Les six piliers de la gestion des identités et des accès

Transcription

1 Réflexions des établissements Banque et Assurance du Forum des Compétences Les six piliers de la gestion des identités et des accès avec la contribution de

2 Ce document est la propriété intellectuelle du Forum des Compétences Dépôt légal chez Logitas. Reproduction totale ou partielle interdite 2 Forum des Compétences

3 Sommaire INTRODUCTION... 4 FICHE 1 : GOUVERNANCE... 6 L ESSENTIEL... 6 PRATIQUES CONSTATEES... 6 POINTS D ATTENTION... 7 L IAM : un véritable processus d entreprise... 7 L atout d un bon sponsor... 7 L apport d une bonne communication... 7 L adéquation entre l organisation de l établissement et les processus d IAM... 7 FICHE 2 : IDENTIFICATION... 9 L ESSENTIEL... 9 PRATIQUES CONSTATEES... 9 POINTS D ATTENTION... 9 La constitution d annuaires de référence... 9 Les besoins d identification de bout en bout La prise en compte des différentes populations FICHE 3 : AUTHENTIFICATION L ESSENTIEL PRATIQUES CONSTATEES POINTS D ATTENTION L authentification des partenaires L authentification en mobilité ou dans le cloud FICHE 4 : MODÈLE D HABILITATION L ESSENTIEL PRATIQUES CONSTATEES POINTS D ATTENTION La modélisation des rôles Métier Les habilitations aux données non structurées FICHE 5 : IMPLÉMENTATION L ESSENTIEL PRATIQUES CONSTATEES POINTS D ATTENTION La progressivité dans l implémentation La consumérisation des habilitations La contribution des outils d IAM à la surveillance des évènements de sécurité FICHE 6 : CONTRÔLE L ESSENTIEL PRATIQUES CONSTATEES POINTS D ATTENTION Commencer par des «choses simples» Ne pas négliger le contrôle des «déshabilitations» GLOSSAIRE Forum des Compétences

4 Introduction Dans un contexte où les frontières classiques du SI appartiennent au passé, la gestion des identités et des accès prend toute son importance : accès au SI à partir de points multiples ; accès à partir de nouveaux équipements : tablettes, smartphones utilisation de nouveaux services : cloud computing intégration d utilisateurs externes à l entreprise : partenaires, fournisseurs.. Cette importance est renforcée par les obligations réglementaires ou légales qui s imposent aux établissements des mondes financiers et de l assurance : mesure et réduction de l exposition à certains risques opérationnels (Bale II) ; protection des données à caractère personnel (Loi Informatique et Libertés) ; intégrité des données de reporting financier (Loi de la Sécurité Financière). C est dans ce contexte que le groupe de travail du Forum des Compétences a souhaité orienter sa réflexion. Ce document présente la synthèse de ces débats. Il a pour objectif de présenter les principes fondamentaux, les pratiques constatées dans les établissements et les points d attention pour chacun des six piliers de la gestion des identités et des accès : gouvernance les identités et des accès ; identification de l utilisateur ; authentification de son accès au Système d Information (SI) ; habilitation aux différentes ressources du SI ; implémentation d outil et de service pour gérer les identités et des habilitations ; contrôle des procédures de gestion et de conformité des identités et des droits accordés. Le Forum des Compétences a déjà publié deux autres documents «habilitation» et «authentification» qui apportent une vue plus détaillée sur ces deux domaines. Dans la suite du document, les termes «gestion des identités et des accès» ou «IAM» (Identity and Access Management) seront utilisés indifféremment. 4 Forum des Compétences

5 Le groupe de travail a été animé par Marc de VALLIER de LA BANQUE POSTALE, assisté par la société ATHEOS représentée par Françoise LE DAIN. Les membres du groupe de travail qui ont participé aux différents échanges étaient : Nicola ANDREU - Groupe BNPPARIBAS Patrick BEAUFRERE LA BANQUE POSTALE Xavier BOIDART CA-PACIFICA Patrick BRUGUIER - BANQUE DE FRANCE Christophe CHANCEL - BANQUE DE FRANCE Olivier CHAPRON - Groupe SOCIETE GENERALE Jean-Paul COUROUGE Groupe CREDIT AGRICOLE Jean-Yves COUTTON - LCL Patricia DELBECQUE - CA-INDOSUEZ Private Banking Gil DELILLE Groupe CREDIT AGRICOLE Jean-François DIDIER - BRED Henri GUIHEUX - SCOR Mathias LORILLEUX - SCOR 5 Forum des Compétences

