Synthèse. Quelle performance opérationnelle pour la sécurité de l information?

Transcription

1 Synthèse Quelle performance opérationnelle pour la sécurité de l information? Décembre 2010 : Synthèse de notre étude des enjeux et de la démarche d optimisation Benchmark des priorités et bonnes pratiques

2

3 Introduction du responsable de la Practice Sécurité Chers clients, La maturité de vos organisations sécurité et un contexte économique exigeant posent la question de l'excellence opérationnelle. Plus vite, plus grand, plus efficace : des attentes métiers que vous devez accompagner. Nous avons décidé de combiner nos expertises en sécurité et en performance pour vous proposer les meilleures pratiques de la performance opérationnelle appliquées concrètement au domaine de la sécurité de l information. Certains d'entre vous ont déjà mis en oeuvre notre approche ou déployé un module pour optimiser l'accompagnement des métiers, la gestion des fournisseurs ou la mise en place de catalogues de services sécurité, par exemple. Nous avons également mené deux études auprès de vous, enrichies de nos retours d'expériences en performance sécurité. La première est un benchmark des enjeux et des domaines d'action que vous avez estimés prioritaires. Un grand merci pour l'accueil que vous avez réservé à ces entretiens qui ont été réalisés entre mars 2009 et mars 2010 sur la base du jeu de cartes OPIS (Operational Performance of Information Security). La deuxième est une évaluation par notre B-Community Information Security des solutions technologiques qui contribuent à la sécurité des systèmes d information. Nos convictions s'en trouvent renforcées : approche de la sécurité par les processus et insertion dans les processus de l'entreprise, décloisonnement de l'organisation sécurité, responsabilisation des acteurs par les risques, conception pragmatique fondée sur la pérennité des effets des actions et non pas sur la granularité du contrôle. La synthèse que vous tenez entre vos mains présente la problématique, les résultats des benchmarks ainsi que quelques clés et outils méthodologiques qui vous permettront d'optimiser la performance de votre filière Sécurité. Je vous laisse parcourir ce document qui reflète le point de vue et le savoir que Beijaflore a capitalisé. Maxime de Jabrun 3

4

5 Table des matières La sécurité de l information au cœur de l entreprise De l expertise sécurité à la performance opérationnelle Benchmark de la performance opérationnelle des processus sécurité Analyse et synthèse des axes stratégiques pour une sécurité performante Benchmark des technologies et outils sécurité Un point de vue d expert sur la sécurité au quotidien Une approche processus éprouvée Maîtrise efficiente des risques sécurité comme levier de compétitivité Conclusion

6 La sécurité de l information au cœur de l entreprise De l expertise sécurité à la performance opérationnelle Point de situation sur la sécurité de l information Quelle sécurité de l information pour demain? Budget Entre 2008 et 2009, 60% des entreprises ont augmenté leur budget sécurité. La part de la sécurité dans le budget IT global tend à progresser. En 2010, les entreprises françaises allouant moins de 3% de leur budget IT à la sécurité ne sont plus que 27% - contre 33% en 2009 ; 42% affichent une enveloppe de plus de 3% - contre 37% en Positionnement Le RSSI est soit rattaché à la DSI (36%), soit à la Direction Administrative et Financière (DAF) (12%) ou directement à la Direction Générale pour un tiers (34%) des entreprises, en fort recul par rapport à 2008 (-11%). Ceci peut s expliquer par l arrivée plus nombreuse de RSSI au sein d entreprises de tailles moyennes ayant un niveau de maturité en SSI encore faible. Mesures de la sécurité Plus de 65% des entreprises ne mesurent toujours pas leur niveau de sécurité régulièrement. Plus des deux tiers (71%) des entreprises mènent au moins un audit par an, alors que 25% n en mènent pas du tout (-10% par rapport à 2008). Dans les tableaux de bord, l évaluation des risques métier est de plus en plus suivie 39%, +7% par rapport à Source : Clusif 2010, Menaces informatiques et pratiques de sécurité en France Un contexte en évolution constante La sécurité de l'information s'est fortement développée pour répondre à des risques qui sont apparus avec la globalisation des systèmes d'information. Aujourd hui, le risque technologique n est plus le seul élément moteur des équipes sécurité et cette approche tend à s aligner sur les risques et besoins métiers. Malgré une position plus stratégique des RSSI, le manque de budget et les contraintes organisationnelles rendent difficile une bonne couverture des risques. Bien que les initiatives de mise en conformité soient globalement satisfaisantes, un tiers des projets restent à sécuriser et le contrôle continu du maintien de cette conformité est perfectible. Vers une recherche de performance pour la filière sécurité La sécurité occupe une place grandissante tant au niveau stratégique que réglementaire. Les entreprises n'ont cependant pas les capacités humaines, matérielles et financières pour répondre rapidement à ces nouveaux impératifs. Les chiffres révèlent des lacunes dans la sécurité de l'information. Néanmoins, les organisations prennent conscience de l'importance d'une protection efficace contre les menaces de sécurité. Elles ont une démarche de plus en plus proactive. Les RSSI rencontrent des difficultés pour suivre la performance de leurs mesures de sécurité. 6

