Les six piliers de la gestion des identités et des accès

Transcription

Réflexions des établissements Banque et Assurance
du Forum des Compétences
Les six piliers de la gestion
des identités et des accès
avec la contribution de
Ce document est la propriété intellectuelle du Forum des Compétences
Dépôt légal chez Logitas. Reproduction totale ou partielle interdite
Les 6 piliers de la gestion des identités et des accès
Février 2014
2
Forum des Compétences
Sommaire
INTRODUCTION ..................................................................................................................................... 4
FICHE 1 : GOUVERNANCE.................................................................................................................... 6
L’ESSENTIEL ...................................................................................................................................... 6
PRATIQUES CONSTATEES ................................................................................................................... 6
POINTS D’ATTENTION .......................................................................................................................... 7
L’IAM : un véritable processus d’entreprise ............................................................................. 7
L’atout d’un bon sponsor .......................................................................................................... 7
L’apport d’une bonne communication ...................................................................................... 7
L’adéquation entre l’organisation de l’établissement et les processus d’IAM .......................... 7
FICHE 2 : IDENTIFICATION ................................................................................................................... 9
L’ESSENTIEL ...................................................................................................................................... 9
PRATIQUES CONSTATEES ................................................................................................................... 9
POINTS D’ATTENTION .......................................................................................................................... 9
La constitution d’annuaires de référence ................................................................................. 9
Les besoins d’identification de bout en bout .......................................................................... 10
La prise en compte des différentes populations .................................................................... 10
FICHE 3 : AUTHENTIFICATION ........................................................................................................... 11
L’ESSENTIEL .................................................................................................................................... 11
PRATIQUES CONSTATEES ................................................................................................................. 11
POINTS D’ATTENTION ........................................................................................................................ 12
L’authentification des partenaires .......................................................................................... 12
L’authentification en mobilité ou dans le cloud ...................................................................... 12
FICHE 4 : MODÈLE D’HABILITATION ................................................................................................. 13
L’ESSENTIEL .................................................................................................................................... 13
La modélisation des rôles Métier ........................................................................................... 14
Les habilitations aux données non structurées ...................................................................... 15
FICHE 5 : IMPLÉMENTATION .............................................................................................................. 16
L’ESSENTIEL .................................................................................................................................... 16
La progressivité dans l’implémentation .................................................................................. 17
La consumérisation des habilitations ..................................................................................... 18
La contribution des outils d’IAM à la surveillance des évènements de sécurité .................... 18
FICHE 6 : CONTRÔLE .......................................................................................................................... 19
L’ESSENTIEL .................................................................................................................................... 19
Commencer par des « choses simples » ............................................................................... 20
Ne pas négliger le contrôle des « déshabilitations » ............................................................. 20
GLOSSAIRE .......................................................................................................................................... 21
Février 2014
3
Introduction
Dans un contexte où les frontières classiques du SI appartiennent au passé, la gestion des identités et
des accès prend toute son importance :

accès au SI à partir de points multiples ;

accès à partir de nouveaux équipements : tablettes, smartphones …

utilisation de nouveaux services : cloud computing…

intégration d’utilisateurs externes à l’entreprise : partenaires, fournisseurs..
Cette importance est renforcée par les obligations réglementaires ou légales qui s’imposent aux
établissements des mondes financiers et de l’assurance :

mesure et réduction de l’exposition à certains risques opérationnels (Bale II) ;

protection des données à caractère personnel (Loi Informatique et Libertés) ;

intégrité des données de reporting financier (Loi de la Sécurité Financière).
C’est dans ce contexte que le groupe de travail du Forum des Compétences a souhaité orienter sa
réflexion. Ce document présente la synthèse de ces débats.
Il a pour objectif de présenter les principes fondamentaux, les pratiques constatées dans les
établissements et les points d’attention pour chacun des six piliers de la gestion des identités et des
accès :

gouvernance les identités et des accès ;

identification de l’utilisateur ;

authentification de son accès au Système d’Information (SI) ;

habilitation aux différentes ressources du SI ;

implémentation d’outil et de service pour gérer les identités et des habilitations ;

contrôle des procédures de gestion et de conformité des identités et des droits accordés.
Le Forum des Compétences a déjà publié deux autres documents
« authentification » qui apportent une vue plus détaillée sur ces deux domaines.
« habilitation »
et
Dans la suite du document, les termes « gestion des identités et des accès » ou « IAM » (Identity and
Access Management) seront utilisés indifféremment.
Février 2014
4
Le groupe de travail a été animé par Marc de VALLIER de LA BANQUE POSTALE, assisté par la
société ATHEOS représentée par Françoise LE DAIN.
Les membres du groupe de travail qui ont participé aux différents échanges étaient :

Nicola ANDREU - Groupe BNPPARIBAS

Patrick BEAUFRERE – LA BANQUE POSTALE

Xavier BOIDART – CA-PACIFICA

Patrick BRUGUIER - BANQUE DE FRANCE

Christophe CHANCEL - BANQUE DE FRANCE

Olivier CHAPRON - Groupe SOCIETE GENERALE

Jean-Paul COUROUGE – Groupe CREDIT AGRICOLE

Jean-Yves COUTTON - LCL

Patricia DELBECQUE - CA-INDOSUEZ Private Banking

Gil DELILLE – Groupe CREDIT AGRICOLE

Jean-François DIDIER - BRED

Henri GUIHEUX - SCOR

Mathias LORILLEUX - SCOR
Février 2014
5
Fiche 1 : GOUVERNANCE
« Gouverner, c’est prévoir »
L’essentiel
Le modèle d’organisation en matière de gestion des identités et des accès structure les relations entre
les différentes parties prenantes de l’entreprise. La gouvernance influe sur la répartition des tâches,
des responsabilités, des pouvoirs et des modes de communication.
Une note de gouvernance en matière d’IAM définit :

