GOUVERNANCE DES IDENTITES ET DES ACCES ORIENTEE METIER : IMPORTANCE DE CETTE NOUVELLE APPROCHE

Transcription

1 GOUVERNANCE DES IDENTITES ET DES ACCES ORIENTEE METIER : IMPORTANCE DE CETTE NOUVELLE APPROCHE RÉSUMÉ Depuis des années, les responsables de la sécurité de l information et les responsables opérationnels savent de façon intuitive que la gouvernance des identités et des accès (IAG) doit être pilotée par les besoins métiers. En effet, ce sont les responsables métiers qui savent le mieux «qui doit avoir accès à quoi». Ce livre blanc explique de quelle manière une approche orientée métier de l IAG peut permettre aux entreprises de facilement respecter la conformité, de minimiser les risques et d être productives. Avril 2014 Copyright 2014 EMC Corporation. Tous droits réservés. EMC estime que les informations figurant dans ce document sont exactes à la date de publication. Ces informations sont modifiables sans préavis. LES INFORMATIONS CONTENUES DANS CETTE PUBLICATION SONT FOURNIES «EN L ÉTAT». EMC Corporation ne fournit aucune déclaration ou garantie d aucune sorte concernant les informations contenues dans cette publication et rejette plus spécialement toute garantie implicite de qualité commerciale ou d adéquation à une utilisation particulière. L utilisation, la copie et la diffusion de tout logiciel EMC décrit dans cette publication nécessitent une licence logicielle en cours de validité. Pour obtenir la liste actualisée des noms de produits, consultez la rubrique des marques EMC via le lien Législation, sur Référence H13070 LIVRE BLANC RSA

2 SOMMAIRE RÉSUMÉ ANALYTIQUE 3 ETAT DES LIEUX : ECHEC DE LA GESTION DES IDENTITES 3 IMPORTANCE DU CONTEXTE METIER 4 BESOINS LIES A LA GOUVERNANCE DES IDENTITES ET DES ACCES ORIENTEE METIER 4 APPROCHE PAR ETAPES DE LA GOUVERNANCE DES IDENTITES ET DES ACCES ORIENTEE METIER 5 RECAPITULATIF 7

3 RÉSUMÉ ANALYTIQUE Depuis des années, les responsables de la sécurité de l information et les responsables opérationnels savent de façon intuitive que la gouvernance des identités et des accès (IAG) doit être pilotée par les besoins métiers. En effet, ce sont les responsables métiers qui savent le mieux «qui doit avoir accès à quoi». Mais trop souvent, les outils et les processus des entreprises ne reflètent pas ce «contexte métier». En général, ces systèmes ne permettent pas de disposer d une vue métier de l accès des utilisateurs et de leurs rôles et responsabilités au sein de l entreprise. Par ailleurs, ils ne reflètent pas non plus les habilitations spécifiques qui déterminent de façon précise les actions que les utilisateurs sont autorisés à effectuer sur les applications. Ceci est généralement dû au fait que les entreprises tentent d utiliser des outils de gestion des identités et des accès (IAM) orientés IT et techniques pour résoudre des problèmes de gouvernance orientés métier. Le contexte métier représente la somme de tout ce qu une entreprise sait de ses utilisateurs, de leurs responsabilités professionnelles et des informations, applications et habilitations dont ils ont besoin. Si les systèmes gérés par informatique contiennent une partie de ce contexte (répertoires et applications RH, par exemple), les supérieurs hiérarchiques des utilisateurs et les propriétaires de fonctions, d applications et de données métiers en détiennent une autre part, contrairement au personnel IT ou chargé de la sécurité. Ce livre blanc explique pourquoi les systèmes de gestion des identités actuels ne parviennent pas à refléter correctement le contexte métier, et pourquoi l adoption d une approche orientée métier de la gouvernance des identités et des accès réduit les coûts et accroît la sécurité. Il décrit également une méthodologie détaillée permettant de mettre en œuvre cette approche. ETAT DES LIEUX : ECHEC DE LA GESTION DES IDENTITES À l heure actuelle, les entreprises sont exposées à plus de menaces de sécurité et d exigences réglementaires que jamais, sans parler de l explosion du nombre d utilisateurs, de la prolifération des appareils mobiles, et des dommages potentiels pour la valeur des actions et la réputation de l entreprise que provoquerait une violation des données. Et pourtant, non seulement les systèmes IAG traditionnels ne parviennent pas à suivre le rythme, mais ils marquent le pas en matière de gestion proactive du paysage de menaces et de risques en constante évolution. Les architectures IAG traditionnelles sont fragmentées, complexes et mal équipées pour faire face au rythme des changements d une entreprise, qu il s agisse du transfert des employés, de restructuration, de nouvelles exigences réglementaires, de fusions ou d acquisitions. De plus, les coûts de déploiement et de fonctionnement des systèmes traditionnels de gestion des identités ont toujours été extrêmement élevés, ce qui limite la portée de leur couverture et leur efficacité. Le Cloud computing augmente la complexité en créant un nouveau silo (et davantage d administrateurs dotés de droits d accès) pour chaque nouvelle application de Cloud et chaque nouveau fournisseur de services Cloud. Il accroît également le taux de changement à mesure que les responsables opérationnels obtiennent de nouveaux services, souvent sans que le département informatique ou les groupes de sécurité n en soient informés. En outre, la tendance de l informatique mobile et du BYOD (bring your own device) génère encore plus de silos de gouvernance des identités et des accès pour prendre en charge chaque nouvelle plate-forme. De ce fait, même si les entreprises ont besoin d une IAG plus simple, plus rapide et plus homogène, le rythme des changements rend leur position en matière de conformité et de risques encore plus instable. Avec des systèmes cloisonnés, réactifs et incomplets, il est encore plus difficile de découvrir et d appliquer le contexte métier requis pour chaque application ou groupe de systèmes, et l absence d une infrastructure IAG unique et centrale devient encore plus critique. Pour être productives, les entreprises doivent pouvoir facilement prouver leur conformité, minimiser les risques et favoriser l activité. 3

