La gouvernance IAM au service des stratégies métiers

La gouvernance IAM au service
des stratégies métiers
Chris Norman
Partner – Deloitte
Marc Rousselet
Directeur - KERNEL Networks
Séminaire du 13 Juin 2012

© 2012 Deloitte Conseil – Kernel Networks2 La gouvernance IAM au service des stratégies métiers
Agenda
• Introduction
• Les avantages de l’IAG pour les entreprises
• Comment SailPoint adresse les enjeux de la
gouvernance IAM
• Retour d’expérience Sanofi
• Comment bénéficier des avantages de l’IAG : l’offre
commune Deloitte-Kernel
• Questions

© 2012 Deloitte Conseil – Kernel Networks
Pourquoi la Gouvernance
des Identités?
La gouvernance IAM au service des stratégies métiers3

Le “Security Survey” Deloitte
Tous les ans, Deloitte réalise des
enquêtes au niveau mondial sur
l'état de la sécurité auprès de ses
clients.
Les enquêtes sont effectuées par
secteur parmi lesquels:
• Finance
• Biens de consommation
• Laboratoires pharmaceutiques
• Technologie, Media et
Télécommunication
• …

32%
30%
29%
28%
27%
26%
22%
20%
20%
18%
17%
15%
12%
12%
11%
9%
7%
7%
6%
6%
Excessive access rights
Audit trails/logging issues (e.g. lack of audit trails, lack of review, etc.)
Lack of sufficient segregation of duties
Lack of clean up of access rules following a transfer or termination
Business continuity and disaster recovery
Excessive developers’ access to production systems and data
Ineffective password management (e.g. use of weak passwords, default…
Security policies and standards have not been operationalized
Lack of documented security policies and supporting guidelines and…
Sharing of user IDs with a commonly known password
Lack of security awareness programs
Lack of oversight and compliance to security control requirements
Lack of authorization of changes prior to implementation
Lack of separate testing environment
Use of production data in testing
Not applicable
Lack of compliance to privacy regulations
Do not know
Maintaining control environment integrity
Other (please specify below)
5 La gouvernance IAM au service des stratégies métiers
La “Security Survey”
Quelques extraits de la dernière enquête TMT 2011 : la conformité
Quels ont été les 5 déficiences d’audit internes/externes les plus importantes au
cours des 12 derniers mois?
“The 5th Annual TMT security survey”, © 2012 Deloitte
La Gestion des Identités semble ne pas tenir sa promesse !
• Nombreux projets arrêtés à mi-chemin
• Manque d’adhésion des métiers
• Modèle RBAC non-opérationnel
• Processus inopérant de recertification des accès

Qu’est que la gouvernance
des identités et des accès?

Qu’est que la Gouvernance dans le contexte de la
Gestion des Identités et des Accès (IAG)?
1. Visibilité
sur les
accès
• Savoir qui
accède à quoi
• Mesurer la
conformité
2. Re-
certification
• Confirmer ou
modifier les
accès existants
• Mise en
conformité des
accès
3. Définition /
Optimisation
des rôles
• Maintenir les rôles
• Mesurer la
pertinence d’un
rôle
• Réduire le fardeau
de la conformité
des accès
4. Gestion des
accès
• Niveau 3 prérequis
• Rendre les métiers
responsables des
accès accordés
• Contrôles
préventifs d’accès
aux données
• Optimisation du
processus de
gestion des accès
5. Supervision
et contrôle
continu
• Réalisation des
contrôles en
mode récurrent
• Re-certification
périodique sur
l’ensemble d’un
périmètre
• Processus global
de gestion des
rôles et des
utilisateurs
Un Modèle de Maturité
Une Définition :
La Gouvernance :
• Définir les bonnes pratiques et objectifs de contrôle à
atteindre
• Mettre en place les actions
adéquates
• Démontrer la conformité avec
les pratiques & objectifs
Utiliser la notion de Risque
pour focaliser les efforts