« Ce qui est fait », en adéquation avec les besoins de l’entreprise (couverture des risques
majeurs, apports de valeurs pour les Métiers …) ;

« Comment cela est fait », en précisant les priorités et les règles à appliquer ;

« Comment les décisions sont prises », en fixant les rôles et les responsabilités des
intervenants et en identifiant les instances de décision ;

« Quels contrôles et reporting sont nécessaires », en adéquation notamment avec les
contraintes réglementaires.
Une politique de gestion des identités et des accès, souvent intégrée au référentiel sécurité de
l’entreprise, précise les attendus pour les cinq thématiques majeures de l’IAM :

identification : « dire qui l’on est » ;

authentification : « prouver qui l’on est » ;

habilitation : « accorder les bons droits à la bonne personne » ;

implémentation : « outiller la gestion des identités et des accès » ;

contrôle : « vérifier l’application des procédures de gestion et la conformité des identités et des
droits accordés ».
Pratiques constatées
En ce qui concerne l’organisation mise en place, les pratiques constatées varient en fonction de
l’implantation des établissements et du niveau de maturité atteint en matière de gestion des identités
et des accès.
Le choix constaté pour le modèle de gouvernance repose principalement sur :

la dimension nationale ou internationale ;

le nombre de personnes accédant au SI ;

les besoins en termes d’agilité en regard des évolutions (réorganisation / acquisition) ;

la volonté de standardiser / urbaniser la gestion des identités et des accès ;

les besoins en termes de contrôle et de reporting.
Une politique de gestion des identités et des accès est généralement définie et un sponsor de haut
niveau est souvent identifié.
Février 2014
6
Points d’attention
L’IAM : un véritable processus d’entreprise
Les travaux relatifs à l’IAM ne sont désormais plus circonscrits au périmètre purement informatique ;
les Métiers en sont les clients, mais sont aussi les principaux acteurs.
Il est indispensable de prendre conscience que la gestion des identités et des accès est un
processus d’entreprise permanent et non un projet avec un début en une fin. Les évolutions des
établissements dans leur organisation ou dans leurs Métiers impliquent nécessairement des
répercussions sur les identités et les droits accordés.
L’atout d’un bon sponsor
Tout processus d’IAM est transverse à l’entreprise et implique de nombreuses directions Métier.
L’obtention d’un sponsoring fort est nécessaire.
Il n’y a pas de sponsor « type ». Selon la structure de l’entreprise et les priorités fixées, ce sponsor
peut être situé à la Direction Générale, à la Direction des Ressources Humaines, dans une Direction
Métier ou bien être constitué par les correspondants risque ou sécurité au sein des différentes
directions de l'entreprise.
Le sponsor « idéal » doit pouvoir associer l’ensemble des parties prenantes et plus particulièrement
les « sachants du terrain ». Il doit également pouvoir mobiliser les utilisateurs finaux et convaincre sur
les gains Métier apportés.
L’apport d’une bonne communication
« Un projet qui ne communique pas est un projet qui n’existe pas ». Le bon choix de messages,
vecteurs des apports attendus, permet de gagner l’adhésion des Directions Métier et des utilisateurs
finaux.
Les approches possibles peuvent être par exemple :

la conformité, à la politique de sécurité de l’entreprise, aux contraintes réglementaires …

l’apport de valeurs pour les Métiers, en facilitant d’intégration de nouvelles applications ou les
réorganisations internes …

le confort utilisateur, notamment pour l’authentification, l’auto-enrôlement à certaines
applications, la gestion des demandes …

l’automatisation des contrôles, en permettant un gain en fiabilité des habilitations accordées.
L’adéquation entre l’organisation de l’établissement et les
processus d’IAM
Les établissements ont des besoins et contraintes variées en matière de gestion des identités et des
accès. La mise en œuvre des processus de l’IAM doit tenir compte de l’organisation en place.
Plusieurs modèles peuvent être adoptés :

Centralisation de certaines activités au niveau de l’établissement principal.
Ceci permet une standardisation des moyens et des pratiques et apporte une cohérence
globale au niveau de toutes les entités de l’établissement. Mais cette centralisation peut
entrainer un manque de souplesse et d’implication des entités départementales ou locales.
La centralisation peut être adoptée par exemple pour la constitution d’un annuaire de référence
des identités ou bien pour le choix d’un support d’authentification commun à toute l’entreprise.
Février 2014
7

Autonomie de certaines activités selon des critères géographiques ou d’appartenance à un
Métier.
Cette approche permet une adaptation des pratiques aux besoins spécifiques rencontrés.
Elle peut être adoptée par exemple pour la construction des profils Métier au plus près des
sachants.

