EXTRAIT EXTRAIT La gestion des identités et des accès (IAM) Le CXP, 2009 1 Le CXP, 2009 1
PRESENTATION DE L ETUDE ANALYSER LES OFFRES I RÉDIGER LE CAHIER DES CHARGES I APPROFONDIR LE DOMAINE I COMPRENDRE LE MARCHÉ Votre objectif : Vous souhaitez gérer les identités des personnes qui ont accès à votre système d information, qu elles appartiennent ou non à votre organisation, automatiser les processus associés et/ou valider que les accès autorisés respectent les politiques de sécurité en vigueur. Profils concernés : Direction du SI, RSSI Vos attentes La gestion des identités et des accès (IAM) Automatiser la mise en place des accès pour un nouvel arrivant ou vous assurer que les accès ont bien été supprimés après un départ. Permettre aux personnes de gérer leur identité en self service. Donner accès à votre SI à vos partenaires. Que les utilisateurs aient un mot de passe unique et sécurisé. Réduire la charge du help desk pour répondre aux oublis de mot de passe. Contrôler que les accès autorisés respectent les règlementations en vigueur et votre politique interne de sécurité. Détecter des comportements à risque. Les questions que vous vous posez Quelques-unes des offres présentées dans l'étude (liste non exhaustive, non contractuelle et sujette à modification) : BMC, CA, IBM, ILEX, LINAGORA, MICROSOFT, NOVELL, ORACLE, SAP, SUN Quel est le périmètre fonctionnel des solutions disponibles sur le marché? Est-ce que ces solutions sont réservées aux grands comptes? Comment ces solutions me permettent d assurer la conformité à Sarbanes Oxley? Est-ce que je peux attendre des gains financiers de la mise en œuvre d une solution d IAM? Comment les solutions IAM participent de la gouvernance des risques, du SI ou de l information? Quels sont les étapes clés de la mise en œuvre d une solution IAM? Comment définir le bon niveau de maîtrise et de contrôle des identités et des accès? L'ÉTUDE D'OPPORTUNITÉ - La gestion des identités et des accès vous permet, en amont d'un projet de gestion des identités et des accès, d'évaluer les apports concrets des solutions IAM (Identity & Acces Management) et des différentes briques qui les composent. Vous aidant à préparer l'avenir, cette étude vous fournit les repères nécessaires pour : comprendre et maîtriser les concepts, les définitions et les enjeux de la gestion des identités et des accès, identifier l'approche méthodologique la plus adaptée au contexte et au périmètre de votre entreprise, mesurer et justifier les intérêts économiques de ce type de projet pour votre entreprise, évaluer l apport des solutions IAM pour la gestion des risques et de la conformité GRC, connaître la structure d une solution IAM et les composants technologiques associés, recenser un certain nombre d'offres, sélectionnées et présentées par l'analyste spécialiste du domaine. Le CXP, 2009 2
La gestion des identités et des accès (IAM) ÉTUDE D'OPPORTUNITÉ Date : 19/11/2009 La gestion des identités et des accès (IAM) Étude réalisée par Dominique Dupuis OBJECTIF DU DOCUMENT. Qu est ce qu un progiciel de gestion des identités et des accès? Quelles en sont les fonctions principales? Ces solutions sont-elles réservées aux grands comptes? Comment le progiciel interagitil avec mon SI? Quels sont les acteurs majeurs du marché? Comment ces solutions me permettent d assurer la conformité à Sarbanes-Oxley? Est-ce que je peux attendre des gains financiers de la mise en œuvre d une solution de gestion des identités et des accès? Quelles sont les étapes clés de la mise en œuvre d une solution de gestion des identités et des accès? Comment définir le bon niveau de maîtrise et de contrôle des identités et des accès? Voilà quelques-unes des questions que vous vous posez. Pour y répondre, cette étude d'opportunité vous fournit : les concepts et définitions d une solution de gestion des identités et des accès, la description des fonctions d'une solution de gestion des identités et des accès un positionnement des éditeurs et des solutions disponibles, la présentation de quelques d'offres significatives. Tandis que chaque jour, nous prenons la mesure