de projet à l’évolution de l’écosystème.

IAM et cartes des professionnels de santé – Charles BARTHES, AP-HP

Charles Barthes directeur de projet, a pour sa part présenté le projet de gestion des identités et des accès à l’AP-HP. L’Assistance Publique Hôpitaux de Paris, ce sont 39 hôpitaux, soit 20 704 lits, 90 000 professionnels, 8 millions de patients pris en charge tous les ans, 5,2 millions de consultations, et un budget de 7,3 milliards d’euros. Autant dire, un environnement complexe. Pour l’AP-HP, il s’agit de déployer une nouvelle carte professionnelle à puce, multi-services, permettant d’identifier de façon sécurisée et rapide l’ensemble des agents de l’AP-HP. Cette carte permet un accès au système d’information en mettant en œuvre un identifiant de connexion unique, de fiabiliser l’identité des agents ayant accès au système d’information et aux locaux, de sécuriser les accès avec un renforcement de l’authentification et de tracer es accès au système d’information.

Le projet qui repose sur IAM Suite 9 d’Evidian, contient cinq chantiers sous-jacents : la fiabilisation des sources autoritaires de données (RH, RPPS, ADELI, Active Directory, …) des processus pour gérer le circuit de l’agent (arrivée, mutation, départ), des accès sécurisés depuis Internet, des contrôles d’accès physiques (portiques, serrures, …) configurés selon l’affectation du personnel et des cartes multi-services (paiement dans les restaurants  d’entreprise). Jusqu’à présent, quelques 60 000 cartes ont été déployées.

L’IAM chez TF1 – Alex ARNAUD et David AUBURTIN, TF1

Enfin, la troisième entreprise ayant détaillé son projet IAM est TF1. Une entreprise très particulière, notamment en ce qui concerne le nombre de métiers et d’intervenants dans la production des contenus. Alex Arnaud, RSSI, David Auburtin, chef de projet News et Charlotte Fourcroy, consultante IAM, ont rappelé qu’un journal télévisé était produit par des journalistes, mais également par des pigistes extérieurs à la rédaction, des techniciens, des intermittents du spectacle. Bref, une multitude de profils dont certains sont parfois extérieurs à l’entreprise.

TF1 comptait donc une multitude de comptes génériques permettant de s’identifier sur le système d’information. L’un des objectifs du projet IAM consistait à faire disparaître ces comptes sans pour autant pénaliser la production. Si TF1 n’est pas un OIV (étant une entreprise privée), elle a également dû tirer les leçons des piratages de Sony Pictures et de TV5 Monde : ce qui était jusque-là une hypothèse est désormais une possibilité.

Les comptes génériques permettaient par exemple aux intermittents, qui sont une population avec un turn-over important, de se connecter au système d’information. De nombreuses boites mail partagées de type journaltelevise@tf1.fr étaient accessibles via un compte générique, tout comme les postes partagés en libre-service ou des postes utilisés à l’extérieur des locaux par des prestataires (sous-titrage des journaux télévisés par exemple).

Désormais, les monteurs qui travaillaient sur plusieurs postes en libre-service déverrouillent une session Windows avec un badge. Cela évite de lancer la machine et les applications (souvent lourdes pour le montage) à chaque fois, tout en identifiant chaque connexion d’une personne.

En régie, zone particulièrement sensible où tous les postes doivent être accessibles à tout moment, une carte déverrouille en mode grappe des terminaux reliés à des postes situés en salle technique.

L’IAM de demain – Laurent CHARREYRON, CXP Group et Kuppingercole)

Laurent Charreyron (CXP Group et Kuppingercole Analysts) a pour sa part évoqué plusieurs points fondamentaux à prendre en compte dans les projets d’IAM à venir, d’autant que, selon lui, « l’IAM est au cœur de la transformation digitale ».

Il va falloir penser à l’identité des objets, des outils, des services et des applications. Les identités, ne seront plus gérées uniquement en interne et le niveau de confiance devra varier. Les fournisseurs d’attributs seront variés et il n’y aura donc plus une seule source de vérité et d’information sur les identités. Les utilisateurs navigueront quant à eux entre plusieurs identités. Les moyens d’authentification vont également se multiplier. La notion d’identité relationnelle devra être prise en compte car il faudra relier les humains et leurs objets, services ou applications. Enfin, il faudra prendre en compte le contexte.

Pour Laurent Charreyron, on va assister à une convergence entre IAM et CRM afin de mieux servir les clients (KYC : Know and serve Your Customer). S’il faut fluidifier et mieux partager informations entre silos, il ne faut pas négliger la pression croissante de conformité. Et justement, l’IAM va s’intégrer comme un élément réactif de la sécurité des systèmes d’information, précise-t-il. L’IAM permet de bloquer les accès, mais doit aussi permettre de détecter des usages qui pourraient sembler légitimes mais ne le sont pas. Une sauvegarde réalisée par un utilisateur peut être un usage normal. Une vingtaine de sauvegardes peut témoigner d’un usage anormal du système d’information.

Il faut par ailleurs avancer de bons arguments pour justifier les investissements dans un projet d’IAM, explique Laurent Charreyron.

Ce type de projet apporte de l’agilité à l’entreprise en favorisant le business, en rendant les salariés plus mobiles, en créant une meilleure interaction avec les clients et en accélérant la transformation digitale. L’IAM améliore l’efficacité avec des processus plus efficients.

Enfin, selon Laurent Charreyron, l’IAM est un plus pour la compliance en permettant notamment d’être mieux préparé pour les audits.

Table Ronde animée par Henri CODRON, CLUSIF

La table ronde qui a clôturé la réunion a été l’occasion, justement, d’aborder les problématiques juridiques.

Notamment l’obligation faite à l’entreprise d’informer les salariés des traces collectées, indiquer qui sont les destinataires des données, prévoir un droit d’accès, penser aux déclarations à la CNIL, prendre en compte l’arrivée du règlement européen sur la protection des données personnelles.

D’autres interventions ont été l’occasion de rappeler qu’un projet IAM est aussi l’occasion de ré-impliquer les métiers dans l’entreprise afin de redéfinir les profils applicatifs, de repréciser des points dans la charte informatique, notamment en ce qui concerne l’usage de services gratuits, pour le cloud, par exemple.

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.