Combinaison des deux précédentes approches pour certaines activités.
Ceci permet de répondre à des attendus différents pour une même activité ou une partie
d’activité.
Elle peut être adoptée par exemple pour les contrôles. Des actions de contrôle peuvent être
définies et mises en œuvre localement, en toute autonomie, en effectuant un reporting
également local. En complément des contrôles peuvent être fixés au niveau central et menés
localement, en effectuant un reporting vers les différents niveaux de l’établissement.
Le choix d’adopter l’un ou l’autre des modèles peut être motivé par des éléments tels que :

le gain de valeur pour les Métiers grâce à une meilleure interopérabilité entre entités ou avec
des tiers ;

l’agilité face aux mutations des systèmes d’information telles que la mobilité, le cloud
computing, les applications en mode SaaS …

l’intégration des fusions / acquisitions d’entreprises.
Février 2014
8
Fiche 2 : IDENTIFICATION
« S’identifier, c’est dire qui l’on est »
L’essentiel
L’enjeu de l’identification est de fournir une identité de référence fiable pour une personne.
Une identité est composée d’un ensemble d’informations caractérisant une personne. Elle est
associée à un ou plusieurs identifiants et à un ensemble d’attributs (nom, prénom, adresse,
téléphone, compte …) stockés sur le SI.
Aujourd’hui, la réalité du SI montre qu’il y a une multiplication de ces sources d’informations due à ;

l’existence de différentes catégories d’utilisateur (salarié, prestataire, fournisseur …) ;

l’hétérogénéité des applications et des incompatibilités des structures (annuaire LDPAP, Active
Directory, SGBD, fichiers CSV...).
La constitution d’un annuaire de référence est importante pour faciliter la mise en place d’une gestion
des identités et des accès efficace.
En ce qui concerne la gestion de l’identité, la distinction entre les notions d’identité et d’identifiant est
généralement bien appréhendée et le rattachement des différents identifiants à une identité unique est
un objectif commun.
Les sources d’identité sont souvent diverses (annuaire RH, base des achats pour les prestataires …).
Pour les établissements de grande taille, ces identités sont en général regroupées dans un annuaire
central de référence, alimenté périodiquement par les annuaires des différentes entités.
Le matricule RH est souvent l’identifiant de référence des personnels internes. Pour les personnels
externes, l’identifiant porte parfois un élément distinctif de leur état.
Il existe quelquefois des identifiants multiples rattachés à une même identité avec des nomenclatures
diverses héritées de l’histoire de l’établissement ou bien de l’existence d’applicatifs imposants des
contraintes de constitution.
La technologie dominante pour les référentiels d’identité est l’annuaire LDAP.
La constitution d’annuaires de référence
L’idéal peut sembler être un référentiel unique détenant toutes les identités ainsi que leurs attributs
(identifiants, certificats électroniques …).
Dans la réalité, cet objectif est difficilement atteignable en raison de la taille des établissements et de
l’hétérogénéité de leurs applications. Toutefois, il est indispensable de limiter le nombre d’annuaires et
de les faire communiquer entre eux.
Février 2014
9
Afin de fédérer et de synchroniser les informations contenues dans les différents annuaires, il peut
être utile de mettre en place un méta-annuaire, qui devient alors l’annuaire « pivot ».
Celui-ci a vocation à répliquer les données provenant de sources éparpillées sur le SI vers un
référentiel central et réciproquement, de répercuter toute modification faite dans le référentiel central
vers les sources de données.
Le méta-annuaire permet d’obtenir une vue unifiée et agrégée des identités et des principaux attributs.
Sa mise en œuvre nécessite de définir des modèles de données et des règles de synchronisation. La
conception du modèle requiert de se livrer d’abord à une cartographie des données d’identité de
l’entreprise pour trouver celles qui sont les plus pertinentes et qui ont un niveau de qualité suffisant
(exhaustivité, fiabilité, pertinence du sens).
Ainsi, on ira prendre le nom d’un salarié dans l’application de gestion des ressources humaines, son
adresse e-mail dans l’annuaire du système de messagerie ou son numéro de téléphone dans la base
de données du PABX.
Ce travail de cartographie peut être accompagné d’un travail de nettoyage des données inexactes,
obsolètes, incomplètes.
Les besoins d’identification de bout en bout
Une identité n’accède pas toujours aux ressources du SI avec le même identifiant en raison de
contraintes technique ou organisationnelle.
Afin de répondre au besoin d’identification de bout en bout il est nécessaire de mettre en place les
moyens d’établir un lien entre l’identité et ses différents identifiants. Ce lien doit persister dans le
temps pour permettre l’identification à tout moment des accès et des actions effectuées sur les
ressources du SI.
Sans ce lien, il n’est pas possible de déterminer si « Alain Dupond » de la Direction Financière est la
même personne que « P347865 » ayant ouvert un ticket d’incident auprès de HelpDesk et que
« [email protected] » dans l'annuaire de messagerie.
Cette identification de bout en bout permet un renforcement de la traçabilité et facilite la mise en
œuvre du contrôle interne des accès et des opérations réalisées par les utilisateurs.
La prise en compte des différentes populations
La gestion des identités des populations internes (salariés, stagiaires …) et externes (prestataires,
partenaires …) ne peut pas toujours être homogène. En effet, les sources d’identités ainsi que les
circuits de traitement de ces identités sont généralement différents.
Pour les populations internes :