6 Fiche 1 : GOUVERNANCE «Gouverner, c est prévoir» L essentiel Le modèle d organisation en matière de gestion des identités et des accès structure les relations entre les différentes parties prenantes de l entreprise. La gouvernance influe sur la répartition des tâches, des responsabilités, des pouvoirs et des modes de communication. Une note de gouvernance en matière d IAM définit : «Ce qui est fait», en adéquation avec les besoins de l entreprise (couverture des risques majeurs, apports de valeurs pour les Métiers ) ; «Comment cela est fait», en précisant les priorités et les règles à appliquer ; «Comment les décisions sont prises», en fixant les rôles et les responsabilités des intervenants et en identifiant les instances de décision ; «Quels contrôles et reporting sont nécessaires», en adéquation notamment avec les contraintes réglementaires. Une politique de gestion des identités et des accès, souvent intégrée au référentiel sécurité de l entreprise, précise les attendus pour les cinq thématiques majeures de l IAM : identification : «dire qui l on est» ; authentification : «prouver qui l on est» ; habilitation : «accorder les bons droits à la bonne personne» ; implémentation : «outiller la gestion des identités et des accès» ; contrôle : «vérifier l application des procédures de gestion et la conformité des identités et des droits accordés». Pratiques constatées En ce qui concerne l organisation mise en place, les pratiques constatées varient en fonction de l implantation des établissements et du niveau de maturité atteint en matière de gestion des identités et des accès. Le choix constaté pour le modèle de gouvernance repose principalement sur : la dimension nationale ou internationale ; le nombre de personnes accédant au SI ; les besoins en termes d agilité en regard des évolutions (réorganisation / acquisition) ; la volonté de standardiser / urbaniser la gestion des identités et des accès ; les besoins en termes de contrôle et de reporting. Une politique de gestion des identités et des accès est généralement définie et un sponsor de haut niveau est souvent identifié. 6 Forum des Compétences

7 Points d attention L IAM : un véritable processus d entreprise Les travaux relatifs à l IAM ne sont désormais plus circonscrits au périmètre purement informatique ; les Métiers en sont les clients, mais sont aussi les principaux acteurs. Il est indispensable de prendre conscience que la gestion des identités et des accès est un processus d entreprise permanent et non un projet avec un début en une fin. Les évolutions des établissements dans leur organisation ou dans leurs Métiers impliquent nécessairement des répercussions sur les identités et les droits accordés. L atout d un bon sponsor Tout processus d IAM est transverse à l entreprise et implique de nombreuses directions Métier. L obtention d un sponsoring fort est nécessaire. Il n y a pas de sponsor «type». Selon la structure de l entreprise et les priorités fixées, ce sponsor peut être situé à la Direction Générale, à la Direction des Ressources Humaines, dans une Direction Métier ou bien être constitué par les correspondants risque ou sécurité au sein des différentes directions de l'entreprise. Le sponsor «idéal» doit pouvoir associer l ensemble des parties prenantes et plus particulièrement les «sachants du terrain». Il doit également pouvoir mobiliser les utilisateurs finaux et convaincre sur les gains Métier apportés. L apport d une bonne communication «Un projet qui ne communique pas est un projet qui n existe pas». Le bon choix de messages, vecteurs des apports attendus, permet de gagner l adhésion des Directions Métier et des utilisateurs finaux. Les approches possibles peuvent être par exemple : la conformité, à la politique de sécurité de l entreprise, aux contraintes réglementaires l apport de valeurs pour les Métiers, en facilitant d intégration de nouvelles applications ou les réorganisations internes le confort utilisateur, notamment pour l authentification, l auto-enrôlement à certaines applications, la gestion des demandes l automatisation des contrôles, en permettant un gain en fiabilité des habilitations accordées. L adéquation entre l organisation de l établissement et les processus d IAM Les établissements ont des besoins et contraintes variées en matière de gestion des identités et des accès. La mise en œuvre des processus de l IAM doit tenir compte de l organisation en place. Plusieurs modèles peuvent être adoptés : Centralisation de certaines activités au niveau de l établissement principal. Ceci permet une standardisation des moyens et des pratiques et apporte une cohérence globale au niveau de toutes les entités de l établissement. Mais cette centralisation peut entrainer un manque de souplesse et d implication des entités départementales ou locales. La centralisation peut être adoptée par exemple pour la constitution d un annuaire de référence des identités ou bien pour le choix d un support d authentification commun à toute l entreprise. 7 Forum des Compétences

8 Autonomie de certaines activités selon des critères géographiques ou d appartenance à un Métier. Cette approche permet une adaptation des pratiques aux besoins spécifiques rencontrés. Elle peut être adoptée par exemple pour la construction des profils Métier au plus près des sachants. Combinaison des deux précédentes approches pour certaines activités. Ceci permet de répondre à des attendus différents pour une même activité ou une partie d activité. Elle peut être adoptée par exemple pour les contrôles. Des actions de contrôle peuvent être définies et mises en œuvre localement, en toute autonomie, en effectuant un reporting également local. En complément des contrôles peuvent être fixés au niveau central et menés localement, en effectuant un reporting vers les différents niveaux de l établissement. Le choix d adopter l un ou l autre des modèles peut être motivé par des éléments tels que : le gain de valeur pour les Métiers grâce à une meilleure interopérabilité entre entités ou avec des tiers ; l agilité face aux mutations des systèmes d information telles que la mobilité, le cloud computing, les applications en mode SaaS l intégration des fusions / acquisitions d entreprises. 8 Forum des Compétences