4 Pour résoudre tous ces défis, il est important de valoriser un système de gouvernance des identités et des accès centralisé et moderne, bâti autour du contexte métier. IMPORTANCE DU CONTEXTE METIER Le contexte métier est souvent négligé, mais il s agit pourtant du composant clé d une gouvernance des identités et des accès efficace à l échelle de l entreprise. S il est fréquemment laissé de côté, c est parce que la gestion et la gouvernance des accès et des identités sont généralement prises en charge par le directeur informatique, le responsable de la sécurité informatique, le vice-président ou le directeur de la sécurité. Mais aucun d eux ne dispose du contexte métier indispensable à une gouvernance des accès efficace à l échelle de l entreprise. Ce sont les superviseurs et les responsables métiers, qui comprennent les responsabilités propres aux différents utilisateurs et les accès que cela implique, qui disposent véritablement du contexte métier. Prenons l exemple d un service financier composé de cinq employés, chacun disposant de codes d analyste de niveau 2. Le département informatique pourrait en conclure que chaque employé doit bénéficier des mêmes privilèges d accès et des mêmes habilitations. Cependant, leur superviseur sait qui est responsable des frais de déplacement et de divertissement et qui est chargé de gérer les dépenses de télécommunications et les frais généraux. De ce fait, il peut prendre des décisions plus avisées en matière de privilèges d accès et d habilitations. Les différents membres d une équipe médicale chargée de réaliser des essais cliniques peuvent avoir la même fonction, mais avoir besoin de niveaux d accès différents pour tester les données en fonction de leur ancienneté, de leurs compétences et des attributions du projet. Les propriétaires d applications métiers sont eux aussi bien placés pour comprendre comment les applications ou les ressources de données sont utilisées, et quelles politiques d accès et d habilitation leur conviennent. Les propriétaires d applications, ainsi que les équipes responsables de la gestion des risques, des audits et de la conformité, sont les mieux à même de définir les politiques IAG propres aux diverses applications métiers ou domaines industriels. Et les propriétaires des données savent mieux que quiconque qui doit avoir accès aux données sensibles ou soumises à une réglementation. Pour appliquer ce contexte de la façon la plus efficace possible, il faut que les entreprises permettent aux responsables métiers, aux propriétaires d applications et de données métiers, ainsi qu aux équipes chargées des audits, des risques et de la conformité de prendre en charge les besoins liés aux politiques d accès. Le département informatique doit ensuite convertir ces besoins en activités opérationnelles. Pour parvenir à cette gouvernance des accès et des identités orientée métier, il faut de nouveaux processus et de nouvelles technologies, et également un partenariat entre l entreprise et le département informatique. BESOINS LIES A LA GOUVERNANCE DES IDENTITES ET DES ACCES ORIENTEE METIER Pour intégrer le contexte métier dans le processus IAG, le département informatique doit transformer le jargon énigmatique des droits relatifs aux applications et à l infrastructure en une vue conviviale des accès, et permettre aux responsables métiers de prendre des décisions IAG de façon simple et intuitive tout au long du cycle de vie des identités et des accès. L IAG orientée métier nécessite également que les directions opérationnelles s approprient les tâches dont elles possèdent le contexte et qu elles en deviennent responsables. Les équipes chargées de la gestion des audits, des risques et de la conformité doivent être en mesure de créer des exigences, de mesurer les résultats et d instituer des contrôles. Les équipes qui dirigent les opérations et la sécurité informatiques doivent quant à elles bénéficier d une visibilité et d un contrôle adéquats sur la façon dont les activités IAG sont menées, car au final, elles sont responsables des décisions prises par les directions opérationnelles. 4