il existe une source unique d’identité : le référentiel des ressources humaines ;

le traitement du nouvel arrivant est initié par le Direction des Ressources Humaines et se
calque sur les différents niveaux hiérarchiques de l’entreprise.
Pour les populations externes, il en va autrement :

les sources d’identité sont multiples : Direction des Achats ou demandeurs opérationnels en ce
qui concerne les prestataires ; Métiers en ce qui concerne les partenaires ;

les circuits de traitement sont également différents.
Il peut être utile de rapprocher le plus possible les processus de gestion des identités internes comme
externes dans une optique de recherche d’efficacité.
Février 2014
10
Fiche 3 : AUTHENTIFICATION
« S’authentifier, c’est prouver qui l’on est »
L’essentiel
L’enjeu de l’authentification est de garantir la légitimité d’un accès à une ressource.
Cette preuve est donnée par un moyen d’authentification qui repose sur des éléments de natures
différentes :

« ce que je connais ».
Il s’agit d’un secret que l’utilisateur communique pour prouver son identité : un mot de passe, un
code PIN, une passphrase, un « défi/réponse » …

« ce que je possède ».
Il s’agit d’un dispositif de sécurité détenu par l’utilisateur qui permet de générer un authentifiant
afin de prouver son identité : certificat numérique, token, carte à grille de code …

« ce que je suis ».
Il s’agit d’une caractéristique propre à l’utilisateur : son empreinte digitale, l’image de la paume
de sa main, son iris …
Il peut être mis en place différents services facilitant l’authentification :

service commun d’authentification (SSO - Single Sign On) qui facilite l’authentification de
l’utilisateur aux ressources du SI en propageant la permission d’accès obtenue ainsi que le
niveau d’authentification (mot de passe, authentification forte) vers les ressources du SI.

propagation des identités qui pousse vers des ressources du SI l’identité de l’utilisateur pour
qu’il s’authentifie ensuite ;

fédération d’identité, entre les entités d’un établissement ou bien au-delà de l’établissement,
qui permet en s’authentifiant auprès d’un premier SI d’accéder également aux SI situés dans le
cercle de confiance auquel il appartient (partenaire …).
Ce dispositif nécessite une étude approfondie avant sa mise en œuvre notamment en ce qui
concerne la constitution des cercles de confiance.
Les moyens d’authentification utilisés par les établissements vont de l’authentification standard par
« mot de passe » à l’authentification forte par « cartes à puce ».
L’authentification standard reste généralement la plus répandue.
L’adoption d’un support d’authentification de type carte à puce multifonctions est souvent motivée par
l’atteinte de deux objectifs :

le renforcement du niveau de sécurité ;

le confort d’usage apporté à l’utilisateur.
Février 2014
11
Quand cela est possible et que les approches techniques le permettent, l’adoption du SSO est
souvent privilégiée.
La mise en place de solution de SSO est inégale. Il s’agit souvent de solution couplée à un annuaire
(notamment AD) et moins fréquemment un portail de SSO gérant une base d’authentifiant.
L’authentification des partenaires
Le nombre croissant de services fournis par des partenaires aux employés comme aux clients des
établissements nécessite la création de relations de confiance.
Ces relations de confiance peuvent être fournies par la Fédération d'Identités qui permet
l’interopérabilité des systèmes en simplifiant l’accès aux ressources applicatives.
Un service de Fédération d’Identité produit en quelque sort un passeport d’accès aux ressources des
SI tiers :

présentation normalisée des informations d’identité ;

confiance accordée à l’origine de l’identité ;

standardisation des échanges garantissant un haut niveau d’interopérabilité.
De façon imagée, on peut supposer qu’un douanier ne fait pas forcément confiance au détenteur d’un
passeport, mais que ce douanier a confiance dans le gouvernement qui a délivré le passeport. Le
détenteur ayant été authentifié par son gouvernement, le douanier le laisse franchir la frontière.
Techniquement, la fédération d’identité est composée d’une application, le Service Provider (SP) –
« le douanier » - acceptant les connexions d’un référentiel d’utilisateurs appelé Identity Provider (IDP)
– « le gouvernement ».
La Fédération d’Identité :

elle permet une ouverture simplifiée et rapide à des tiers et à leurs applications ;

elle facilite les accès en normalisant la communication entre SI ;

elle garantit la maitrise de l’identité source en tant qu’IDP.
L’authentification en mobilité ou dans le cloud
La nécessité de renforcer l'authentification des accédants en situation de mobilité devient chaque jour
plus évidente.
Cela concerne aussi bien les personnels de l’entreprise que ses clients.
L’accès aux applications peut être effectué par des clients lourds installés sur les postes de travail
nomades, mais aussi via un client léger installé sur un smartphone ou une tablette pour l’accès à des
services en ligne. Les applications peuvent être hébergées sur le SI de l’entreprise, mais aussi
délivrées depuis le Cloud ou être en mode SaaS.
L’authentification forte est la technologie la plus répandue dans le cadre de la mobilité.
Cette authentification forte peut s’effectuer par combinaison d’un support matériel (carte à puce ou clé
USB) qui après saisi d’un code va générer un OTP.
Pour les applications Web, l’authentification forte peut être mise en œuvre sans utiliser de matériel
particulier. L’utilisateur définit un mot de passe lors de sa première connexion au site Web. Les
mécanismes présents sur le site configurent automatiquement le navigateur et y intègrent un
« token ». Pour les connexions suivantes, il suffit que l’utilisateur utilise le navigateur « token » et
saisisse à nouveau le mot de passe pour qu’un OTP soit généré.
Février 2014
12
Fiche 4 : MODÈLE D’HABILITATION
« Habiliter, c’est accorder les bons droits à la bonne personne »
L’essentiel
Des règles fondamentales existent en matière d’habilitation :