9 Fiche 2 : IDENTIFICATION «S identifier, c est dire qui l on est» L essentiel L enjeu de l identification est de fournir une identité de référence fiable pour une personne. Une identité est composée d un ensemble d informations caractérisant une personne. Elle est associée à un ou plusieurs identifiants et à un ensemble d attributs (nom, prénom, adresse, téléphone, compte ) stockés sur le SI. Aujourd hui, la réalité du SI montre qu il y a une multiplication de ces sources d informations due à ; l existence de différentes catégories d utilisateur (salarié, prestataire, fournisseur ) ; l hétérogénéité des applications et des incompatibilités des structures (annuaire LDPAP, Active Directory, SGBD, fichiers CSV...). La constitution d un annuaire de référence est importante pour faciliter la mise en place d une gestion des identités et des accès efficace. Pratiques constatées En ce qui concerne la gestion de l identité, la distinction entre les notions d identité et d identifiant est généralement bien appréhendée et le rattachement des différents identifiants à une identité unique est un objectif commun. Les sources d identité sont souvent diverses (annuaire RH, base des achats pour les prestataires ). Pour les établissements de grande taille, ces identités sont en général regroupées dans un annuaire central de référence, alimenté périodiquement par les annuaires des différentes entités. Le matricule RH est souvent l identifiant de référence des personnels internes. Pour les personnels externes, l identifiant porte parfois un élément distinctif de leur état. Il existe quelquefois des identifiants multiples rattachés à une même identité avec des nomenclatures diverses héritées de l histoire de l établissement ou bien de l existence d applicatifs imposants des contraintes de constitution. La technologie dominante pour les référentiels d identité est l annuaire LDAP. Points d attention La constitution d annuaires de référence L idéal peut sembler être un référentiel unique détenant toutes les identités ainsi que leurs attributs (identifiants, certificats électroniques ). Dans la réalité, cet objectif est difficilement atteignable en raison de la taille des établissements et de l hétérogénéité de leurs applications. Toutefois, il est indispensable de limiter le nombre d annuaires et de les faire communiquer entre eux. 9 Forum des Compétences

10 Afin de fédérer et de synchroniser les informations contenues dans les différents annuaires, il peut être utile de mettre en place un méta-annuaire, qui devient alors l annuaire «pivot». Celui-ci a vocation à répliquer les données provenant de sources éparpillées sur le SI vers un référentiel central et réciproquement, de répercuter toute modification faite dans le référentiel central vers les sources de données. Le méta-annuaire permet d obtenir une vue unifiée et agrégée des identités et des principaux attributs. Sa mise en œuvre nécessite de définir des modèles de données et des règles de synchronisation. La conception du modèle requiert de se livrer d abord à une cartographie des données d identité de l entreprise pour trouver celles qui sont les plus pertinentes et qui ont un niveau de qualité suffisant (exhaustivité, fiabilité, pertinence du sens). Ainsi, on ira prendre le nom d un salarié dans l application de gestion des ressources humaines, son adresse dans l annuaire du système de messagerie ou son numéro de téléphone dans la base de données du PABX. Ce travail de cartographie peut être accompagné d un travail de nettoyage des données inexactes, obsolètes, incomplètes. Les besoins d identification de bout en bout Une identité n accède pas toujours aux ressources du SI avec le même identifiant en raison de contraintes technique ou organisationnelle. Afin de répondre au besoin d identification de bout en bout il est nécessaire de mettre en place les moyens d établir un lien entre l identité et ses différents identifiants. Ce lien doit persister dans le temps pour permettre l identification à tout moment des accès et des actions effectuées sur les ressources du SI. Sans ce lien, il n est pas possible de déterminer si «Alain Dupond» de la Direction Financière est la même personne que «P347865» ayant ouvert un ticket d incident auprès de HelpDesk et que «a.dupond.2@entreprise.fr» dans l'annuaire de messagerie. Cette identification de bout en bout permet un renforcement de la traçabilité et facilite la mise en œuvre du contrôle interne des accès et des opérations réalisées par les utilisateurs. La prise en compte des différentes populations La gestion des identités des populations internes (salariés, stagiaires ) et externes (prestataires, partenaires ) ne peut pas toujours être homogène. En effet, les sources d identités ainsi que les circuits de traitement de ces identités sont généralement différents. Pour les populations internes : il existe une source unique d identité : le référentiel des ressources humaines ; le traitement du nouvel arrivant est initié par le Direction des Ressources Humaines et se calque sur les différents niveaux hiérarchiques de l entreprise. Pour les populations externes, il en va autrement : les sources d identité sont multiples : Direction des Achats ou demandeurs opérationnels en ce qui concerne les prestataires ; Métiers en ce qui concerne les partenaires ; les circuits de traitement sont également différents. Il peut être utile de rapprocher le plus possible les processus de gestion des identités internes comme externes dans une optique de recherche d efficacité. 10 Forum des Compétences