7 Notre vision de la performance opérationnelle De la performance opérationnelle à la sécurité de l information Performance opérationnelle = ensemble de bonnes pratiques qui permettent d améliorer la qualité, d optimiser la gestion de toutes les ressources et ainsi de créer de la valeur au sein du département Objectif de performance de la filière sécurité = augmenter l efficacité des processus Efficacité = Pertinence x Efficience Pertinence = rapport entre les moyens utilisés et les objectifs. Deux facteurs influencent la pertinence des processus de sécurité : l identification des besoins et des objectifs métiers l analyse des risques sécurité Maturité et approche par les risques Maturité de la sécurité = niveau d expertise, d expérience, de prise de conscience des usagers, d alignement au business que l entreprise possède en sécurité de l information Se protéger = Identifier, évaluer, et apporter une réponse adaptée à chaque risque Probabilité = probabilité qu un scénario d attaque (menace exploitant une vulnérabilité) se réalise Impact = niveau d impact pour le métier (financier, image, clientèle, juridique, ) est déterminé par les besoins sécurité impactés par une vulnérabilité Efficience = Résultats optimum en regard des moyens déployés. Travailler l efficience = Augmentation des résultats des processus Optimisation des moyens à niveau de résultat équivalent L objectif de performance des filières sécurité Performance opérationnelle du dispositif sécurité Des services sécurité performants Couverture performante des risques Eléments clés d une analyse de risques sécurité Risque = Probabilité x Impact = f (Menace, Vulnérabilité, Besoins, Actif) Menace - Une menace est un danger qui peut se réaliser Etat embryonnaire Matrice Beijaflore de performance du dispositif sécurité Bonne couverture des risques Niveau de sécurité délivré Vulnérabilité - Une vulnérabilité est une faiblesse qui peut être exploitée par une menace Besoins - Les besoins de sécurité se rapportent à l actif, en termes de confidentialité, d intégrité, de disponibilité et de preuve. Actif - Tout ce qui a de la valeur pour l entreprise Echelle de maturité en sécurité de l information Menace Maturité en gestion des risques Faciliter la création de valeur Adapter les solutions sécurité aux besoins métiers Appliquer uniformément les standards définis par l organisation Temps Vulnérabilité Besoins C I Actif P D Impact Probabilité Echelle de maturité sécurité Beijaflore 7

8 Une approche par les enjeux de performance Les gains de performance pour la sécurité Si la performance opérationnelle est recherchée depuis longtemps dans les processus industriels, elle est peu abordée dans le domaine de la sécurité de l information. Dans un contexte qui exige une amélioration permanente de l efficience des processus, pourquoi ne pas appliquer les démarches éprouvées de performance opérationnelle à la sécurité? Avec OPIS, Beijaflore propose d appréhender la maîtrise des risques sécurité comme un levier de compétitivité pour l entreprise. Le socle d analyse d OPIS s appuie sur onze familles qui regroupent une soixantaine de processus et qui couvrent ainsi la globalité de l activité sécurité. La performance opérationnelle de ces processus sécurité est étudiée au travers de sept enjeux essentiels. Décloisonner la sécurité, éliminer les dysfonctionnements et industrialiser les pratiques sont autant de leviers pour améliorer la performance opérationnelle de la sécurité. En généralisant cette démarche qui impacte les sept enjeux clés de la performance opérationnelle de la sécurité de l information, les grands comptes seront témoins d une amélioration globale de leur dispositif de sécurité. 7 Enjeux essentiels de performance opérationnelle pour la sécurité Alignement métier Faire correspondre les processus sécurité à des besoins des métiers de l entreprise ou des risques que les métiers souhaitent couvrir Couverture S assurer que les activités sécurité sont prises en compte pour le périmètre requis (organisationnel, géographique, technique) Cohérence Garantir que les mêmes inputs génèrent les mêmes résultats et ainsi augmenter la prédictibilité des activités / processus sécurité Réactivité Optimiser les délais de prise en compte et de traitement Coût Réduire la charge financière (jh, ) nécessaire à la couverture des risques Respect Faire en sorte que l ensemble des activités soient constamment réalisées telles que définies Réutilisation Réutiliser les résultats des processus sécurité sans avoir à réeffectuer toutes leurs activités (solutions, recommandations ) Un historique à gérer? Une réduction du budget sécurité? Une modification de votre organisation? Des clients plus exigeants? Des menaces plus importantes? Operational Performance of Information Security Améliorer le respect Optimiser les coûts Améliorer la cohérence Augmenter la couverture Augmenter la réactivité Améliorer l alignement métier Favoriser la réutilisation 8