chaque application doit être rattachée à un propriétaire d’application ;

un processus de validation des habilitations doit être défini ;

une habilitation doit respecter les principes de moindre privilège et de séparation des fonctions.
Pour faciliter l’attribution des habilitations, il est possible de définir des modèles d’habilitation.
Le principal modèle d’habilitation utilisé actuellement en entreprise est le modèle RBAC (Role-Based
Access Control) que repose sur la définition de rôles (ou profils) qui établissent le lien en matière
d’habilitation entre les utilisateurs et les ressources du SI.
Les utilisateurs qui exercent des fonctions analogues appartiennent à un même rôle Métier. À ce rôle
Métier sont associées des autorisations d'accès aux différentes ressources du SI (applicatives ou
techniques) qui leurs sont nécessaires.
L’élaboration des matrices de rôles est majoritairement du ressort des managers des directions
Métier car ces derniers sont à même d’exprimer les besoins d’accès aux applications pour leurs
collaborateurs.
En parallèle, l’élaboration d’une matrice d’exclusion de rôles va faciliter la prise en compte de la
séparation des fonctions et l’identification des « combinaisons toxiques » d’habilitations. Il est
nécessaire que les responsables d’applications et la fonction contrôle participent à l’élaboration de
cette matrice afin d’assurer une transversalité inter-métiers.
Le modèle s’appuie donc sur plusieurs niveaux :

N1 – habilitation technique : droit d’accès à une ressource technique ;

N2 – profil applicatif : regroupement d’habilitations techniques pour une même ressource ;

N3 – rôle Métier : regroupement de rôles applicatifs et de services techniques (par exemple,
l’impression bureautique) sur des ressources utilisés pour exercer une fonction.
Le modèle RBAC a ses limites, par exemple lorsque l’utilisateur ne remplit pas la même fonction selon
le lieu géographique où il se trouve (par exemple un conseiller exerçant sur plusieurs agences dans
fonctions différentes) ou selon sa séniorité dans le Métier.
Des modèles d’habilitations proches du modèle RBAC existent : ORBAC (Organization based Acces
Control) par exemple qui permet en plus d’autorisation de spécifier des interdictions et des obligations
et de s’appuyer sur des notions de contexte.
Plusieurs approches sont possibles pour la modélisation des profils Métier, dont les deux suivantes :

partir des habilitations techniques communes à un groupe d’utilisateur accédant aux mêmes
ressources pour définir les profils applicatifs puis les rôles Métier ;

partir des ressources et les regrouper afin définir des profils applicatifs puis des rôles Métier qui
seront assignés aux utilisateurs.
Février 2014
13
Quelques soit le modèle d’habilitation retenu, il doit :

prendre en compte les différents cas de figure existant pour un domaine Métier tout en limitant
au raisonnable le nombre des rôles Métier définis ;

traduire dans un langage intelligible pour les Métiers ces différents cas de figure pour leur
permettre de les attribuer en toute connaissance de cause ;

faciliter l’obtention d’une vue transverse des droits d’accès aux ressources du SI ;

prendre en compte les évolutions des habilitations d’un l’utilisateur au fil du temps ;

être réactif aux évolutions telles que l’intégration de nouvelles applications ou la réorganisation
de l’entreprise.
Le modèle RBAC est adopté par la majorité des établissements. L'application du modèle est plus
mature dans le monde " Métier " que dans celui de la " bureautique " ou de " l'informatique ".
Les principales difficultés rencontrées sont :

le passage d’une vision technique des habilitations à une vision Métier ;

le nombre de profils Métier qui peut devenir très important et donc difficilement gérable ;

la gestion des habilitations sur les données non structurées (GED …) ;

la définition d’une matrice d’exclusion ;

le retrait des « combinaisons toxiques » d’habilitations.
La modélisation des rôles Métier
Les travaux de modélisation sont longs à réaliser et ne doivent pas obligatoirement couvrir l’ensemble
des profils d’activité des Métiers.
Il est donc nécessaire de les prioriser, par exemple en fonction :

des applicatifs utilisés par une grande majorité du personnel (messagerie électronique ...) ;

de la cartographie des risques opérationnels ;

de la sensibilité des ressources accédées ;