11 Fiche 3 : AUTHENTIFICATION «S authentifier, c est prouver qui l on est» L essentiel L enjeu de l authentification est de garantir la légitimité d un accès à une ressource. Cette preuve est donnée par un moyen d authentification qui repose sur des éléments de natures différentes : «ce que je connais». Il s agit d un secret que l utilisateur communique pour prouver son identité : un mot de passe, un code PIN, une passphrase, un «défi/réponse» «ce que je possède». Il s agit d un dispositif de sécurité détenu par l utilisateur qui permet de générer un authentifiant afin de prouver son identité : certificat numérique, token, carte à grille de code «ce que je suis». Il s agit d une caractéristique propre à l utilisateur : son empreinte digitale, l image de la paume de sa main, son iris Il peut être mis en place différents services facilitant l authentification : service commun d authentification (SSO - Single Sign On) qui facilite l authentification de l utilisateur aux ressources du SI en propageant la permission d accès obtenue ainsi que le niveau d authentification (mot de passe, authentification forte) vers les ressources du SI. propagation des identités qui pousse vers des ressources du SI l identité de l utilisateur pour qu il s authentifie ensuite ; fédération d identité, entre les entités d un établissement ou bien au-delà de l établissement, qui permet en s authentifiant auprès d un premier SI d accéder également aux SI situés dans le cercle de confiance auquel il appartient (partenaire ). Ce dispositif nécessite une étude approfondie avant sa mise en œuvre notamment en ce qui concerne la constitution des cercles de confiance. Pratiques constatées Les moyens d authentification utilisés par les établissements vont de l authentification standard par «mot de passe» à l authentification forte par «cartes à puce». L authentification standard reste généralement la plus répandue. L adoption d un support d authentification de type carte à puce multifonctions est souvent motivée par l atteinte de deux objectifs : le renforcement du niveau de sécurité ; le confort d usage apporté à l utilisateur. 11 Forum des Compétences

12 Quand cela est possible et que les approches techniques le permettent, l adoption du SSO est souvent privilégiée. La mise en place de solution de SSO est inégale. Il s agit souvent de solution couplée à un annuaire (notamment AD) et moins fréquemment un portail de SSO gérant une base d authentifiant. Points d attention L authentification des partenaires Le nombre croissant de services fournis par des partenaires aux employés comme aux clients des établissements nécessite la création de relations de confiance. Ces relations de confiance peuvent être fournies par la Fédération d'identités qui permet l interopérabilité des systèmes en simplifiant l accès aux ressources applicatives. Un service de Fédération d Identité produit en quelque sort un passeport d accès aux ressources des SI tiers : présentation normalisée des informations d identité ; confiance accordée à l origine de l identité ; standardisation des échanges garantissant un haut niveau d interopérabilité. De façon imagée, on peut supposer qu un douanier ne fait pas forcément confiance au détenteur d un passeport, mais que ce douanier a confiance dans le gouvernement qui a délivré le passeport. Le détenteur ayant été authentifié par son gouvernement, le douanier le laisse franchir la frontière. Techniquement, la fédération d identité est composée d une application, le Service Provider (SP) «le douanier» - acceptant les connexions d un référentiel d utilisateurs appelé Identity Provider (IDP) «le gouvernement». La Fédération d Identité : elle permet une ouverture simplifiée et rapide à des tiers et à leurs applications ; elle facilite les accès en normalisant la communication entre SI ; elle garantit la maitrise de l identité source en tant qu IDP. L authentification en mobilité ou dans le cloud La nécessité de renforcer l'authentification des accédants en situation de mobilité devient chaque jour plus évidente. Cela concerne aussi bien les personnels de l entreprise que ses clients. L accès aux applications peut être effectué par des clients lourds installés sur les postes de travail nomades, mais aussi via un client léger installé sur un smartphone ou une tablette pour l accès à des services en ligne. Les applications peuvent être hébergées sur le SI de l entreprise, mais aussi délivrées depuis le Cloud ou être en mode SaaS. L authentification forte est la technologie la plus répandue dans le cadre de la mobilité. Cette authentification forte peut s effectuer par combinaison d un support matériel (carte à puce ou clé USB) qui après saisi d un code va générer un OTP. Pour les applications Web, l authentification forte peut être mise en œuvre sans utiliser de matériel particulier. L utilisateur définit un mot de passe lors de sa première connexion au site Web. Les mécanismes présents sur le site configurent automatiquement le navigateur et y intègrent un «token». Pour les connexions suivantes, il suffit que l utilisateur utilise le navigateur «token» et saisisse à nouveau le mot de passe pour qu un OTP soit généré. 12 Forum des Compétences

