TOOLS4EVER IDENTITY AND ACCESS MANAGEMENT

Transcription

1 TOOLS4EVER IDENTITY AND ACCESS MANAGEMENT UNE TRANSITION ETAPE PAR ETAPE, DE A LA REALISATION

2 TABLES DES MATIERES TABLES DES MATIERES... 2 SYNTHÈSE INTRODUCTION DEFINITION DE LA GESTION DES IDENTITES LA SOLUTION IAM DE TOOLS4EVER GENERALITES ORGANISATION SYSTEME RH, DATA WAREHOUSE OU DONNEES SOURCE PROVISIONING WORKFLOW ET SELF SERVICE GOUVERNANCE DES DROITS D ACCES Analyse des rôles : collecte, mise en corrélation et analyse Conception des rôles Gestion active des rôles AUTHENTIFICATION CONTROLE DES ACCES QUELS SONT LES ATOUTS DISTINCTIFS DE LA SOLUTION IAM DE TOOLS4EVER? METHODE D IMPLEMENTATION PAR PHASES UNE GAMME COMPLETE DE CONNECTEURS UN GAMME DE SOLUTIONS DE BOUT EN BOUT EXTENSIBILITE CONCLUSION

3 SYNTHÈSE Les solutions IAM (Identity & Access Management Gestion des Identités et des Accès) sont de plus en utilisées par les organisations. En effet, en se projetant dans l avenir et en prenant du recul sur leur situation, elles ont pris conscience de la nécessité de recourir à ce type de solutions, si elles souhaitent réduire leurs dépenses, garantir la sécurité informatique et dynamiser l innovation. D'un point de vue technique, les facteurs à prendre en compte avant de mettre en place une solution IAM sont les infrastructures informatiques de plus en plus complexes, notamment avec l apparition des applications du Cloud, le fait de devoir gérer les utilisateurs qui accèdent au réseau de l entreprise via leurs propres appareils (BYOD Bring Your Own Device) et le développement des environnements virtuels. Par ailleurs, les dispositions législatives et réglementaires en vigueur strictes (HIPAA, SOX, Confidentialité des données médicales ) sont également des facteurs importants à prendre en compte. Selon la définition de Tools4ever, l'iam est la technologie permettant de gérer l identité et les droits d'accès des utilisateurs sur différents systèmes et plates formes. La suite IAM de Tools4ever couvre tous les aspects qui, selon Gartner (Magic Quadrant pour l Administration & le Provisioning des utilisateurs et Magic Quadrant pour la Gouvernance des Identités et des Accès) sont représentatifs d une solution IAM. Les éléments constitutifs d une solution IAM selon Tools4ever sont les suivants : La gestion des authentifications (contrôle des identités), la gestion des autorisations (gestion des droits d accès), ainsi que les contrôles et les audits (reporting sur les actions effectuées sur le réseau à des fins d audit). En implémentant une solution IAM, les organisations passent par différentes phases d avancement eu égard à la professionnalisation de la gestion des accès. Pour que cette mise en œuvre s opère dans de bonnes conditions, Tools4ever conseille de déployer la solution IAM étape par étape. Cette approche permet aux organisations de répartir l'investissement de manière progressive sur une période plus longue et de se familiariser avec les nouveaux processus au fil des phases d'implémentation. La solution IAM est composée de différentes procédures correspondant aux étapes que Tools4ever utilise lors du déploiement de sa solution. Ces procédures/étapes sont les suivantes (ordre non spécifique) : Provisioning/gestion des utilisateurs : À ce stade, tous les utilisateurs, leurs droits d accès sont stockés de manière centralisée dans un enregistrement source. Grâce à ces données (éventuellement modifiées) de l enregistrement source, il est possible d'octroyer ou de supprimer automatiquement les droits d accès de certains utilisateurs. Cela permet d'éviter que d'anciens collaborateurs puissent accéder au réseau de l'entreprise sans autorisation. Gestion du workflow et self service : Ces fonctionnalités permettent aux collaborateurs d'effectuer des demandes de modification et de les répercuter dans le système IAM via une interface web. Une fois approuvées par un responsable ou une autre ressource habilitée (ex : le License manager), les demandes de modification sont automatiquement traitées et mises en place au sein de l'infrastructure informatique. Cela permet d optimiser le processus de gestion des utilisateurs, de consigner et de tracer toutes les opérations effectuées sur le système. 3