de l’évolution prévisible du parc applicatif (exclusion des applications en fin de vie).
La maintenance des rôles Métier est également une charge de travail à ne pas négliger. En effet, tout
changement dans les structures organisationnelles de l’établissement, l’introduction d’un nouvel
applicatif ou de nouvelles fonctionnalités dans un applicatif vont impliquer une mise à jour d’un ou
plusieurs rôles Métier.
Février 2014
14
Les habilitations aux données non structurées
L’octroi d’habilitation à partir de rôle Métier est adapté aux données structurées produites par des
applications Métier et contenues dans des bases de données.
Il en va autrement des données non structurées produites par les outils bureautiques et le plus
souvent stockées sur des espaces partagés ou dans des outils de type messagerie, travail de
collaboratif… Et pourtant certaines de ces données non structurées peuvent avoir une valeur
stratégique pour l’entreprise.
Les accès aux fichiers qui les contiennent sont en général liés à des permissions d’accès définies sur
des espaces collaboratifs, des répertoires voire sur les fichiers eux-mêmes.
Ces permissions d’accès sont gérées soit pas un exploitant, soit par des collaborateurs Métier
différents pour chacun des espaces créés. Bien souvent, les droits d’accès sont mis en place sans
avoir une réelle connaissance de la sensibilité des données qui se trouvent ou se trouveront un jour
dans ces espaces.
Il va donc être nécessaire d’obtenir une vue globale des habilitations sur ces données pour mieux les
gérer :

quel propriétaire pour ces données ?

quels Métiers ? pour quelles fonctions ?

quels utilisateurs et quel groupe d’utilisateurs ?

qui a droit à quels espaces partagés ?

quels accès ? à quels moments ? pour quelles actions ?

quel niveau de sensibilité des informations contenues ?
Seule cette connaissance permettra d’attribuer les droits au juste nécessaire. Il sera de plus
nécessaire d’informer les utilisateurs sur le niveau de classification des données qu’ils pourront
déposer dans ces espaces.
Février 2014
15
Fiche 5 : IMPLÉMENTATION
« Implémenter, c’est mettre en place les outils et services facilitant l’efficacité opérationnelle »
L’essentiel
L’implémentation consiste à mettre en place des outils et des services qui facilitent par une
automatisation, une industrialisation, une centralisation … la gestion des cycles de vie des identités et
des accès.
Pour les Métiers, les principaux apports attendus sont :

la simplification de la validation des demandes d’habilitation aux ressources du SI ;

la production d’états, automatiquement et régulièrement, permettant la vérification des
habilitations accordées.
Pour les utilisateurs, ces outils et services permettent, par exemple :

la mise à disposition d’une interface de demandes d’habilitation ;

la centralisation de l’authentification (SSO) pour certaines ressources du SI

la possibilité de réinitialisation des mots de passe en self-service ;

la recherche des coordonnées des collaborateurs de l’entreprise à travers un service de types
pages blanches ou pages jaunes.
Pour les exploitants, les principaux bénéfices sont :

le provisionnement, c’est-à-dire la propagation automatique des identités et des habilitations
vers les ressources du SI (et bien sûr en dé-provisionnant lorsque nécessaire) ;

la production d’états facilitant le contrôle de premier niveau sur les activités liées à l’IAM.
La mise en place d’un circuit de validation automatisé va permet d’accélérer la prise de fonction d’un
utilisateur, mais aussi, à son départ, le retrait des droits qui lui avaient été attribués.
Ce gain de temps est obtenu par une plus grande efficacité dans le traitement, le suivi des
demandes et une meilleure qualité des informations transmises.
Lorsqu’il est nécessaire de traiter plusieurs milliers d’identités ainsi que les droits qui leur sont
rattachés, la mise en place d’outils de provisionnement est indispensable. Les connecteurs de ces
outils interagissent avec les nombreux annuaires présents sur les SI (LDAP, Active Directory, Novell
eDirectory, Sun Java Directoty Server …).
La mise en place d’un tel outil vise à garantir la cohérence des droits sur l’ensemble du SI en
particulier dans les cas de mouvements de personnel (arrivée, départ, changement d’entité …) et
empêche les erreurs dues à des manipulations manuelles.
Février 2014
16
Les circuits de validation des habilitations et des fournitures d’équipement sont le plus souvent
automatisés. Par contre, l’automatisation du provisionnement des habilitations vers les différents
systèmes reste encore très souvent partielle.
Pour les salariés, une synchronisation des identités de la base RH et du référentiel d’identité principal
est effectuée. En ce qui concerne le déversement des habilitations vers les applications,
l’automatisation n’est pas toujours effectuée ni possible. Des opérations manuelles sont donc menées.
La progressivité dans l’implémentation
En matière de gestion des accès et des habilitations, il n’existe pas de proportionnalité directe entre
les montants investis et l’efficacité obtenue. La gestion des identités ne peut aujourd’hui être
considérée comme une simple préoccupation technologique, c’est un véritable enjeu métier
La mise en œuvre doit être progressive en fonction des priorités de l’entreprise notamment en termes
de couverture de risque, mais aussi de facilitation pour l’utilisateur.
Préalablement à toute implémentation technique d’outils, un travail préalable est indispensable :

définir les rôles et les profils applicatifs (voir fiche « modèle d’habilitation ») ;