5 Les entreprises doivent être capables de définir facilement des politiques qui tirent parti du contexte métier afin de garantir la conformité dans des domaines comme la séparation des tâches ou la demande et l approbation des accès. Une fois qu une politique a été instanciée, il est possible de l appliquer et de traiter les infractions, le tout automatiquement. Étant donné que les directions opérationnelles, les équipes en charge des opérations et de la sécurité informatiques, des audits, des risques et de la conformité connaîtront le contenu de ces politiques, il s agit d une méthode efficace pour les engager sur la voie de l IAG. L automatisation des changements d accès peut réduire de manière significative le coût et les efforts engagés, car jusqu à présent, les entreprises ont souvent peiné à atteindre le niveau d automatisation requis avec les outils informatiques des fournisseurs traditionnels de gestion des identités. Une approche véritablement orientée métier de l IAG fournit un mécanisme de gestion des changements d accès simple, qui différencie la logique métier de la logique d intégration spécifique des applications. Elle autorise également les changements d accès basés sur les politiques, en utilisant des règles et des workflows pour offrir un accès plus rapide, conformément aux politiques établies. Cela donne lieu à une méthode économique et rapide d intégration des applications, du point de vue de la mise en œuvre des changements. Tout ceci nécessite une plate-forme de gouvernance des identités et des accès automatisée et centralisée, qui fournit aux propriétaires métiers une vue simple des identités et des accès, autorise des contrôles d accès automatisés et basés sur des politiques, exécute les demandes de changements de l IAG et intègre la conformité des accès proactive au tissu de l entreprise. La figure 1 illustre la façon dont une telle plate-forme permet à une entreprise d établir des processus métiers pour accomplir toutes ces activités. APPROCHE PAR ETAPES DE LA GOUVERNANCE DES IDENTITES ET DES ACCES ORIENTEE METIER Pour que l IAG orientée métier soit opérationnelle dans des conditions optimales, il est préférable d implémenter des processus métiers distincts et mesurables à l aide d une approche en plusieurs phases qui apporte de la valeur au cours de chaque étape. Les étapes sont les suivantes : Visibilité et certification : ce processus reproductible et durable collecte automatiquement les données relatives aux identités et aux habilitations et les nettoie afin de générer une vue unifiée et normalisée des privilèges d accès actuels. La vue technique ainsi obtenue est ensuite transformée en vue métier afin que les responsables opérationnels comme les superviseurs ou les propriétaires de ressources puissent devenir responsables de la révision des privilèges d accès. Cela passe par un processus convivial de certification des accès (également appelé révision des accès) au cours duquel les habilitations individuelles sont examinées et approuvées (ou révoquées) par un superviseur ou un propriétaire d application. Une autre étape importante, qui elle aussi reflète bien l établissement du contexte métier, consiste à identifier les propriétaires des données (partages de fichiers ou sites SharePoint, par exemple) et toutes les métadonnées qui définissent leur objectif métier et leur classification en matière de risque. 5