4 Gouvernance des accès (Access Governance) : Cette fonctionnalité garantit que les collaborateurs n'ont accès qu'aux applications et qu aux éléments dont ils ont besoin pour mener à bien leurs tâches. De plus, le fait que les utilisateurs disposent toujours de manière directe et simple aux autorisations adéquates fait que les audits ne sont plus une source d inquiétude. Authentification : Tools4ever propose diverses solutions permettant aux organisations de résoudre différentes problématiques d authentification. Elles regroupent les toutes dernières méthodes d'authentification (authentification à deux facteurs et portail SSO), ainsi que les méthodes traditionnelles (ex : les combinaisons identifiant / mot de passe) et comprennent le Single Sign On, la réinitialisation des mots de passe en self service (Self Service Reset Password Management SSRPM), le module prenant en charge la complexité des mots de passe (Password Complexity Manager PCM) et le module de synchronisation des mots de passe (Password Synchronization Manager PSM). Contrôle des droits d accès : Grâce à ce module, le dispositif IAM de Tools4ever permet de contrôler et de surveiller les opérations effectuées par les collaborateurs sur le réseau. Il permet notamment de savoir qui a supprimé, consulté ou déplacé tel ou tel fichier à un moment donné, ou de déterminer quels collaborateurs ont accès à un dossier partagé sur le réseau. Tools4ever propose la solution la plus rapide et la plus simple en termes de contrôle des accès et de gestion de la sécurité. Le propre d une solution IAM novatrice est d aider les entreprises à contrôler les identités et les droits d accès associés à leurs réseaux informatiques complexes et à se mettre en conformité avec les législations et les réglementations strictes. Tools4ever se distingue de ses concurrents grâce à sa méthode d implémentation par phases caractérisée par un déploiement et une intégration aux méthodes de travail de l entreprise étape par étape. L'implémentation peut être réalisée dans un délai relativement court, qui se compte en jours ou en semaines tout au plus, mais son assimilation à proprement dit au sein de l'organisation demande généralement de 3 à 6 mois par étape. Tools4ever développe tous ses logiciels en interne, ils ne sont pas issus de fusions acquisitions, pour ensuite être réintégrés dans le portefeuille de produits de la société. La solution IAM de Tools4ever convient aussi bien aux structures devant gérer des millions de comptes utilisateurs, qu aux petites et moyennes structures à partir de 300 employés. De nombreuses organisations font déjà confiance aux solutions IAM de Tools4ever et avec de loin le plus grand nombre d'implémentations à son actif, Tools4ever un acteur incontournable du marché. 4

5 1. INTRODUCTION Récemment encore, alors que les départements informatiques décidaient des méthodes de travail des employés dans un réseau extrêmement cloisonné (DMZ) avec une variété très pauvre d'appareils (ordinateurs portables, postes de travail et «clients légers»), les utilisateurs finaux réclament à l heure actuelle toujours plus de flexibilité. Ils souhaitent en effet accéder aux systèmes, aux applications et aux informations de l'entreprise depuis n importe quelle localisation et avec tous types d appareils (BYOD). En raison d'une demande de flexibilité accrûe de la maind'œuvre (travailleurs freelance, intérimaires, employés temporaires, consultants externes) et de l'intégration de la chaîne logistique, de plus en plus d utilisateurs ont besoin d accéder au réseau de l'entreprise, y compris des personnes ne faisant pas partie de ses effectifs. Par ailleurs, de récentes avancées, avec notamment l émergence des solutions de Cloud computing, du BYOD, de la virtualisation et de la fédération, font que les infrastructures informatiques se complexifient, alors qu en parallèle la législation et la réglementation relatives à la sécurité des informations de l'entreprise deviennent de plus en plus strictes au fil du temps. Les pouvoirs publics quant à eux, fixent des exigences toujours plus élevées, tandis qu un nombre croissant d'organisations doit faire face aux audits annuels. Autant de facteurs qui viennent complexifier encore davantage la gestion des informations de l'entreprise, sachant qu il est impossible de maîtriser une telle complexité manuellement. La Gestion des Identités et des Accès (IAM) permet de rester en conformité avec une législation et une réglementation toujours plus strictes au sein d une infrastructure elle aussi toujours plus complexe. Adopter une solution IAM appropriée, vous permettra d être en phase avec votre époque eu égard aux dernières avancées technologiques (cloud computing, virtualisation et BYOD), sans sacrifier pour autant l esprit d initiative de votre entreprise. 5

6 1.1 DEFINITION DE LA GESTION DES IDENTITES Le présent livre blanc présente les différentes caractéristiques de la Gestion des Identités et des Accès (IAM). Tools4ever définit l'iam comme étant la technologie permettant de gérer les identifiants et les droits d accès des utilisateurs sur différents systèmes et plates formes. La suite de solutions de Tools4ever prend en charge à la fois l'administration et le provisioning des utilisateurs (UAP User Administration and Provisioning), la gouvernance des identités et des accès (IAG Identity and Access Governance). Le présent livre blanc couvre l'ensemble de la gamme de produits de Tools4ever dans le domaine de l'iam. Tools4ever distingue les principaux composants de la solution IAM suivants : 1. Gestion de l'authentification : La gestion de l'authentification permet de vérifier que l'identité d'un utilisateur correspond bien à celle que celui ci prétend avoir. La forme la plus classique d'authentification est la combinaison d'un identifiant et d'un mot de passe. La gestion de l'authentification englobe toutes sortes de solutions qui simplifient ou remplacent le recours à un identifiant et à un mot de passe. Citons par exemple les mécanismes d'authentification à deux facteurs, tels que l'authentification matérielle par badge, les cartes à puce ou les téléphones portables. 2. Gestion des accès : Le but principal de la gestion des accès est de n'octroyer aux utilisateurs que l'accès aux applications et aux ressources strictement nécessaires à l'exercice de leur(s) fonction(s) au sein de l'entreprise. La gestion des accès comprend divers procédés et techniques permettant de veiller à ce que les droits d'accès soient corrects en permanence. Elle se concentre sur l'élaboration et la gestion de la matrice des accès, des dérogations étant approuvées et visées par les responsables habilités, aux éléments d'audits, etc. 3. Administration : Cette composante regroupe les tâches relatives à la gestion des identités, telles la création, la modification et la suppression de comptes utilisateurs dans les systèmes et les applications. Les outils d administration permettent d automatiser les procédures manuelles en vigueur. Ces procédures sont généralement rapprochées avec celles du système RH et de gestion du Workflow. En l occurrence, tout ce qui touche à la gestion des comptes utilisateurs fait souvent référence au provisioning (auto provisioning) et englobe l'automatisation de bout en bout du processus de gestion des comptes. 4. Contrôle et audit : Ce composant permet de contrôler ce qui se passe au sein de l'infrastructure informatique : chaque action d'un utilisateur est enregistrée et une corrélation peut être établie avec les droits d'accès octroyés via l outil d'administration et de gestion des droits d accès. Les données pertinentes sont rassemblées, mises en corrélation, analysées et font l'objet de rapports à des fins d'audit. Les conclusions peuvent également être utilisées pour affiner les règles de la solution IAM et contrôler les différentes procédures. 6