« nettoyer » les comptes orphelins, dormants … (voir fiche « contrôle »).
Pour implémenter les dispositifs de gestion des habilitations et des accès, Il est indispensable de ne
traiter simultanément qu’au maximum deux des axes suivants :

populations touchées ;

fonctions mises en œuvre ;

ressources du SI concernées.
Par exemple, dans un premier temps, une population pilote est identifiée. Un groupe Métier
« bureautique » donnant accès à la messagerie, l’intranet RH … est défini. Le provisionnement
correspondant à ce groupe Métier est automatisé.
Dans un deuxième temps, lors de la création de l’identité d’un arrivant ce groupe Métier est
systématiquement inclus dans le circuit de validation.
Ensuite, il peut être choisi, par exemple, de mettre en place la fonction de réinitialisation des mots de
passe AD en self-service via un jeu de questions permettant de garantir l'identité de la personne
demandant une réinitialisation.
Puis les groupes Métier d’une population sensible vont être traités et ainsi de suite.
L’implémentation doit être progressive et le « big bang » évité.
Février 2014
17
La consumérisation des habilitations
L’attribution d’une habilitation peut parfois être longue et fastidieuse selon le circuit de validation qui a
été défini.
Le passage par différents niveaux de validation se justifie pleinement pour les habilitations sensibles
en raison des enjeux en découlant. Pour les habilitations « tout-venant », un circuit de validation trop
lourd entraine des délais importants pour l’utilisateur.
L’évolution actuelle des pratiques en matière de gestion des habilitations tend à la simplifier
l’attribution des habilitations qui portent sur des ressources non sensibles. Un des moyens de
simplification est l’auto-enrollement de l’utilisateur à partir d’un catalogue de rôles et services
techniques.
Deux options sont alors possibles :

L’utilisateur effectue une demande qui est ensuite approuvée (ou non) par un valideur Métier.
Les droits techniques en découlant sont alors implémentés sur les ressources.

L’utilisateur s’enrolle lui-même sur une ressource à partir d’un catalogue et les droits techniques
nécessaires sont mis en œuvre automatiquement. Une recertification postérieure des
habilitations est effectuée régulièrement par un valideur Métier, notamment pour garantir le
« droit d’en connaitre ».
L’utilisateur pouvant avoir tendance à « consommer » toutes les habilitations qui lui sont proposées
sans réels besoins, il est important de bien définir le catalogue des ressources en auto-enrollement.
Pour cela, il faut essayer de minimiser les cas d’auto-attribution d’habilitation qui donneront lieu à une
annulation après vérification.
Plusieurs catalogues de rôles et services peuvent être définis pour plusieurs sensibilités d’utilisateur.
La contribution des outils d’IAM à la surveillance des
évènements de sécurité
Les outils d’IAM aident à identifier qui a le droit d’accéder à une ressource et quelles actions lui sont
autorisées alors que les outils de SIEM identifient qui a effectivement accédé à une ressource.
Traditionnellement les outils de SIEM (Security, Information and Event Management) associent un
utilisateur à une adresse IP et parfois à un nom issu de l’annuaire d’identité de l’entreprise.
Ces seules informations ne sont pas toujours suffisantes pour analyser un évènement de sécurité. La
combinaison des informations issues des deux types d’outils permet de compléter la connaissance du
contexte lié à un évènement.
Savoir ce qu’un utilisateur est autorisé à faire sur une application ou sur des données, connaitre son
département de rattachement, connaitre l’ensemble des rôles Métier qui lui sont rattachés … sont des
éléments de contexte qui ne peuvent être issus des outils de SIEM. Or ces éléments sont
indispensables pour une meilleure compréhension des contextes de réalisation d’un évènement et
donc une meilleure détection des activités suspectes.
Février 2014
18
Fiche 6 : CONTRÔLE
« Accorder un droit à un utilisateur est plus facile que de le retirer »
L’essentiel
Au fil du temps, des habilitations sont accordées aux utilisateurs et ne sont pas toujours revues
lorsqu’ils changent de fonction au sein de l’entreprise. De même lorsqu’un utilisateur quitte
l’entreprise, certains de ses comptes et de ses habilitations perdurent parfois.
Des revues d’habilitation doivent donc être menées régulièrement pour s’assurer que la politique de
gestion des identités et des accès est bien appliquée.
Ces revues doivent avoir une fréquence adéquate en regard du niveau de sensibilité des applications
ou des identités concernées
À titre d’exemple, la revue des comptes et des habilitations :

pour une application standard comme la gestion des congés pourra être effectuée chaque
année voire tous les 2 ans ;

pour une application Métier sensible pourra être effectuée tous les 3 mois.
Dans la pratique, une revue peut s’avérer complexe, car le système d’information est souvent
hétérogène : windows, unix, zOS, AS400, appliance, application en cloud, application externalisée…
Les contrôles essentiels portent sur la bonne déclinaison des règles établies pour la gestion des
comptes et des habilitations ainsi que la gestion des demandes.
Il est également souhaitable de contrôler la bonne adéquation des droits accordés avec les fonctions
remplies.
Lorsque ces premiers niveaux de contrôles sont maitrisés, il est nécessaire de contrôler la
gouvernance de la gestion des identités et des habilitations et notamment sa nature transverse à
l’entreprise.
Les contrôles peuvent être pris en charge :

par les Métiers: adéquation entre les droits théoriques et les droits réellement mis en œuvre ;

par les responsables des comptes : rattachement des comptes à des identités.
En complément, le contrôle interne effectue des revues de différentes procédures de gestion et de
leur efficacité.
Des contrôles de surveillance, plus ou moins ponctuels, sont également effectués en fonction des
priorités et risques pour l’entreprise, par exemple :

vérification de la bonne désactivation des comptes des personnes en longue absence (maladie
– congés – formation) ;

habilitations accordées unitairement sans passer par un groupe Métier ;