9 Benchmark de la performance opérationnelle des processus sécurité Analyse et synthèse des axes stratégiques pour une sécurité performante Objectif, périmètre et méthode L objectif est de permettre aux RSSI de positionner leur vision de la performance opérationnelle de leur dispositif sécurité par rapport au marché en identifiant : Les enjeux de performance Cohérence Alignement au métier Réactivité Respect Coûts Réutilisation Couverture Les périmètres sur lesquels agir Analyse & Gouvernance Vulnérabilités Identités & Accès Patrimoine informationnel Continuité Conseil sécurité Stratégie Accès réseau Audit & Contrôle Alertes & Incidents Ressources humaines Le profil type est un RSSI groupe ou métier (78%) d une société qui emploie plus de personnes (61%) réalisant un chiffre d affaires supérieur ou égal à 5Mds d euros (81%) Présentation de l échantillon Secteur Chiffre d affaires Assurance Industrie & service Banque 23% 32% 45% 5% 5% 9% 23% 58% Inférieur à 500 M Compris entre 500 M et 1 Mds Compris entre 1 et 5 Mds Compris entre 5 et 50 Mds Supérieur à 50 Mds Effectif Inférieur à Compris entre et % 13% 13% 22% 22% Profil Fonction IT Compris entre et Supérieur à % 56% RSSI Entité métier RSSI Groupe 9

10 Déroulement des interviews Les interviews se sont appuyées sur le jeu de cartes OPIS. Jeu de cartes OPIS : 11 cartes beiges «familles OPIS» et 7 cartes grises «Enjeux» à positionner sur un plateau où sont imprimées deux matrices : matrice de potentiel de gain opérationnel et matrice d amélioration des processus sécurité. Jeu de cartes OPIS Attente client plus forte Alignement au métier Réutilisation gains gamea3:mise en page 1 12/06/09 15:21 Page 2 Vulnérabilité Exemples Besoin d amélioration plus urgent Respect Veille technologique Sécurisation de ressources Patching de ressources Maintenance Beijaflore Operational Performance of Information Security Potentiel de gain plus élevé processus Accès réseau Contrôle & Audit Operational Performance of Information Security Posture Sécurité Contribution plus forte 10

11 Quelques exemples types d amélioration de la performance opérationnelle sur des processus sécurité de l information Les drivers Réduire les coûts du processus de cloisonnement Améliorer l alignement métier du processus de sensibilisation Améliorer la réactivité du processus IAM Améliorer la cohérence des analyses de risques Améliorer la couverture de gestion des vulnérabilités Améliorer la réutilisation du processus d alertes et incidents Les points d amélioration potentiels Réduire le coût de l isolement d une ressource informatique Renforcer le suivi des règles de sécurité Réduire le délai d implémentation des droits Objectiver la démarche d évaluation des risques Augmenter le nombre de ressources dans le périmètre de gestion Définir une méthodologie centrale et un outil de capitalisation Leviers clés Virtualiser les architectures Identification des risques IT en lien avec l activité métier Routage et priorisation des demandes, automatisation des tâches, centralisation des outils d implémentation Définir un catalogue de scénarios et une méthode d évaluation commune Modifier le process de mise en production Rédiger une politique et une méthodologie d alerte aux incidents déclinable sur les différents périmètres 11