7 2. LA SOLUTION IAM DE TOOLS4EVER La solution IAM de Tools4ever comprend différents composants, dont l interconnexion est illustrée dans le diagramme ci dessous. 2.1 GENERALITES Le rôle de l'organisation est primordial, puisqu elle est la source d informations du système IAM. Elle détermine en effet quelles ressources informatiques sont nécessaires pour prendre en charge les processus opérationnels de l entreprise. Les environnements dépourvus de système IAM automatisé, doivent recourir à toute une série de procédures manuelles garantissant que leurs collaborateurs disposent de droits d accès appropriés aux ressources de l entreprise. Désormais, grâce à l IAM, toutes ces procédures manuelles pourront être automatisées. 7

8 2.2 ORGANISATION Une organisation est une structure dynamique, sujette à des changements au quotidien. Parmi les changements les plus fréquemment rencontrés par le système IAM, on recense l enregistrement de nouveaux collaborateurs, tout ce qui a trait à la mobilité professionnelle (changement de poste, de service ou mutation) et enfin, les fins de contrat. D'autres modifications, moins fréquentes mais cependant notables concernent les modifications opérées au niveau de la liste des fonctions, les restructurations et les changements opérés au sein de l organisation eu égard à la conformité avec les législations et les réglementations en vigueur à des fins d audit notamment. Ces informations peuvent être transmises au système IAM via un système RH ou via une interface de gestion du Workflow ou de selfservice. 2.3 SYSTÈME RH, DATA WAREHOUSE OU DONNÉES SOURCE De plus en plus d'organisations choisissent de recourir à leur application RH comme système d'enregistrement source pour la gestion des identités au sein de leur réseau et pour l'attribution d équipements. En d'autres termes, si un collaborateur n'est pas enregistré dans le système RH, il ne peut pas recevoir d'équipements (badge d'accès, bureau, poste de travail, etc.). Les entreprises choisissent de recourir à une base de données centrale contenant les données de tous les employés actifs dans l'organisation. Si ce type de données est disponible au sein de plusieurs systèmes plutôt qu au sein d un système RH unique, un système source composite (mixte) est généré et on parle alors généralement de Data warehouse (entrepôt de données) ou de système de données source. Une autre tendance intéressante observée dans le domaine des solutions IAM est que les fournisseurs de systèmes RH ajoutent de plus en plus de composants en self service, ce qui permet aux managers de visualiser les informations et d'effectuer des modifications eux mêmes. Les collaborateurs peuvent consulter de manière plus directe et plus rapide des informations relatives notamment à leur salaire, leurs jours de congé, leur fonction et leur service. Grâce à ces modules en self service, les données du système RH sont plus complètes, mises à jour plus rapidement, moins polluées et de meilleure qualité. Enfin, une troisième tendance intéressante en matière de systèmes IAM est que de nombreuses organisations procèdent à une réorganisation de leur matrice de fonctions. En raison du rôle plus central du système RH, il semble important d'assurer l'harmonisation de la matrice de foctions et donc d'éviter qu'elle ne comporte presque autant de fonctions que l'organisation ne compte d'employés. Il est en effet préférable de n'entretenir qu'un ensemble restreint de définitions de postes, ainsi qu une correspondance entre la structure des centres de coûts et la hiérarchie existante au sein de l'entreprise. L'interface principale entre le système RH et le système IAM est le module de provisioning de la solution IAM de Tools4ever. 2.4 PROVISIONING 8