13 Fiche 4 : MODÈLE D HABILITATION «Habiliter, c est accorder les bons droits à la bonne personne» L essentiel Des règles fondamentales existent en matière d habilitation : chaque application doit être rattachée à un propriétaire d application ; un processus de validation des habilitations doit être défini ; une habilitation doit respecter les principes de moindre privilège et de séparation des fonctions. Pour faciliter l attribution des habilitations, il est possible de définir des modèles d habilitation. Le principal modèle d habilitation utilisé actuellement en entreprise est le modèle RBAC (Role-Based Access Control) que repose sur la définition de rôles (ou profils) qui établissent le lien en matière d habilitation entre les utilisateurs et les ressources du SI. Les utilisateurs qui exercent des fonctions analogues appartiennent à un même rôle Métier. À ce rôle Métier sont associées des autorisations d'accès aux différentes ressources du SI (applicatives ou techniques) qui leurs sont nécessaires. L élaboration des matrices de rôles est majoritairement du ressort des managers des directions Métier car ces derniers sont à même d exprimer les besoins d accès aux applications pour leurs collaborateurs. En parallèle, l élaboration d une matrice d exclusion de rôles va faciliter la prise en compte de la séparation des fonctions et l identification des «combinaisons toxiques» d habilitations. Il est nécessaire que les responsables d applications et la fonction contrôle participent à l élaboration de cette matrice afin d assurer une transversalité inter-métiers. Le modèle s appuie donc sur plusieurs niveaux : N1 habilitation technique : droit d accès à une ressource technique ; N2 profil applicatif : regroupement d habilitations techniques pour une même ressource ; N3 rôle Métier : regroupement de rôles applicatifs et de services techniques (par exemple, l impression bureautique) sur des ressources utilisés pour exercer une fonction. Le modèle RBAC a ses limites, par exemple lorsque l utilisateur ne remplit pas la même fonction selon le lieu géographique où il se trouve (par exemple un conseiller exerçant sur plusieurs agences dans fonctions différentes) ou selon sa séniorité dans le Métier. Des modèles d habilitations proches du modèle RBAC existent : ORBAC (Organization based Acces Control) par exemple qui permet en plus d autorisation de spécifier des interdictions et des obligations et de s appuyer sur des notions de contexte. Plusieurs approches sont possibles pour la modélisation des profils Métier, dont les deux suivantes : partir des habilitations techniques communes à un groupe d utilisateur accédant aux mêmes ressources pour définir les profils applicatifs puis les rôles Métier ; partir des ressources et les regrouper afin définir des profils applicatifs puis des rôles Métier qui seront assignés aux utilisateurs. 13 Forum des Compétences

14 Quelques soit le modèle d habilitation retenu, il doit : prendre en compte les différents cas de figure existant pour un domaine Métier tout en limitant au raisonnable le nombre des rôles Métier définis ; traduire dans un langage intelligible pour les Métiers ces différents cas de figure pour leur permettre de les attribuer en toute connaissance de cause ; faciliter l obtention d une vue transverse des droits d accès aux ressources du SI ; prendre en compte les évolutions des habilitations d un l utilisateur au fil du temps ; être réactif aux évolutions telles que l intégration de nouvelles applications ou la réorganisation de l entreprise. Pratiques constatées Le modèle RBAC est adopté par la majorité des établissements. L'application du modèle est plus mature dans le monde " Métier " que dans celui de la " bureautique " ou de " l'informatique ". Les principales difficultés rencontrées sont : le passage d une vision technique des habilitations à une vision Métier ; le nombre de profils Métier qui peut devenir très important et donc difficilement gérable ; la gestion des habilitations sur les données non structurées (GED ) ; la définition d une matrice d exclusion ; le retrait des «combinaisons toxiques» d habilitations. Points d attention La modélisation des rôles Métier Les travaux de modélisation sont longs à réaliser et ne doivent pas obligatoirement couvrir l ensemble des profils d activité des Métiers. Il est donc nécessaire de les prioriser, par exemple en fonction : des applicatifs utilisés par une grande majorité du personnel (messagerie électronique...) ; de la cartographie des risques opérationnels ; de la sensibilité des ressources accédées ; de l évolution prévisible du parc applicatif (exclusion des applications en fin de vie). La maintenance des rôles Métier est également une charge de travail à ne pas négliger. En effet, tout changement dans les structures organisationnelles de l établissement, l introduction d un nouvel applicatif ou de nouvelles fonctionnalités dans un applicatif vont impliquer une mise à jour d un ou plusieurs rôles Métier. 14 Forum des Compétences

