IAM et habilitations, l'approche par les accès ou la réconciliation globale

IAM et habilitations, l'approche par les accès ou la réconciliation globale 04/12/08 Page 1 Evidian 2008 1

Les couches archéologiques du Système d information: Les systèmes centraux Ventes Employés Employé RH Applications Page 2 Evidian 2008

Les couches archéologiques du Système d information: Les systèmes distribués Ventes Employés Employee RH Page 3 Evidian 2008

Les couches archéologiques du Système d information: Mobilité et ubiquité Utilisateurs internes Ventes Employés Employee RH Utilisateurs externes Employés mobiles Partenaires Page 4 Evidian 2008

Le contexte de l IAM Exigences techniques Virtualisation du S.I. Extension de l'écosystème Mobilité, accès à l'information Ouvertures de services de plus en plus nombreuses Spécialisation des applications pour chaque métier Contraintes métiers et légales Transparence financière et conformité Clarté du système informatique, au service du métier Réduction des coûts opérationnels Page 5 Evidian 2008

Par où commencer? Des processus d habilitations existent Les administrateurs des ressources gèrent les droits d'accès existants Les accès des utilisateurs finaux traduisent l état réel des habilitations Premières cibles pragmatiques Réduction de la complexité : réduire le nombre d'éléments gérés Transparence et visibilité : pas de processus manuels ou non écrits Contrôle des coûts : systématiser, mettre en commun Page 6 Evidian 2008

La première étape: L automatisation des processus Automatiser les processus : projets IAM simples ROI rapide, robustesse accrue Résoudre les problèmes d'hétérogénéité Rendre l'organisation indépendante du S.I. Prendre en compte l historique des politiques passées Domaine IAM Type de projet IAM Objectifs business Sponsors Gestion des identités Gestion des Accès Provisionnement utilisateur, Synchronisation d'annuaires Single Sign-On (SSO), Authentification forte Simplification informatique, flexibilité et réduction des coûts Contrôle d'accès, flexibilité et réduction des coûts DSI Utilisateurs, RSSI Page 7 Evidian 2008

Projets de Gestion des Identités Provisionnement Utilisateur Virtualiser les ressources informatiques Améliorer l'efficacité de l'informatique en automatisant la gestion des comptes utilisateurs Gérer les utilisateurs sur la base de leur identité numérique ou profils informatiques Empêcher les erreurs manuelles Synchronisation d'annuaires Constituer une source fiable à partir de sources autoritatives Automatiser les modifications des identités numériques en cas d'arrivée, changement et départ des utilisateurs Automatiser l'assignation des profils aux utilisateurs Page 8 Evidian 2008

Projets de Gestion des Accès Authentification forte Renforcer la sécurité d'accès au système informatique Authentifier les identités numériques et non les comptes utilisateurs Single Sign-On (SSO) Réduire les coûts de helpdesk liés à la gestion des mots de passe Renforcer la politique de sécurité des comptes utilisateurs Auditer les accès au système d information Web Access Management/SSO Mobile Sécuriser les accès externes aux applications de l'entreprise Page 9 Evidian 2008

Bilan de la première étape L'automatisation des processus régule l'accès des utilisateurs aux ressources informatiques Personne Identité Profil Accès SI C'est un bon début mais de nombreuses limitations demeurent Péremption des processus à cause de l'évolution de l'entreprise Automatisation sur de multiples organisations Attente des auditeurs métier: rôles fonctionnels et non profils Gestion de la politique de sécurité de bout en bout Multiplication des profils ou problèmes de granularité Page 10 Evidian 2008

La deuxième étape: La Gestion des Rôles Rendre les audits plus clairs en utilisant des concepts métier Définir les processus et les rôles au niveau métier Identifier les risques métier grâce à la séparation des tâches Faciliter les changements dans l'entreprise Assigner des droits aux utilisateurs en fonction des rôles métier Répercuter les changements organisationnels ou fonctionnels Domaine IAM Type de projet IAM Objectifs business Sponsors Gestion des Rôles Outil de définition de la politique de sécurité, Workflow d approbation, Role mining/engineering Conformité, flexibilité métier RSSI, Management, Contrôles internes Page 11 Evidian 2008

Bilan de la deuxième étape La gestion des rôles donne une vue métier des utilisateurs Personne Rôle Profil SI Accès SI Mais cet état théorique doit être rendu effectif sur le S.I. Contrôler l'utilisation réelle des comptes du S.I. Prendre en compte les droits existants Les politiques ne doivent pas rester dans leur "tour d'ivoire" Page 12 Evidian 2008

Rappel sur la conformité Une politique de sécurité n'est pas qu'un gros classeur Comme toute politique : 1. Un ensemble de contrôles doit exister Role management et workflow d'approbation 2. Ces contrôles doivent être implémentés Provisionnement et workflow d'exécution 3. Ces contrôles doivent être efficaces Access management et reporting Comment faire pour que tout ceci fonctionne simplement? Page 13 Evidian 2008