9 Le moteur de provisioning du module IAM de Tools4ever assure l échange des identifiants entre les systèmes sources et cibles. Ainsi, les informations sont échangées entre le système RH et les autres systèmes via le réseau ou via le Cloud. Pour cela, le moteur communique étroitement avec le Workflow prenant en charge les composants IAM (pour le tri des données et l enrichissement des BDD), la gouvernance des droits d accès et le contrôle des droits d accès. Afin de garantir une gestion flexible, rapide et fiable de millions d identifiants, le moteur de provisioning est constitué de plusieurs modules, à savoir l Identity Vault, le mécanisme de synchronisation et les connecteurs. L'Identity Vault est le lieu de stockage central des identifiants des tous les systèmes connectés. Le Vault contient les identifiants, les droits d accès, les liens et les références ID des systèmes sources et cibles. Le Vault est orienté objet, paramétrable et est capable de gérer des millions d objets. Grâce à des fonctionnalités puissantes permettant une gestion efficace du dispositif, il est aisé de répondre à chaque exigence ou demande d échange d attributs entre les systèmes. Le mécanisme de synchronisation prend en charge l échange des données entre l'identity Vault et les systèmes sources et cibles. Il détecte également les modifications dans les systèmes sources et cibles et les répercute dans l'identity Vault. Il en va de même pour les modifications opérées au niveau du Vault. Toutes ces procédures sont initiées à partir des connecteurs. Le mécanisme de synchronisation est contrôlé par une base de données contenant toutes les règles permettant de gérer de nombreuses fonctionnalités : règles de mappage, contrôle des doublons, règles de transformation et règles en matière de détection des itérations. Les Connecteurs prennent en charge la traduction bidirectionnelle des données au sein de l'identity Vault et des données dans les systèmes sources et cibles. Tools4ever a développé plus de 200 connecteurs et est capable d en concevoir de nouveaux à une vitesse fulgurante. Les connecteurs font partie du dispositif de support de Tools4ever. Lors de modifications dans les systèmes sources et cibles, les connecteurs sont adaptés en conséquence par Tools4ever. Tools4ever dispose de connecteurs standards pour les systèmes RH (SAP, HCM, Peoplesoft etc.), les applications du Cloud (Google Apps, Office365, Salesforce etc.), les applications locales (SAP), les applications virtualisées, les systèmes d e mails (Exchange, Lotus Notes et Groupwise, les bases de données, les systèmes d exploitation (IS400, Windows et Novell) et les annuaires (Active Directory, edirectory et LDAP). 2.5 WORKFLOW ET SELF SERVICE Le workflow et le self service offrent la possibilité aux collaborateurs de demander facilement des modifications via une interface web et de les implémenter dans le système IAM. Le workflow et le self service sont mis en place pour les informations qui ne peuvent pas être fournies automatiquement depuis le système RH. 9

10 Le schéma ci dessous donne un aperçu des dispositifs de workflow et de self service : 10

11 L initiateur en ce qui concerne les modifications fréquentes est l utilisateur final (le collaborateur). Par exemple, lorsqu un collaborateur débute une nouvelle mission, de nombreuses démarches doivent être accomplies pour s assurer qu il aura les accès adéquats aux ressources de l entreprise, comme par exemple aux applications (Cloud), aux systèmes, aux données et à la messagerie de l entreprise. Le manager du collaborateur joue un rôle important dans ce processus. En effet, il approuve les demandes et effectue également les demandes de matériel pour ses collaborateurs. En fonction du type de demande, d'autres parties prenantes comme le responsable des licences, le responsable de la sécurité, les agents en charge des installations et des équipements informatiques peuvent être impliquées dans le processus de validation. Une fois la validation obtenue, les demandes sont traitées au sein de l infrastructure IT de façon automatisée via le composant d auto provisioning. Le Workflow offre des avantages non négligeables. En effet, sans lui, il serait notamment difficile d assurer une traçabilité effective du processus de validation des droit d accès d un collaborateur et à quelle date (en cas d'audit). Le système de gestion du Workflow est un moyen sûr de toujours conserver un historique clair de l ensemble du processus de validation. Les composants de Workflow et de self service de Tools4ever disposent d une interface proche de celle des applications du type I phone, accessible et 100% personnalisable. Les formulaires peuvent être intégrés de façon homogène aux portails de self service et/ou extranet existants et sont extrêmement faciles à utiliser. Les différents formulaires proposent un mécanisme de délégation perfectionné basé sur les contenus et les types de formulaires. Il est possible de créer un formulaire pour un groupe de collaborateurs en particulier et d en préciser ensuite les options à sélectionner (contenu), et ce, en fonction du rôle de l utilisateur final. Pour garantir un fonctionnement optimum du système de Workflow, ce dernier a été équipé d une série de fonctionnalités pratiques. Par exemple, un manager peut déléguer des tâches récurrentes à un assistant. Ou encore, lorsqu une tâche reste en suspens trop longtemps, elle sera automatiquement transmise à l échelon supérieur. Les validations de même type peuvent être traitées en une seule opération. Les parcours du Workflow sont facilement modifiables. En cas d engorgement, le responsable du Workflow peut répartir des tickets entre les utilisateurs dans le système de Workflow. Les éléments constitutifs du tableau de bord en self service ressemblent à un catalogue. Le catalogue se compose d éléments liés aux comptes d utilisateurs, mais on peut également y trouver des listes de matériels, comme des téléphones, des ordinateurs portables, des espaces de stockage supplémentaires, etc. Le catalogue est conçu de façon dynamique, sur la base de systèmes sous jacents, comme Active Directory, Exchange, le helpdesk, le système de gestion du matériel et l ERP. Si les systèmes sous jacents sont modifiés, le catalogue est automatiquement mis à jour pour tenir compte de ces changements. 11