15 Les habilitations aux données non structurées L octroi d habilitation à partir de rôle Métier est adapté aux données structurées produites par des applications Métier et contenues dans des bases de données. Il en va autrement des données non structurées produites par les outils bureautiques et le plus souvent stockées sur des espaces partagés ou dans des outils de type messagerie, travail de collaboratif Et pourtant certaines de ces données non structurées peuvent avoir une valeur stratégique pour l entreprise. Les accès aux fichiers qui les contiennent sont en général liés à des permissions d accès définies sur des espaces collaboratifs, des répertoires voire sur les fichiers eux-mêmes. Ces permissions d accès sont gérées soit pas un exploitant, soit par des collaborateurs Métier différents pour chacun des espaces créés. Bien souvent, les droits d accès sont mis en place sans avoir une réelle connaissance de la sensibilité des données qui se trouvent ou se trouveront un jour dans ces espaces. Il va donc être nécessaire d obtenir une vue globale des habilitations sur ces données pour mieux les gérer : quel propriétaire pour ces données? quels Métiers? pour quelles fonctions? quels utilisateurs et quel groupe d utilisateurs? qui a droit à quels espaces partagés? quels accès? à quels moments? pour quelles actions? quel niveau de sensibilité des informations contenues? Seule cette connaissance permettra d attribuer les droits au juste nécessaire. Il sera de plus nécessaire d informer les utilisateurs sur le niveau de classification des données qu ils pourront déposer dans ces espaces. 15 Forum des Compétences

16 Fiche 5 : IMPLÉMENTATION «Implémenter, c est mettre en place les outils et services facilitant l efficacité opérationnelle» L essentiel L implémentation consiste à mettre en place des outils et des services qui facilitent par une automatisation, une industrialisation, une centralisation la gestion des cycles de vie des identités et des accès. Pour les Métiers, les principaux apports attendus sont : la simplification de la validation des demandes d habilitation aux ressources du SI ; la production d états, automatiquement et régulièrement, permettant la vérification des habilitations accordées. Pour les utilisateurs, ces outils et services permettent, par exemple : la mise à disposition d une interface de demandes d habilitation ; la centralisation de l authentification (SSO) pour certaines ressources du SI la possibilité de réinitialisation des mots de passe en self-service ; la recherche des coordonnées des collaborateurs de l entreprise à travers un service de types pages blanches ou pages jaunes. Pour les exploitants, les principaux bénéfices sont : le provisionnement, c est-à-dire la propagation automatique des identités et des habilitations vers les ressources du SI (et bien sûr en dé-provisionnant lorsque nécessaire) ; la production d états facilitant le contrôle de premier niveau sur les activités liées à l IAM. La mise en place d un circuit de validation automatisé va permet d accélérer la prise de fonction d un utilisateur, mais aussi, à son départ, le retrait des droits qui lui avaient été attribués. Ce gain de temps est obtenu par une plus grande efficacité dans le traitement, le suivi des demandes et une meilleure qualité des informations transmises. Lorsqu il est nécessaire de traiter plusieurs milliers d identités ainsi que les droits qui leur sont rattachés, la mise en place d outils de provisionnement est indispensable. Les connecteurs de ces outils interagissent avec les nombreux annuaires présents sur les SI (LDAP, Active Directory, Novell edirectory, Sun Java Directoty Server ). La mise en place d un tel outil vise à garantir la cohérence des droits sur l ensemble du SI en particulier dans les cas de mouvements de personnel (arrivée, départ, changement d entité ) et empêche les erreurs dues à des manipulations manuelles. 16 Forum des Compétences

17 Pratiques constatées Les circuits de validation des habilitations et des fournitures d équipement sont le plus souvent automatisés. Par contre, l automatisation du provisionnement des habilitations vers les différents systèmes reste encore très souvent partielle. Pour les salariés, une synchronisation des identités de la base RH et du référentiel d identité principal est effectuée. En ce qui concerne le déversement des habilitations vers les applications, l automatisation n est pas toujours effectuée ni possible. Des opérations manuelles sont donc menées. Points d attention La progressivité dans l implémentation En matière de gestion des accès et des habilitations, il n existe pas de proportionnalité directe entre les montants investis et l efficacité obtenue. La gestion des identités ne peut aujourd hui être considérée comme une simple préoccupation technologique, c est un véritable enjeu métier La mise en œuvre doit être progressive en fonction des priorités de l entreprise notamment en termes de couverture de risque, mais aussi de facilitation pour l utilisateur. Préalablement à toute implémentation technique d outils, un travail préalable est indispensable : définir les rôles et les profils applicatifs (voir fiche «modèle d habilitation») ; «nettoyer» les comptes orphelins, dormants (voir fiche «contrôle»). Pour implémenter les dispositifs de gestion des habilitations et des accès, Il est indispensable de ne traiter simultanément qu au maximum deux des axes suivants : populations touchées ; fonctions mises en œuvre ; ressources du SI concernées. Par exemple, dans un premier temps, une population pilote est identifiée. Un groupe Métier «bureautique» donnant accès à la messagerie, l intranet RH est défini. Le provisionnement correspondant à ce groupe Métier est automatisé. Dans un deuxième temps, lors de la création de l identité d un arrivant ce groupe Métier est systématiquement inclus dans le circuit de validation. Ensuite, il peut être choisi, par exemple, de mettre en place la fonction de réinitialisation des mots de passe AD en self-service via un jeu de questions permettant de garantir l'identité de la personne demandant une réinitialisation. Puis les groupes Métier d une population sensible vont être traités et ainsi de suite. L implémentation doit être progressive et le «big bang» évité. 17 Forum des Compétences