12 Synthèse des résultats Enjeux de la performance opérationnelle de la sécurité La matrice des enjeux opérationnels donne une tendance où 3 groupes d enjeux se distinguent : Augmenter la couverture et améliorer l alignement métier sont les enjeux principaux des répondants Améliorer le respect et la cohérence, augmenter la réactivité et favoriser la réutilisation sont des enjeux secondaires Réduire les coûts reste une attente forte malgré une estimation de potentiel faible Priorisation des périmètres d action La priorité des RSSI en matière de sécurité de l information est donnée aux processus de gestion des identités et des accès, de contrôle ainsi qu au traitement des vulnérabilités. Parmi les projets de premier plan, on citera entre autres la détection des vulnérabilités, la gestion et synchronisation des référentiels d identité, la traçabilité des accès, la définition du plan de contrôle La description des familles de processus est détaillée en annexe. Enjeux de la performance opérationnelle de la sécurité Priorisation des périmètres d action Attente client plus forte Coûts Réactivité Couverture Respect Alignement au métier Réutilisation Besoin d amélioration plus urgent Gouvernance Patrimoine RH IAM Vulnérabilité Contrôle Analyse Alertes Réseau Cohérence Stratégie Continuité Potentiel de gain plus élevé Posture Sécurité Contribution plus forte Source : Benchmark Beijaflore, 2010 Positionnement relatif 12

13 Synthèse des résultats L augmentation de la couverture est l attente principale du top management et le point d amélioration potentiel le plus fort du périmètre sécurité. L alignement des processus sécurité aux besoins métier est un enjeu majeur des équipes sécurité. Pour la grande majorité des RSSI interrogés, la priorité est donnée à la gestion des identités & accès qui est de plus un enjeu pour la DSI. Le contrôle & l audit contribuent toujours autant à la posture sécurité et nécessitent encore des améliorations notamment dans la gestion des tiers et la sélectivité dans les plans de contrôle interne. Les projets d amélioration des plans de contrôle permettent ainsi d obtenir un juste équilibre entre une bonne couverture du périmètre et une maîtrise des charges induites. Appliqué au sourcing, cela peut également permettre la mise en place d un système de pénalités pour les fournisseurs. Ces pénalités permettent d assurer une meilleure prise en compte opérationnelle des enjeux sécurité dans les services fournis. Les enjeux majeurs identifiés pour optimiser la performance opérationnelle de la sécurité de l information sont l alignement au métier des processus sécurité de la gouvernance et la couverture du périmètre géographique et technique par la gestion des vulnérabilités. Matrice processus sécurité prioritaires / enjeux identifiés Gains principaux Alignement Métier Coûts Couverture Gains secondaires Cohérence Réutilisation Contrôle & Audit Contrôle & Audit Gouvernance Gouvernance Identités & Accès Identités & Accès Vulnérabilités Vulnérabilités Source : Benchmark Beijaflore, 2010 Très important Important Moyen 13

14 Synthèse des résultats Les enjeux par profils Les enjeux propres au profil RSSI Groupe tiennent en grande partie à l amélioration de la réactivité des processus de contrôle et de gouvernance. Derrière ces enjeux se dessinent souvent des tableaux de bords trop complexes avec des indicateurs pas assez pertinents qui limitent la performance des contrôles et des cycles de reporting. Pour le profil RSSI Entité métier, l augmentation du périmètre de sensibilisation des usagers du SI et des plans de contrôle est un enjeu majeur. Leur vision de la performance est principalement sujette à un travail de maîtrise de l impact de l homme sur la sécurité avec une proximité assez forte au métier. La cohérence de l approche et le respect des règles font partis de leur conviction dans l amélioration de la performance opérationnelle. Les profils fonction IT ont des préoccupations liées aux processus opérationnels de leur périmètre. Leur priorité va à la réutilisation et à l alignement sur les besoins métiers. Ces enjeux peuvent par exemple être primordiaux pour : la gestion des règles des firewalls où l empilement des règles inhibe souvent leur performance ; la capitalisation sur les accompagnements sécurité dans les projets métiers ; la compréhension du fonctionnement des lignes métiers pour implémenter des services adaptatifs. Matrices processus sécurité prioritaires / gains identifiés par profil RSSI Groupe Gains principaux Alignement Métier Couverture Réactivité Réutilisation Analyse & Conseil Contrôle & Audit Gouvernance Identité & Accès Vulnérabilités RSSI Entité métier Contrôle & Audit Gouvernance Identité & Accès Alignement Métier Couverture Gains principaux Réactivité Cohérence Respect Fonction IT Accès au réseau Identités & Accès Vulnérabilités Alignement Métier Gains principaux Couverture Réutilisation Ressources Humaines Vulnérabilités Source : Benchmark Beijaflore, 2010 Très important Important Moyen 14