12 2.6 GOUVERNANCE DES DROITS D ACCES La Gouvernance des droits d accès est une composante importante du système IAM de Tools4ever. L objectif de la gouvernance en matière d identifiants et de droits d accès (IAG) est de n octroyer aux collaborateurs que les accès aux ressources réseau dont ils ont besoin pour effectuer leurs tâches. Ces dernières années, l importance de l IAG n a fait qu augmenter en raison du durcissement des législations et des réglementations (HIPAA, SOX, Décret de Confidentialité, etc.), d une forte augmentation de la numérisation des procédures de travail, ainsi qu en raison d une complexification accrûe des infrastructures informatiques. À l origine, la gouvernance des droits d accès concernait principalement les institutions financières et les grandes entreprises internationales. Or actuellement, elle est de plus en plus largement adoptée par les établissements de soins, les moyennes entreprises ( collaborateurs) et d autres organisations commerciales. Les Conseils d administration, les directions et les responsables de la sécurité veulent et doivent pouvoir contrôler les différents droits d accès de leurs collaborateurs. Un des inconvénients majeurs de cette exigence est qu elle est complexe, fastidieuse et longue à mettre en place. De plus, dans les faits, un contrôle continu du processus d attribution des droits d accès n est pas réalisable. Beaucoup d organisations sont dans la phase de démarrage de la gouvernance des droits d accès et ne disposent ni de l approche théorique, ni des logiciels nécessaires. Les droits sont octroyés sur la base de copies de profils d utilisateurs (ex : «Yolande va effectuer les mêmes tâches que Marianne»), d utilisateurs types (disponibles au niveau de l organisation ou du département), de feuilles de calcul et d applications mineures développées en interne. Tools4ever, en revanche, avec sa suite IAM propose la gouvernance des droits d accès sous la forme d une approche par phases, à laquelle viennent s ajouter différents modules pour logiciels. Dès la phase initiale, la gouvernance des droits d accès proposée par Tools4ever propose aux organisations une plate forme professionnalisée leur permettant de gérer leurs droits d accès de façon bien définie. 12

13 Le schéma ci dessous donne un aperçu de l approche et des modules constitutifs de la Gouvernance des Droits d Accès proposée par Tools4ever : 13

14 2.6.1 ANALYSE DES ROLES : COLLECTE, MISE EN CORRELATION ET ANALYSE La Gouvernance des Droits d Accès commence par une cartographie des différentes structures de droits d accès, ainsi que des informations afférentes. Ce bilan peut notamment être obtenu grâce à : Des modèles et des processus existants : Il s agit de dresser un inventaire des procédures manuelles utilisées par les responsables informatiques et les responsables applicatifs pour générer et gérer les droits d accès. Il peut s agir de copies de profils d utilisateurs, d utilisateurs types, de procédures manuelles et/ou de systèmes internes dotés d une base de données SQL sousjacente. Inventaire : Les informations utilisées sont le plus souvent connues des managers. Parfois, une découverte (partielle) est réalisée à l endroit de détermination des droits d accès qui sont définis pour chaque département/fonction/rôle, ce qui a pour conséquence de générer une matrice de sécurité. Très souvent, la compilation de ce type de matrice aura nécessité beaucoup de temps et d efforts, alors que les informations collectées s avèrent souvent incomplètes ou obsolètes. Extraction des rôles : Il s agit de l extraction et de la collecte d informations depuis le système RH (déterminantes pour la matrice des fonctions et les tâches des collaborateurs dans l organisation), ainsi que des droits d accès octroyés pour les systèmes concernés (ERP, Active Directory, Exchange, Sharepoint et Data storage/shares). Cette dernière méthode est souvent désignée comme le développement de rôles ascendant ou de l extraction de rôles. Les rôles sont définis en fonction de la structure informatique en place. Grâce à la Gouvernance des Accès, Tools4ever prend en charge diverses techniques permettant de collecter et d enregistrer des informations relatives aux droits d accès. Tools4ever propose une méthode de stockage homogène permettant aux utilisateurs de faire correspondre leurs identifiants à leurs droits d accès. D ordinaire, ce type d opération génèrerait des blocages du système pour bon nombre d organisations, ce type d informations étant le plus souvent stocké sur différents systèmes avec des ID différents et sous différents formats. L harmonisation et l analyse des informations nécessitent un identifiant unique par identité. Une fois les données harmonisées, il sera alors possible de présenter les droits d accès nettoyés aux différents responsables de départements et de les faire actualiser (attestation). Il n est pas rare d avoir un pourcentage de données relatives aux droits «polluées» de l ordre de 25% au sein d une organisation. Tools4ever propose également des logiciels de simulation permettant de mesurer le pourcentage de droits d accès effectivement utilisés pour ses différents systèmes (Stockage de données/ntfs et Active Directory) sur une période donnée. 14