6 Gestion des politiques : capturer le contexte de prise de décision et la logique métier dans un ensemble de politiques définies en tant que règles est un excellent moyen d automatiser les contrôles de sécurité et de conformité. Et comme les règles déclenchent les workflows, les processus et les politiques sont automatisés, et les coûts réduits. Par exemple, l identification d un nouvel employé peut déclencher un processus de plusieurs étapes qui inclut la création de comptes pour cet employé, son placement dans les groupes adéquats, l attribution aux comptes des droits appropriés sur les applications et les données, et l obtention des approbations requises. Gestion des rôles : les rôles permettent aux responsables métiers de gérer plus facilement les changements relatifs aux habilitations. Prenons l exemple du rôle Courtier en valeurs Niveau 2. Un utilisateur occupant ce rôle peut avoir droit à 35 habilitations avancées différentes (par exemple, le droit d effectuer des transactions jusqu à un certain montant) sur plusieurs applications. Au lieu de demander à un supérieur de passer en revue et d évaluer chacune des 35 habilitations, celui-ci peut simplement s assurer que le rôle convient à cette personne. Cette application du contexte métier est plus facile et plus naturelle pour le responsable, qui réfléchit au rôle d une personne spécifique et non à une liste détaillée d habilitations. Les rôles simplifient également les processus relatifs aux personnes qui arrivent dans l entreprise, qui la quittent ou qui changent de site, et facilitent l attribution d accès supplémentaires aux utilisateurs. Grâce aux rôles, la révision, la validation ou le test des accès utilisateur sont plus efficaces. De plus, ils simplifient la gestion de la conformité et des risques, et accélèrent la mise en œuvre. Cette phase génère également des processus pour la gestion du cycle de vie des groupes d annuaires, qui sont fréquemment utilisés pour gérer les accès (en particulier aux ressources de données) d une manière similaire aux rôles. La plupart du temps, les entreprises ne souhaitent pas se lancer dans la création et la gestion des rôles. C est pourquoi il est possible d utiliser des habilitations suggérées, qui offrent plus de choix aux responsables métiers quant aux habilitations des utilisateurs similaires durant les processus d arrivée ou de transfert vers un autre site. Gestion des demandes d accès : une fois qu une vue métier des accès et que les abstractions visant à simplifier et automatiser la gestion des accès sont en place, l entreprise est prête à établir un libreservice de demandes d accès côté front-end pour les utilisateurs métiers et un moteur de gestion des changements conforme aux politiques pour le département IT côté back-end. Cette procédure permet aux directeurs opérationnels d invoquer des demandes d accès sans avoir besoin de connaître l infrastructure ni les informations relatives au traitement des demandes, ce qui facilite le processus de demande d accès. De plus, cette procédure garantit la conformité de façon proactive en appliquant les politiques avant que l accès ne soit accordé. Mise en œuvre des changements (provisionnement) : les changements orientés métiers des identités et des accès se traduisent par des modifications apportées aux comptes utilisateur, appartenances de groupe et attributions d habilitations au niveau des systèmes, ressources de données, répertoires, applications et solutions de contrôle des accès. La mise en œuvre des changements (également appelée provisionnement) est un processus qui existe généralement déjà à un certain stade dans une entreprise avant que celle-ci ne décide de se lancer dans l une des phases décrites ici. Le défi consiste donc dans bien des cas à savoir comment faire évoluer ce processus afin qu il soit homogène, basé sur des politiques, au niveau d habilitation et, dans la mesure du possible, automatisé. 6

7 Il existe plusieurs mécanismes de mise en œuvre des changements d accès. Une simple notification de tâche, comme l envoi d un à l administrateur système, constitue souvent l approche la plus simple et la plus directe. La création de tickets dans un centre de services est un moyen plus cohérent pour suivre les demandes, les réponses et les confirmations. Par ailleurs, il peut tirer parti du système de gestion des changements déjà en place dans l entreprise. Toutefois, les délais, le coût et le taux d erreurs poussent fréquemment les entreprises vers l automatisation. Une solution automatisée est synonyme d efficacité opérationnelle et de changements en temps utiles, et prend en charge de façon idéale l intégration rapide de nouvelles applications. Les moteurs de provisionnement traditionnels rendent difficile l intégration (connexion) d un grand nombre d applications car ces systèmes anciens combinent la logique métier qui définit les politiques de gouvernance avec la logique requise pour intégrer chaque application. Ceci nécessite un codage personnalisé coûteux pour chaque nouvelle connexion et chaque fois que les politiques changent. Les moteurs de provisionnement traditionnels ont également tendance à se focaliser sur le provisionnement au niveau du compte ou du groupe, ce qui ne permet pas d obtenir la visibilité ou les accès nécessaires. Les systèmes IAG modernes et orientés métiers maintiennent la logique métier basée sur les politiques à un niveau supérieur, ce qui facilite cette «dernière étape» d intégration et la rend moins onéreuse. En outre, ces systèmes IAG modernes sont axés sur un provisionnement avancé, avec possibilité d afficher les droits granulaires sur les applications et de les modifier. RECAPITULATIF Les entreprises ne peuvent pas se permettre de dépenser plus qu elles ne le doivent en gouvernance des identités et des accès. Elles ne peuvent pas non plus s exposer à des infractions vis-à-vis des réglementations et de la propriété légale ou intellectuelle si elles ne gèrent pas correctement la gouvernance des identités et des accès. L approche d une gouvernance des identités et des accès efficace passe par les propriétaires des processus, des applications et des données métiers. Elle s'appuie sur un «contexte métier» riche, qui détermine les accès et les droits des utilisateurs, comme base d une gouvernance des identités et des accès orientée métier et automatisée, pour une valeur métier optimale à moindre coût. 7