15 Benchmark des technologies et outils sécurité Un point de vue d expert sur la sécurité au quotidien Objectif, périmètre et méthode Ce benchmark a pour objectif de partager avec vous notre point de vue sur les outils et technologies qui contribuent à la maîtrise des risques sécurité. Nous vous proposons une cartographie générale des solutions sécurité qui vous permettra de guider vos choix technologiques stratégiques à court et moyen terme en fonction d un référentiel de critères pertinents pour la réussite de vos projets sécurité. Ce benchmark est l objet d une mûre réflexion sur la capacité des technologies et outils présents sur le marché à répondre facilement aux problématiques actuelles de sécurité de l information. Nous avons élaboré un modèle d évaluation permettant d orienter les choix technologiques d une entreprise. Nous vous présentons dans ce document une vision nourrie de nos interventions, vision qui peut être déclinée dans votre entreprise. Le modèle d évaluation L'évaluation des outils sécurité est faite suivant deux paramètres : l'impact sécurité de la solution la facilité de déploiement et de gestion de la solution Modèle d évaluation Beijaflore des technologies et outils sécurité Impact Sécurité Diminution du risque sécurité impact sur le niveau de sécurité Facilité de déploiement et de gestion Popularité taux d adoption par des entreprises Facilité de déploiement Impact user niveau d implication nécessaire des futurs utilisateurs Impact sur le SI importance de la pré-production, de la mise en production et de l analyse Expertise de la solution niveau d expertise et de formation pour l implémentation de la solution Ressources IT spécifiques importance du nombre et de la standardisation des composants (soft/hard) Facilité de gestion Coût investissement nécessaire pour gérer la solution Maintenance maintien de l infrastructure / configuration nécessaire pour fonctionner correctement Simplicité du support niveau d expertise déployée pour maintenir la solution en production Contraintes induites contraintes opérationnelles potentielles induites par l utilisation de l outil 15

16 Positionnement global des outils et technologies sécurité Les résultats génériques de ce benchmark sont rassemblés dans la matrice de positionnement qui prend en compte l ensemble des critères de la méthodologie d évaluation Beijaflore. Cet outil de cartographie générale des outils et technologies sécurité permet de suivre l évolution des cycles de vie des solutions, de matérialiser la veille technologique mais également de positionner ces technologies de manière relative pour soutenir vos choix stratégiques en termes d investissement à court et moyen termes via un regroupement facilitant la prise de décision : Investir rapidement Ce groupe rassemble les technologies «valeurs sûres» usuellement faciles à déployer et dont la gestion apporte relativement peu de contraintes pour l équipe sécurité et les lignes métiers. Ces solutions sécurité permettent aussi une bonne réduction des risques résiduels. Maintenir Déployées quasi-systématiquement, ces technologies dites «basiques» ont des effets sur les risques résiduels plus limités que les deux groupes précédents. Néanmoins, elles ont l avantage au-delà de leur popularité de bénéficier d une facilité de déploiement et de gestion qui en font des indispensables pour libérer les équipes sécurité de nombreuses tâches automatisables ou bien pour garantir une voie de recours en cas d incident. Saisir les opportunités Les technologies que l on qualifie de «contraignantes» forment ce groupe. Il convient de noter qu elles apportent un niveau de sécurité acceptable et sont de plus en plus adoptées dans les organisations soumises à de fortes régulations (finance, sociétés côtées, ). En dépit des contraintes qu elles imposent en termes de maintenance, d expertise et de charge, ces technologies sont souvent à considérer si l opportunité budgétaire et la mobilisation des acteurs de l entreprise sont réunies. Leur déploiement est généralement lié à des problématiques relatives à une incidentologie forte, à la régulation ou à des besoins spécifiques de protection de données sensibles. Surveiller Dans ce groupe, on place les technologies «en retrait». Ces solutions n ont généralement pas encore assez de maturité pour trouver un réel besoin sécurité auquel répondre, les avantages qu elles offrent sont souvent liés au confort des utilisateurs mais ces solutions restent un casse-tête pour les équipes sécurité. 16