15 2.6.2 CONCEPTION DES ROLES Au cours de cette étape, les informations collectées en amont sur les droits d accès sont converties en un modèle de rôles et enregistrées dans un catalogue des rôles. Cette conversion des droits d accès au système en rôles d entreprise facilite l évaluation et l attribution des droits d accès aux collaborateurs par les managers. Il s agit là d une étape cruciale à la base des fondements du modèle de Gouvernance des Accès. Après avoir défini le modèle de base pour les rôles, les règles de conformité et d audit applicables doivent également l être (modèle de politique). Ces règles doivent impérativement être respectées lors de l attribution des rôles aux collaborateurs, et toute dérogation à ces règles doit être justifiée. Quelques exemples : la séparation des tâches (Segregation of Duties SoD), les transactions supérieures à 50K devant être validées par au moins 2 collaborateurs, le blocage des accès à distance aux données financières. Enfin, il convient de déterminer quelles sont les ressources contenant des informations sensibles et quels sont les facteurs de risque. De cette manière, les managers peuvent déterminer plus facilement lors de l attribution des rôles et leur évaluation, quels collaborateurs pourront accéder aux informations sensibles (modèle de risque) GESTION ACTIVE DES ROLES À cette étape, le modèle des rôles développé et nettoyé passe en production dans le système IAM de Tools4ever et est appliqué de manière active pour les collaborateurs rejoignant l organisation ou ceux ayant été promus. Les rôles ainsi que les rôles des systèmes sous jacents sont utilisés dans les applications et au sein de l infrastructure NTIC via le module de provisioning de Tools4ever. Les données à modifier sont réceptionnées via les canaux suivants : 1) Le Système RH : Dès qu un nouveau collaborateur est embauché, son rôle et ses fonctions clairement définis. Toute promotion ou tout changement effectué au niveau du département, affectation ou site sera également enregistré et pris en compte dans le système RH. Les droits d accès appropriés sont octroyés en utilisant le modèle de rôles. En cas de modification, les droits restent valables pendant une période déterminée, puis sont supprimés automatiquement. Ceci permet d éviter une accumulation de droits d accès devenus inutiles. 2) La gestion du Workflow et le Self Service (WFM/SS) : En général, les droits d accès standards obtenus via le système RH suffisent dans un premier temps pour qu un collaborateur puisse commencer à travailler. Cependant, il peut arriver que le collaborateur se voit confier des tâches supplémentaires par son supérieur, auquel cas, il se verra attribuer des ressources complémentaires sur le réseau (accès aux applications et au partage de données/ réseaux partagés). Grâce à la gestion du Workflow et au self service, les responsables ont la possibilité de demander des droits d accès supplémentaires de façon autonome (dans le cadre défini par leurs fonctions). La demande de droits d accès supplémentaires peut également être initiée par le collaborateur lui même par le biais d options en self service, pour lesquelles le responsable doit donner son accord. Ce modèle est également appelé demande d accès sur base de validation (Claim Based Access Control CBAC). 15

16 3) La Vérification et le rapprochement de données : La saisie opérationnelle quotidienne provient des sources 1 et 2 ci dessus. Par ailleurs, la Gouvernance des Accès garantit que le modèle est encore valable et qu il correspond toujours à la situation réelle sur le réseau grâce aux procédures de vérification et de rapprochement. La procédure de vérification permet à chaque responsable de disposer régulièrement d une vue d ensemble des droits d accès de tous les collaborateurs sous sa responsabilité. Une interface web permet en effet au manager de contrôler et d approuver des droits d accès et/ou de modifier ces droits en toute simplicité. Les modifications apportées par le manager sont soumises au propriétaire du modèle du rôle et peuvent donner lieu à sa modification ou non. Le rapprochement des données permet de vérifier que les droits d accès attribués sur le réseau correspondent bien aux informations du modèle de rôle dans Identity Vault de IAM. Si des écarts sont constatés, cela signifiera que quelqu un a effectué des modifications directement sur le réseau, en contournant le système IAM de Tools4ever. Le module IAM de Tools4ever permet de détecter ce type de modifications et de les soumettre au propriétaire responsable. Celui ci se verra proposer trois options : rendre la modification permanente pour un ou plusieurs utilisateurs (y compris pour une modification du rôle en question), approuver le changement pour une période donnée, ou faire un retour arrière dans le système cible. Toutes les actions et les modifications effectuées au niveau du module IAM de Tools4ever sont sauvegardées de façon centralisée. Un système de reporting est mis à la disposition des utilisateurs de sorte qu ils peuvent générer tous les rapports désirés. A des fins de conformité et en prévision d audits éventuels, il est important notamment de pouvoir générer des rapports mentionnant les droits d accès octroyés et l initiateur de cet octroi. Concernant ce type de rapport, le système tire ses informations du Vault IDM (qui obtient des accès et pour quoi?), de différents composants de l infrastructure (l accès est il réellement conforme au Vault?) et du système de gestion du workflow (qui a octroyé tel ou tel droit d accès et quand?). Etant donné que le modèle de rôles et que le Vault IDM enregistrent chaque modification comme une nouvelle version, il est également possible de générer des rapports sur l historique des droits d accès et des décisions prises. 2.7 AUTHENTIFICATION Pour accéder aux différents composants de l infrastructure IT hybride (Cloud, applications, centre de données et Active Directory), le collaborateur doit s identifier. Il est par conséquent indispensable de prévenir toute usurpation d identité. Le processus d authentification permet de contrôler que la preuve de l identité fournie correspond aux données enregistrées dans le système. 16