Rappel sur la flexibilité La flexibilité exige de pouvoir orchestrer rapidement les changements d'organisation! Une décision métier peut avoir de nombreuses conséquences Changer les rôles utilisateurs, introduisant de nouveaux acteurs Introduire ou réorienter les ressources informatiques Optimiser les processus sur demandes opérationnelles Comment orchestrer ces processus avec de nombreux utilisateurs? Page 14 Evidian 2008

La troisième étape Donner du sens au puzzle IAM Mettre ensemble toutes les composantes de l'iam n'est pas simple Défis de conception Rôles Défis techniques Identités? Défis humains Accès Page 15 Evidian 2008

La réconciliation globale pour résoudre le puzzle IAM La réconciliation est un concept unificateur efficace L'infrastructure IAM est gérable à taille humaine L'audit est facilité: chaque étape est documentée A chaque domaine son spécialiste Les investissements existants sont conservés et plus efficaces Chaque organisation définie par avance la portée de la réconciliation et l'impact sur ses données Page 16 Evidian 2008

La réconciliation de l infrastructure IAM Synchronization d Identités Gestion des Rôles Identités Audit et Reporting E-mails et Workflows Standards (SPML) Provisioning (Legacy) Gestion des Accès Page 17 Evidian 2008

Exemple de déploiement classique de l IAM Les étapes classiques de l IAM Construire et maintenir une base centrale des utilisateurs Y intégrer une politique Qui a le droit d accéder à quoi Mettre en place un workflow d approbation pour les droits d accès Mettre en place un provisionnement automatique Sécuriser les accès La difficulté principale: la prise en compte de l existant Il existe déjà un SI complet et riche Il existe X versions de N processus L historique des droits est archivé sur de multiples média. Il est à peu près impossible de déterminer qui a donné le droit à qui. Il existe de multiples règles pour la création des identifiants. Pour certaines applications, il est impossible de faire le lien entre un compte et ses utilisateurs. Page 18 Evidian 2008

Difficultés de déploiement de l IAM Scénario de mise en œuvre Implémentation des agents de provisionnement pour collecter automatiquement les comptes existants dans les applications Assignation des comptes aux utilisateurs Implémentation des processus de workflow et définition des rôles Constat Seuls 30% des comptes peuvent être automatiquement affectés à un utilisateur Affecter un compte manuellement prend au moins 5 minutes Soit près de 10 jours pour 1500 comptes Comptes orphelins ou obsolètes difficiles à détecter Approche longue et coûteuse Les outils de Role Mining/Role Engineering sont inefficaces sur ce sujet Page 19 Evidian 2008

Approche avec la réconciliation globale de l IAM : Simplification de la prise en compte de l existant Exploitation des données de la Gestion des Accès Utilisation du SSO d entreprise ou d un moteur d auto-enregistrement Les identifiants sont automatiquement collectés lors de la connexion des utilisateurs à leurs applications Les avantages principaux Moins de 1 jour de configuration par application Seuls les comptes effectivement utilisés sont réellement collectés Les irrégularités sont immédiatement détectées (comptes partagés, usurpés) La collecte assigne automatiquement les comptes aux utilisateurs Le SSO est déployé ce qui fournit un avantage immédiat aux utilisateurs. Le SSO renforce la sécurité et réduit les coûts de support Page 20 Evidian 2008

La réconciliation des politiques existantes Qui accède à quelles applications avec quels comptes et quels droits? Construire Quels sont les droits de chaque compte dans les applications? Qui accède à quelle application et avec quel compte? Page 21 Evidian 2008

Approche avec la réconciliation globale de l IAM: Contrôle de l application des politiques La Gestion des Identités et des Rôles ne définit qu un état idéal Seuls les processus d habilitations et de création des comptes sont sous contrôle complet de l IAM Les mots de passe peuvent toujours êtres usurpés Les applications n auditent que les comptes pas les utilisateurs L association de la Gestion des Accès contrôle l application de la politique Les mots de passe ne sont plus connus des utilisateurs L utilisateur des comptes peut être authentifié fortement L audit de la Gestion des Accès fait le lien entre un compte et son utilisateur, y compris pour les comptes partagés ou délégués Les politiques de gestion des mots de passe sont centralisées et appliquées Page 22 Evidian 2008

L application des politiques d accès Contrôler le cycle de vie de l'identité Qui accède à quelles applications avec quels comptes et quels droits. Contrôler l'accès Création des comptes avec les droits appropriés Accès aux applications avec les comptes autorisés. Audit des accès. Page 23 Evidian 2008

Les avantages de la réconciliation globale Rentabiliser les investissements existants Accélérer le déploiement de la Gestion des Rôles Rendre effective la politique de sécurité Consolider les données des audits Page 24 Evidian 2008