17 Positionnement global des outils et technologies sécurité Impact sécurité DLP Saisir les opportunités VPN, chiffrement de flux Vulnerability Assessment IPS Hardening servers Investir rapidement Chiffrement de données Firewall poste de travail Firewall applicatif PKI IAM provisionning Surveiller Authentification forte IAM identify management Event log correlation IAM authentification VPN Accès nomade Firewall Event log centralisation IAM authorization Reverse proxy 802,1x IAM Access right workflows IAM Contrôle & Audit Maintenir Patch management Antivirus HTTP Antivirus System Anti-spam/ AV SMTP Backup serveur SLO/SSO Backup poste de travail nomade Contrôle d intégrité URL Filter Facilité de mise en œuvre et de gestion, et popularité Source : Benchmark Beijaflore, 2010 Beijaflore,

18 Résultats détaillés Les solutions par environnement Les technologies et outils du benchmark ont été classés en quatre catégories d environnement : Les solutions agissant sur l infrastructure qui regroupent les technologies et outils sécurité nécessitant l ajout et/ou la configuration de serveurs : Backup, Patch management, Event log management, SLO/SSO, IAM authentification & autorisation, Les solutions agissant sur le réseau parmi lesquelles on trouve les technologies et outils sécurité qui s intègrent ou s installent directement sur le réseau : Firewall, Data Leak Prevention, Antivirus http, Anti-spam, Intrusion Prevention System, VPN, Les solutions agissant sur les processus, à savoir des technologies et outils sécurité qui modifient l usage ou l accès aux applications : IAM control & audit, identity management, access right workflows. Les solutions agissant sur le poste de travail au sein desquelles on place les technologies et outils sécurité qui modifient l usage et les fonctionnalités du poste de travail des usagers : Antivirus system, Firewall & Backup poste de travail, chiffrement de données, PKI, Le positionnement des catégories d environnement sur la matrice d évaluation Beijaflore montre deux choses : la première, que les solutions qui agissent sur le réseau diminuent globalement le risque de manière plus large et à un niveau plus acceptable que les autres solutions, la seconde, que les solutions agissant sur l infrastructure sont généralement plus complexes à gérer et déployer que les autres solutions. Les solutions les plus impactantes sur la sécurité Les résultats de ce benchmark fournissent le classement des solutions qui diminuent le plus le risque sécurité et le plus de risques sécurité, parmi lesquelles on retrouve une grande partie des solutions «valeurs sûres» précédemment définies mais également les solutions de protection DLP, IPS et Firewall, et les solutions de prévention de type chiffrement de flux (VPN) et de données ou d authentification forte. Diminution du risque sécurité - impact sur le niveau de sécurité 1. Solution qui change peu le niveau de risque ou qui est palliative / compensatoire 2. Solution qui diminue le niveau de risque sans atteindre un niveau de risque acceptable 3. Solution qui apporte un niveau de risque acceptable 4. Solution qui apporte un niveau de risque acceptable et couvrant plus de risques Résultats par impact sécurité (Top 10) Hardening server 3,8/4 VPN, chiffrement de flux 3,7/4 Data Leak Prevention (DLP) 3,6/4 Vulnerability assessment 3,6/4 Intrusion Prevention System (IPS) 3,4/4 Firewall poste de travail 3,2/4 Chiffrement de données 3,2/4 Firewall, Firewall apllicatif 3,1/4 Authentification forte 3,1/4 Patch Management 3/4 Source : Benchmark Beijaflore,