17 À ce jour, le mécanisme d authentification le plus utilisé reste la combinaison d un identifiant et d'un mot de passe. Une nouvelle tendance consiste à utiliser des méthodes alternatives pour lesquelles l utilisateur doit également posséder une preuve physique de son identité, comme par exemple une carte à puce (smartcard), un téléphone mobile, un badge ou un support NFC. L authentification au moyen d une preuve physique de son identité combinée à un code PIN fait référence à une authentification à deux facteurs : le collaborateur doit divulguer une information connue de lui seul (code PIN) et présenter un élément physique au titre de preuve. Une autre tendance consiste à pouvoir s authentifier à partir de n importe quel lieu. À l origine, l authentification au sein de l organisation se faisait via le PC d un administrateur, un identifiant, un mot de passe et l Active Directory. A l heure actuelle, force est de constater que les collaborateurs ont besoin d accéder à l infrastructure IT de leur organisation à partir de n importe quel endroit (bureau, domicile, hôtels et aéroport), et ce, à l aide de n importe quel support (ordinateur portable, tablette numérique ou smartphone). Une autre possibilité consiste pour les organisations à mettre à la disposition de leurs collaborateurs un portail centralisé, leur permettant d accéder à toutes les applications basées sur le net. Les collaborateurs s y authentifient une fois pour pouvoir accéder au portail, pour cela leurs informations d authentification doivent correspondre aux données enregistrées dans l Active Directory ou un annuaire LDAP. Ensuite, ils ne sont plus obligés de confirmer leur identité pour lancer une nouvelle application ou accéder à un autre service. Ce système est également connu sous le nom de portail SSO. Les solutions de gestion relatives à l authentification de la suite IAM de Tools4ever permettent aux organisations de résoudre leurs différentes problématiques en matière d authentification. Par ailleurs, Tools4ever accorde une attention toute particulière aux nouvelles tendances, notamment à l authentification à deux facteurs et au portail SSO. Inversement, Tools4ever prend également en charge les formes classiques d authentification, à savoir les combinaisons identifiant / mot de passe. Pour cette forme classique d authentification, Tools4ever propose les solutions de gestion de mot de passe suivantes : 1) La réinitialisation des mots de passe en self service (SSRPM) : Cette solution permet aux utilisateurs de réinitialiser eux mêmes leur mot de passe depuis l écran de connexion Windows, sans avoir besoin de recourir aux services du Helpdesk. L'utilisateur s identifie en répondant à un certain nombre de questions personnelles («quel est le nom de jeune fille de votre mère?»), dont les réponses ont préalablement été enregistrées dans le système. 2) L Authentification unique (Single Sign On) Grâce au SSO, les utilisateurs n ont besoin de s identifier qu une seule fois en saisissant une seule combinaison identifiant/mot de passe. Une fois la procédure d authentification unique effectuée, les utilisateurs n ont plus besoin de s authentifier à nouveau pour pouvoir accéder à d autres systèmes ou applications. Le logiciel SSO de Tools4ever prend en charge tous les dispositifs à deux facteurs d authentification standards (cartes à puce, identification biométrique, par badge, quadrillage, etc.), les applications du Cloud, Internet, le portail SSO, SAML, Openld, ADFS, etc. Dans le secteur de la santé, un accès simple et rapide aux systèmes constitue un prérequis. Les professionnels de santé se déplacent d un site à un autre (ex : visites aux patients) et doivent bien souvent se connecter à plusieurs systèmes dans une même journée. Un grand nombre d organisations spécialisées 17

18 dans les métiers de la santé investissent dans une infrastructure virtuelle «client léger» avec notamment sur des consoles Citrix XenApp XenDesktop. Tools4ever fait en sorte que la dernière étape de ce processus, la connexion à l aide d un identifiant et d un mot de passe, soit grandement simplifiée, puis remplacée par des connexions via une carte à puce. 3) Synchronisation des mots de passe Le logiciel développé par Tools4ever permet de synchroniser les mots de passe au sein de différents systèmes et applications. Le logiciel propose une intégration en mode spécifique dans votre Active Directory. En cas de changement de mot de passe, le nouveau mot de passe sera transmis à l ensemble des systèmes connectés (synchronisation). L avantage pour les utilisateurs finaux étant qu ils peuvent accéder à différents systèmes à l aide d un même mot de passe. 4) Complexité du mot de passe Cette solution offre différentes options : A) Concernant la synchronisation des mots de passe, il est important que la complexité des mots de passe soit identique d un système à l autre. Cette solution garantit que l Active Directory n accepte que les mots de passe également acceptés par d autres systèmes. B) L introduction de mots de passe complexes dans Windows est la garantie d avoir des utilisateurs en position inconfortable. En effet, les utilisateurs ne disposent pas d une vision claire des règles de complexité qui s appliquent et reçoivent des messages d erreur confus. Le module gérant la complexité des mots de passe fait la lumière sur ces règles de complexité et les pointe dès que le nouveau mot de passe respecte une règle de complexité. 2.8 CONTROLE DES ACCES De nombreux systèmes IAM mettent l accent sur les processus administratifs entourant la gestion des identités et des accès des utilisateurs sur le réseau. Le fait est que la manière dont les utilisateurs utilisent effectivement les droits d accès qui leur sont accordés s avère souvent opaque. Les fonctionnalités liées à l Access Monitoring de la solution IAM de Tools4ever permettent aux organisations de vérifier et de contrôler les activités de leurs collaborateurs. Si un collaborateur accède à une partie du réseau via un chemin non autorisé et autre que le système IAM, le problème est immédiatement détecté (automatiquement), de sorte qu un remède puisse être appliqué sans délai.. Tools4ever propose de nombreux plug ins permettant de contrôler différents sous systèmes sur la base d événements. Les plug ins déjà existants sont compatibles avec NTFS (système de fichier Windows) et Active Directory. Sur la feuille de route sont mentionnés les plug ins pour SQL server, Oracle et différentes applications ERP. Les plug ins constituent une mine d informations sur les actions menées au niveau des sous systèmes. Il est notamment possible de savoir qui a eu accès, déplacé ou effacé tel ou tel fichier et quand? Quels partages ont été consultés par tel ou tel groupe d utilisateurs? Mises à part les informations basées sur les événements, le plug in 18