18 La consumérisation des habilitations L attribution d une habilitation peut parfois être longue et fastidieuse selon le circuit de validation qui a été défini. Le passage par différents niveaux de validation se justifie pleinement pour les habilitations sensibles en raison des enjeux en découlant. Pour les habilitations «tout-venant», un circuit de validation trop lourd entraine des délais importants pour l utilisateur. L évolution actuelle des pratiques en matière de gestion des habilitations tend à la simplifier l attribution des habilitations qui portent sur des ressources non sensibles. Un des moyens de simplification est l auto-enrollement de l utilisateur à partir d un catalogue de rôles et services techniques. Deux options sont alors possibles : L utilisateur effectue une demande qui est ensuite approuvée (ou non) par un valideur Métier. Les droits techniques en découlant sont alors implémentés sur les ressources. L utilisateur s enrolle lui-même sur une ressource à partir d un catalogue et les droits techniques nécessaires sont mis en œuvre automatiquement. Une recertification postérieure des habilitations est effectuée régulièrement par un valideur Métier, notamment pour garantir le «droit d en connaitre». L utilisateur pouvant avoir tendance à «consommer» toutes les habilitations qui lui sont proposées sans réels besoins, il est important de bien définir le catalogue des ressources en auto-enrollement. Pour cela, il faut essayer de minimiser les cas d auto-attribution d habilitation qui donneront lieu à une annulation après vérification. Plusieurs catalogues de rôles et services peuvent être définis pour plusieurs sensibilités d utilisateur. La contribution des outils d IAM à la surveillance des évènements de sécurité Les outils d IAM aident à identifier qui a le droit d accéder à une ressource et quelles actions lui sont autorisées alors que les outils de SIEM identifient qui a effectivement accédé à une ressource. Traditionnellement les outils de SIEM (Security, Information and Event Management) associent un utilisateur à une adresse IP et parfois à un nom issu de l annuaire d identité de l entreprise. Ces seules informations ne sont pas toujours suffisantes pour analyser un évènement de sécurité. La combinaison des informations issues des deux types d outils permet de compléter la connaissance du contexte lié à un évènement. Savoir ce qu un utilisateur est autorisé à faire sur une application ou sur des données, connaitre son département de rattachement, connaitre l ensemble des rôles Métier qui lui sont rattachés sont des éléments de contexte qui ne peuvent être issus des outils de SIEM. Or ces éléments sont indispensables pour une meilleure compréhension des contextes de réalisation d un évènement et donc une meilleure détection des activités suspectes. 18 Forum des Compétences

19 Fiche 6 : CONTRÔLE «Accorder un droit à un utilisateur est plus facile que de le retirer» L essentiel Au fil du temps, des habilitations sont accordées aux utilisateurs et ne sont pas toujours revues lorsqu ils changent de fonction au sein de l entreprise. De même lorsqu un utilisateur quitte l entreprise, certains de ses comptes et de ses habilitations perdurent parfois. Des revues d habilitation doivent donc être menées régulièrement pour s assurer que la politique de gestion des identités et des accès est bien appliquée. Ces revues doivent avoir une fréquence adéquate en regard du niveau de sensibilité des applications ou des identités concernées À titre d exemple, la revue des comptes et des habilitations : pour une application standard comme la gestion des congés pourra être effectuée chaque année voire tous les 2 ans ; pour une application Métier sensible pourra être effectuée tous les 3 mois. Dans la pratique, une revue peut s avérer complexe, car le système d information est souvent hétérogène : windows, unix, zos, AS400, appliance, application en cloud, application externalisée Les contrôles essentiels portent sur la bonne déclinaison des règles établies pour la gestion des comptes et des habilitations ainsi que la gestion des demandes. Il est également souhaitable de contrôler la bonne adéquation des droits accordés avec les fonctions remplies. Lorsque ces premiers niveaux de contrôles sont maitrisés, il est nécessaire de contrôler la gouvernance de la gestion des identités et des habilitations et notamment sa nature transverse à l entreprise. Les contrôles peuvent être pris en charge : par les Métiers: adéquation entre les droits théoriques et les droits réellement mis en œuvre ; par les responsables des comptes : rattachement des comptes à des identités. En complément, le contrôle interne effectue des revues de différentes procédures de gestion et de leur efficacité. Des contrôles de surveillance, plus ou moins ponctuels, sont également effectués en fonction des priorités et risques pour l entreprise, par exemple : vérification de la bonne désactivation des comptes des personnes en longue absence (maladie congés formation) ; habilitations accordées unitairement sans passer par un groupe Métier ; authentification sur une ressource en dehors des plages horaires habituelles. Les résultats de ces différents contrôles font l objet de reporting à plusieurs niveaux : au niveau opérationnel, en vue de traiter les écarts avec les règles d attribution et de dérogation ; au niveau pilotage voire stratégique, en vue d améliorer les processus mis en place ; au niveau conformité, lorsque des obligations réglementaires le nécessitent. 19 Forum des Compétences