de l importance stratégique de l information, l intégration de nouvelles briques dans le Système d Information enrichit ce dernier mais également le complexifie, permet l accès à un nombre croissant d utilisateurs internes et externes et finalement le fragilise. Dans le même temps, dans un objectif de meilleure gouvernance des entreprises, via des normes telles que Sarbanes-Oxley, l accent est mis sur la traçabilité des décisions prises par les salariés de l entreprise et donc, par extension, sur les droits et autorisations donnés aux utilisateurs du Système d Information. Dans ce contexte, la gestion des identités et des accès est un élément-clé de sécurisation du Système d'information. SOMMAIRE I. CONTEXTE ET ENJEUX 2 1. Un constat peu favorable 2 2. Une nécessité de sécurisation performante 3 3. Assurer la conformité règlementaire 4 4. De forts enjeux business 4 5. Une approche globale par la gestion des risques 5 II. LE CONCEPT IAM 6 1. Des solutions modulaires 6 2. Structure d'une solution 6 3. Intégration dans le système d information de l entreprise 9 III. BENEFICES ET LIMITES D UN PROJET DE GESTION DES IDENTITÉS 11 1. Bénéfices attendus 11 2. Recommandations 12 3. Les principales étapes d'un projet de gestion des identités 13 IV. LES FONCTIONS 14 1. Gestion des Identités 14 2. Fédération d Identités 19 3. Gestion des Accès 20 4. Audit et Traçabilité 22 V. TYPOLOGIE DE L OFFRE 24 1. Les fournisseurs de solutions de gestion d infrastructure 24 2. Les fournisseurs de solutions pour la DSI 24 3. Les éditeurs spécialisés 24 4. Open Source et solutions pour PME 25 VI. PRÉSENTATION DE QUELQUES OFFRES SIGNIFICATIVES 26 VII. RÉFÉRENCES CXP 43 Copyright le CXP, 2009 3/5
La gestion des identités et des accès (IAM) ÉTUDE D'OPPORTUNITÉ Date : 19/11/2009 I. CONTEXT ET ENJEUX Après des années de construction du Système d'information, les couches liées à la sécurité se sont juxtaposées. Les composants en sont hétérogènes, dispersés et constituent finalement un système ingérable et coûteux. Le système souffre également d'un manque de réactivité, par exemple, à l'occasion de l'arrivée d'un nouveau salarié. En parallèle, pour répondre à des objectifs de transparence financière ou de protection des personnes, on observe un contexte réglementaire de plus en plus pesant mais aussi structurant. Enfin, l'informatisation des activités mais aussi la mondialisation, ont donné à l'information une dimension stratégique de plus en plus grande. L'information est ainsi devenue un actif majeur qui doit être accessible par les utilisateurs légitimes mais aussi protégé de manière appropriée et permanente. 1. UN CONSTAT PEU FAVORABLE Les différents points relevés par les spécialistes de la sécurité informatique concernant le Système d'information sont les suivants : une hétérogénéité des sources d'information, un cloisonnement des mondes techniques/sécurité et applicatif, des comptes doubles et des fantômes, pas de gestion globale des accès aux applications, des mots de passe faciles à pirater. Pour illustrer les défauts ou les coûts liés à un système de gestion insuffisant dans le domaine des identités et des accès, différents indicateurs sont fournis par les uns et les autres : 35 % du temps d'un help desk est mobilisé sur des problèmes de mot de passe, la réinitialisation d'un mot de passe coûte 20 $,... il faut 12 jours en moyenne pour créer les accès d'un nouvel utilisateur, 30 à 60 % des comptes sont invalides, Des études sont également réalisées, comme celle qui a été commanditée par RSA, réalisée par IDC en 2009, qui concluait que les infractions accidentelles étaient potentiellement plus dangereuses que les attaques malveillantes, mettant ainsi l'accent sur la nécessité d'une gestion interne rigoureuse et d'une formation sérieuse des salariés de l'entreprise. /. Copyright le CXP, 2009 4/5
EXTRAIT ANALYSER LES OFFRES I REDIGER LE CAHIER DES CHARGES I APPROFONDIR LE DOMAINE I COMPRENDRE LE MARCHÉ Documents CXP associés : SERVICE EXPERT ITSM - Gestion des services informatiques Présentation du thème Documents à l'unité Copyright le CXP, 2009 5/5