19 indique également le statut actuel : quels collaborateurs ont accès à un partage donné, quels partages sont accessibles à tel ou tel utilisateur et enfin des droits d accès redondants sont ils présents dans le système de fichier? Les informations collectées par les plug ins peuvent être directement reliées aux données du système IAM. Pour exemple, en cas d écarts de conduite dangereux observés dans le système, celui ci peut intervenir automatiquement en envoyant une notification au responsable ou en supprimant ses droits d accès. Une autre possibilité consiste à consigner les droits d accès réellement utilisés pendant une période de 3 mois. Ces informations peuvent alors être exploitées pour créer une matrice d autorisation ou pour tester un nouveau projet avant qu il ne soit lancé. Inutile de préciser que l atout distinctif du module d Access Monitoring de Tools4ever, ce sont ses fonctionnalités de reporting avancées en termes d audit. 19

20 3. QUELS SONT LES ATOUTS DISTINCTIFS DE LA SOLUTION IAM DE TOOLS4EVER? Le marché de l'iam ne cesse de se développer et tous les acteurs du marché se sont mis d accord sur les fonctionnalités que les solutions de Gestion des Identités & des Accès doivent proposer aux entreprises. Pendant la phase de sélection, de nombreux fournisseurs proposent des solutions apparemment adaptées, seulement, force est de constater que la phase de déploiement donne lieu à de nombreuses surprises. Les phases d implémentation sont en effet trop souvent une source de mécontentements, notamment lorsque celleci mobilise plus de ressources que prévu et que les délais s allongent, tandis que les objectifs ne sont pas atteints. Là où Tools4ever fait la différence, c est que sa solution IAM dédiée aux entreprises est unique et innovante, et surtout elle ne réserve aucune mauvaise surprise. La solution IAM de Tools4ever permet aux organisations de maîtriser la gestion des identités et d envisager les audits en toute sérénité. Une présentation étape par étape des caractéristiques distinctives de la solution IAM de Tools4ever est reprise ci dessous. 3.1 METHODE D IMPLEMENTATION PAR PHASES Lors de l implémentation d une solution IAM, une organisation traverse différentes phases d avancement eu égard à la professionnalisation de la Gestion des Identités. Naturellement, l accent n est pas simplement mis sur l aspect informatique (provisioning), mais davantage sur les processus métiers (Gestion du Workflow, Access Governance et Self Service). Pour que l implémentation de la solution IAM soit bien maîtrisée, il est recommandé de la déployer étape par étape. A chaque étape réussie du déploiement et une fois que ce premier déploiement a été assimilé au sein de l organisation, la phase suivante peut être initiée. Parmi les étapes IAM complexes à mettre en place au sein de l entreprise, il y a la création d une matrice Access Governance (gouvernance des accès), le nommage et l harmonisation des identifiants au sein des différents systèmes cibles, la prise de décisions en interne concernant la mise en place d un système d enregistrement central de gestion des identifiants et enfin l introduction et le déploiement d un portail en self service. Grâce à son expérience et à son expertise, il sera relativement facile pour Tools4ever de mettre en place chaque étape du déploiement (en quelques jours et/ou semaines seulement), sachant que l intégration définitive au sein de l organisation dure entre 3 à 6 mois pour chaque étape. La méthode d implémentation de Tools4ever s harmonise parfaitement avec le processus par étapes explicité ci dessus et sa valeur ajoutée a été éprouvée au fil des ans. 3.2 UNE GAMME COMPLETE DE CONNECTEURS Un écueil bien connu en ce qui concerne les implémentations IAM est qu aucune connexion avec les systèmes sources et cibles n est disponible. La connexion doit alors être effectuée de façon personnalisée par le client du fournisseur de la solution IAM. Cette connexion s avère généralement longue. N étant par ailleurs pas réalisée par une partie experte à 100%, la gestion, le support et la personnalisation sont souvent des sujets de préoccupation. 20