20 Pratiques constatées Des contrôles sont effectués régulièrement. Ils portent a minima sur les identités et les habilitations les plus sensibles. C est en général, le propriétaire des applications qui procède à la recertification des habilitations de son périmètre. En ce qui concerne les comptes des utilisateurs, les recertifications sont effectués par les responsables des annuaires ou des systèmes. Les actions de contrôle font l objet de reporting au niveau des opérationnels comme au niveau des directions. Points d attention Commencer par des «choses simples» En matière de contrôle, il est important d adopter une démarche pragmatique axée en priorité sur les identités et les actifs les plus sensibles. Dans un premier temps, il faut se recentreront sur l essentiel c est-à-dire la vérification de la bonne application des règles définies : contrôle des comptes : orphelins : comptes non attribués à une identité (attention toutefois aux comptes techniques utilisés par des ressources ou par des administrateurs qui ne sont pas rattachables à une identité), en doublon : identité détenant plusieurs comptes sur une même ressource, dormants : comptes inutilisés depuis un certain temps, dont le mot de passe n a pas été changé depuis la période de référence, particulièrement pour les comptes techniques, dont le mot de passe est toujours celui attribué par défaut ; contrôle des habilitations : recertification des droits : adéquation des droits existants avec les droits nécessaires, absence de «combinaisons toxiques» d habilitations ne permettant pas de garantir la séparation des pouvoirs, droits temporaires accordés par dérogation. Ne pas négliger le contrôle des «déshabilitations» Un collaborateur peut être amené au cours de sa vie professionnelle à changer de fonction. Ces changements nécessitent parfois une période de transition pendant laquelle des nouveaux droits lui sont accordés alors que ses anciens droits lui sont encore nécessaires. Il est important qu à la fin de la période de transition, les droits dont le collaborateur n a plus besoin lui soient retirés. C est généralement, l ancien responsable hiérarchique du collaborateur qui demande le retrait des droits. Cela peut également découler d une action des RH. Un contrôle a posteriori peut aussi être effectué par exemple en comparant les groupes Métier rattachés aux fonctions exercées par le département de l utilisateur et les groupes Métier qui lui sont effectivement rattachés. De même au départ d un collaborateur de l entreprise, il est nécessaire de désactiver puis de supprimer ses accès aux ressources du SI. Un contrôle a posteriori est à mener. 20 Forum des Compétences

21 Glossaire Terme Définition Annuaire Composant informatique qui renferme notamment des informations d identités (nom, prénom, identifiant ) de collaborateurs, de partenaires voire de fournisseurs. Authentification Cycle de vie d une identité Processus permettant de vérifier l'identité déclarée d'une personne ou d une ressource. L'identification permet de communiquer l'identité, l'authentification permet de la vérifier. Les principaux moyens d'authentification sont : le mot de passe ; le certificat électronique ; la biométrie. Ensemble des évènements affectant l identité depuis son arrivée au sein de l entreprise, jusqu à son départ ; en prenant en compte des évènements tels que : changement d état civil, absence longue durée Cycle de vie des habilitations Ensemble des évènements affectant les habilitations accordées à une identité depuis son arrivée au sein de l entreprise, jusqu à son départ ; en prenant en compte des évènements tels que : mutation dans l entreprise, nouvelle fonction Gestion des identités et des accès IAM (Identity Access Management) Identité Identifiant Utilisateur Référentiel d identités Ensemble de processus qui vise à assurer la gestion du cycle de vie d un accédant au SI (Identification, Authentification, Habilitation, Implémentation, Contrôle) Ensemble des informations qui caractérisent un individu au sein d une entreprise. Attribut lié à une identité numérique afin de pouvoir identifier un utilisateur de façon fiable. Cet identifiant généralement est centralisé dans le référentiel d identités. Un utilisateur possède un seul identifiant relatif à son identité physique (parfois l ID RH), et peut posséder plusieurs identifiants d accès aux ressources sur lesquelles il est habilité. Personne physique à laquelle il est accordé un accès à une ressource du SI. Annuaire référençant les informations qui caractérisent chaque individu. 21 Forum des Compétences

22 22 Forum des Compétences