authentification sur une ressource en dehors des plages horaires habituelles.
Les résultats de ces différents contrôles font l’objet de reporting à plusieurs niveaux :

au niveau opérationnel, en vue de traiter les écarts avec les règles d’attribution et de
dérogation ;

au niveau pilotage voire stratégique, en vue d’améliorer les processus mis en place ;

au niveau conformité, lorsque des obligations réglementaires le nécessitent.
Février 2014
19
Des contrôles sont effectués régulièrement. Ils portent a minima sur les identités et les habilitations les
plus sensibles.
C’est en général, le propriétaire des applications qui procède à la recertification des habilitations de
son périmètre. En ce qui concerne les comptes des utilisateurs, les recertifications sont effectués par
les responsables des annuaires ou des systèmes.
Les actions de contrôle font l’objet de reporting au niveau des opérationnels comme au niveau des
directions.
Commencer par des « choses simples »
En matière de contrôle, il est important d’adopter une démarche pragmatique axée en priorité sur les
identités et les actifs les plus sensibles.
Dans un premier temps, il faut se recentreront sur l’essentiel c’est-à-dire la vérification de la bonne
application des règles définies :

contrôle des comptes :
– orphelins : comptes non attribués à une identité (attention toutefois aux comptes techniques
utilisés par des ressources ou par des administrateurs qui ne sont pas rattachables à une
identité),
– en doublon : identité détenant plusieurs comptes sur une même ressource,
– dormants : comptes inutilisés depuis un certain temps,
– dont le mot de passe n’a pas été changé depuis la période de référence,
– particulièrement pour les comptes techniques, dont le mot de passe est toujours celui
attribué par défaut ;

contrôle des habilitations :
– recertification des droits : adéquation des droits existants avec les droits nécessaires,
– absence de « combinaisons toxiques » d’habilitations ne permettant pas de garantir la
séparation des pouvoirs,
– droits temporaires accordés par dérogation.
Ne pas négliger le contrôle des « déshabilitations »
Un collaborateur peut être amené au cours de sa vie professionnelle à changer de fonction. Ces
changements nécessitent parfois une période de transition pendant laquelle des nouveaux droits lui
sont accordés alors que ses anciens droits lui sont encore nécessaires.
Il est important qu’à la fin de la période de transition, les droits dont le collaborateur n’a plus besoin lui
soient retirés. C’est généralement, l’ancien responsable hiérarchique du collaborateur qui demande le
retrait des droits. Cela peut également découler d’une action des RH.
Un contrôle a posteriori peut aussi être effectué par exemple en comparant les groupes Métier
rattachés aux fonctions exercées par le département de l’utilisateur et les groupes Métier qui lui sont
effectivement rattachés.
De même au départ d’un collaborateur de l’entreprise, il est nécessaire de désactiver puis de
supprimer ses accès aux ressources du SI. Un contrôle a posteriori est à mener.
Février 2014
20
Glossaire
Terme
Définition
Annuaire
Composant informatique qui renferme notamment des
informations d’identités (nom, prénom, identifiant …) de
collaborateurs, de partenaires voire de fournisseurs.
Authentification
Processus permettant de vérifier l'identité déclarée d'une
personne ou d’une ressource.
L'identification
permet
de
communiquer
l'identité,
l'authentification permet de la vérifier.
Les principaux moyens d'authentification sont :
 le mot de passe ;
 le certificat électronique ;
 la biométrie.
Cycle de vie d’une identité
Ensemble des évènements affectant l’identité depuis son
arrivée au sein de l’entreprise, jusqu’à son départ ; en prenant
en compte des évènements tels que : changement d’état civil,
absence longue durée…
Cycle de vie des habilitations
Ensemble des évènements affectant les habilitations
accordées à une identité depuis son arrivée au sein de
l’entreprise, jusqu’à son départ ; en prenant en compte des
évènements tels que : mutation dans l’entreprise, nouvelle
fonction…
Gestion des identités et des accès
IAM (Identity Access Management)
Ensemble de processus qui vise à assurer la gestion du cycle
de vie d’un accédant au SI (Identification, Authentification,
Habilitation, Implémentation, Contrôle)
Identité
Ensemble des informations qui caractérisent un individu au
sein d’une entreprise.
Identifiant
Attribut lié à une identité numérique afin de pouvoir identifier
un utilisateur de façon fiable. Cet identifiant généralement est
centralisé dans le référentiel d’identités.
Un utilisateur possède un seul identifiant relatif à son identité
physique (parfois l’ID RH), et peut posséder plusieurs
identifiants d’accès aux ressources sur lesquelles il est habilité.
Utilisateur
Personne physique à laquelle il est accordé un accès à une
ressource du SI.
Référentiel d’identités
Annuaire référençant les informations qui caractérisent chaque
individu.
Février 2014
21
Février 2014
22

Les six piliers de la gestion des identités et des accès

Transcription

Documents pareils

Identité(s) - Presses Universitaires

Aide sur le compte numérique Université de Nice

Auto-Ecole 54 106 bd Jean Jaurès 54000 Nancy 03.83.56.24.52

Habilitations européennes EN 50110-1

Un espace d`animation informatique de territoire

Téléchargez notre flyer Santé

Identités remarquables : exercices

Témoignage client Groupe CANAL+

Programme Colloque 2013 Identité Numérique Relais de la