19 Résultats détaillés Les solutions les plus faciles à mettre en œuvre Le classement des solutions les plus faciles à mettre en œuvre est largement dominé par les solutions du type antivirus et/ou filtre qui font aussi partie des solutions les plus déployées par les organisations, suivies de près par le patch management et le contrôle des accès. On notera également la présence des outils VPN (accès nomade), firewall personnel, backup qui se déploient facilement, ne nécessitent pas d analyse de risque en pré-production et peu d expertise. Le facteur coût n est pas pris en compte dans le critère de facilité de déploiement. En effet il est trop variable selon l ampleur des projets et les périmètres à couvrir. Il convient en revanche de le prendre en compte dans l évaluation des solutions pour l utilisation des résultats du benchmark. Résultats par facilité de déploiement (Top 10) Antivirus system 3,1/4 Anti-Spam / AV SMTP 2,9/4 Antivirus HTTP 2,9/4 URL Filter 2,8/4 Patch Management 2,8/4 Solution IAM : Contrôle & audit 2,7/4 VPN (accès nomade) 2,6/4 Firewall poste de travail 2,6/4 Backup serveur 2,6/4 Source : Benchmark Beijaflore, 2010 Event log centralisation 2,5/4 Les solutions les plus faciles à gérer Les résultats montrent que ce sont des outils sécurité autonomes ou n ayant besoin que d une gestion superficielle. Ces solutions sont majoritairement des logiciels, des algorithmes indépendants, des processus de paramétrage, d audit ou de sauvegarde dont les coûts de gestion sont quasiment transparents post déploiement. Néanmoins, ces solutions induisent généralement des contraintes pour les lignes métiers lorsqu elles cessent de fonctionner, c est pourquoi elles nécessitent souvent d être déployées à plusieurs niveaux de l architecture sécurité ou bien d être dupliquées et reliées à des ponts réseau. Résultats par facilité de gestion (Top 10) Antivirus system 3,1/4 Event log centralisation 2,9/4 Hardening servers 2,9/4 Firewall poste de travail 2,8/4 Solution IAM : Contrôle & audit 2,8/4 Anti-Spam / AV SMTP 2,7/4 Antivirus HTTP 2,6/4 Backup poste de travail (nomade) 2,6/4 Backup serveur 2,6/4 Source : Benchmark Beijaflore, 2010 Solution IAM : access right workflows 2,5/4 19

20 Focus sur les solutions IAM Les évolutions légales et réglementaires (Loi sur la Sécurité Financière, Sarbanes-Oxley, Solvency II...) tendent à augmenter le niveau d exigence en matière de traçabilité et de maîtrise des droits d accès. Les entreprises peinent à faire aboutir les projets IAM malgré les enjeux qui lui sont directement reliés. Le déploiement d un système de gestion des identités et accès est complexe, c est pourquoi les prérequis suivants sont nécessaires pour garantir la performance des accès : le niveau de sponsorship du projet doit être suffisant pour mobiliser les acteurs métiers (il n est donc pas DSI) ; le référentiel organisationnel doit être fiabilisé (structure & utilisateurs) ; une vue simple (macro) de l urbanisation doit être disponible. Les projets IAM doivent s appuyer sur 3 drivers essentiels : associer les responsables des équipes métiers à la construction des profils métier ; démarrer la construction des profils techniques avec les équipes IT; s appuyer sur les technologies maîtrisées de l organisation (annuaire LDAP, moteur de workflows, base de données ). La roadmap IAM doit intégrer les 4 étapes clés suivantes (cf. schéma ci-dessous) : 1. Fiabilisation des référentiels organisationnel et applicatif Le référentiel organisationnel doit permettre de distinguer la structure et les personnes. Parmi ces personnes, il est nécessaire de différencier 3 types de population : les internes (CDD, CDI), les externes (consultant, stagiaire, interim) et les partenaires (utilisateurs des ressources internes que l on ne connaît pas).enfin les statuts des personnes sont également à prendre en compte. On identifie les statuts RH avec les use cases : join, leave, move, suspend (congés, maladie, maternité ). 2. Profilage des droits Le profilage doit se faire sur la base d un référentiel organisationnel et applicatif unique pour être efficace. La définition des rôles doit conduire à une simplification de l organisation du métier, la performance sera directement diminuée si la granularité est trop importante. La construction des profils techniques doit permettre de construire l urbanisation simplifiée de chaque application et composants techniques du SI. 3. Workflows validation/gestion Les outils de workflows doivent répondre aux critères d auditabilité définis. Les workflows doivent déclencher les ordres de provisionning, l industrialisation de cette étape contribue pour beaucoup à la performance de l IAM. 4. Provisionning Roadmap IAM Référentiel applicatif Profilage technique Mise à jour des apllications & composants Référentiel organisationnel Profilage métier Workflows + Reporting Provisionning Authentification forte Source : Benchmark Beijaflore, 2010 SSO Temps 20