Etablissement du Niveau de Maturité
Hétérogénéité typique et maturité relative dans les entreprises
Support ERP Central
BU 1
BU 2
BU3
BU 4
BU 4
Data
Integration
Delegated
Administration
User Self-Service
Account Management
User Self-Service
Request Management
Request / Approval
Management
Automated
Provisioning
Central Administration
Authoritative Source
Integration
Identity Lifecyle
Integration
Account Consolidation
Data Synchronization
Data Virtualization
Password
Synchronization
Lost Password
Management
Web Single Sign-On
Desktop Single Sign-
On
Segregation of Duties
Monitoring
Logging & Monitoring
Access Certification
User Access Review
Role Engineering
Role Based
Provisioning
Role Lifecycle
Management
SOD Definition
Exceptions
Management
Access
Management
RoleBased
Access
Control
Account
Management
Access
Reporting
/Audit
L’absence de Gouvernance
conduit à de nombreux projets
couvrant des périmètres
similaires mais ne répondant pas
l’ensemble des besoins.
Conséquences :
• Impossibilité de dire « QUI
accède à QUOI ? »
• Conformité laborieuse,
hétérogène
• Vision des risques parcellaire
• Support limité aux stratégies
métiers

Les bénéfices d’une
approche fondée sur
la gouvernance

Les bénéfices de l’IAG (Identity and Access Governance)
En adoptant une approche orientée Gouvernance et Risques, on
peut :
Approche
Risques,
orientée
Processus
et Métier
Améliorer la
Conformité
Capitaliser sur
l’existant
Améliorer la
productivité et
la qualité
Supporter la
Stratégie des
Métiers

Agenda
• Introduction
gouvernance IAM
• Questions

Comment SailPoint
adresse les enjeux de
la gouvernance IAM

Qui est SailPoint ?
Fournisseur d’une solution de gouvernance des identités
• Création de la société en 2005
• Fondée par des leaders reconnus du marché de la gestion des Identités
• 150+ références dans le monde; avec base installée BMC ~450 clients
L’écosystème SailPoint
• Très forte croissance à m’international (48% du CA global)
• Centres de services aux USA, en UK, en Inde et aux Pays-Bas
• 300 consultants certifiés au sein d’un réseau mondial de partenaires constitué de
cabinets de conseil et d’intégrateurs
SailPoint délivre pour des clients particulièrement exigeants
• Larges multinationales avec des déploiements distribués
• Les plus gros clients possèdent plus de 1000 applications,
100,000 utilisateurs, et des millions d’habilitations
• Approx 50% des clients sont dans le secteur
Banque/Finance
SailPoint Headquarters
Austin, Texas
Banking 28%
Consumer
Services/Retail
5%
Financial
Services 16%Government 5%
Healthcare 12%
Insurance 16%
Manufacturing
3%
Other 15%
Société la +
innovante en
sécurité

Un leader reconnu par les analystes
The Magic Quadrant is copyrighted 2011 by Gartner, Inc. and is reused with permission. The Magic Quadrant is a graphical representation of a marketplace at and for a specific time period. It depicts Gartner's
analysis of how certain vendors measure against criteria for that marketplace, as defined by Gartner. Gartner does not endorse any vendor, product or service depicted in the Magic Quadrant, and does not
advise technology users to select only those vendors placed in the "Leaders" quadrant. The Magic Quadrant is intended solely as a research tool, and is not meant to be a specific guide to action. Gartner
disclaims all warranties, express or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.
These Magic Quadrant graphics were published by Gartner, Inc. as part of larger research notes and should be evaluated in the context of the entire reports. The Gartner reports are available upon request
from SailPoint.
The Forrester Wave is copyrighted 2011 by Forrester Research, Inc. and is reissued with permission. The Forrester report is available upon request from SailPoint
Gartner Magic
Quadrant
pour la Gouvernance de
l‘Identité et des Accès (IAG)
Q4 2011
Forrester Wave
pour la gestion des rôles et
la re-certifications des
accès
Q3 2011

“SAVEZ-VOUS
qui a accès à quoi,
si cela est
APPROPRIÉ
et pouvez-vous le
PROUVER ?”
La problématique de base :

Et soudain un changement arrive
La fréquence des changements augmente le risque et les coûts!
TURBULENCE DEMANDE

Garantir la pertinence
des accès
Le processus ILM de bout en bout

Comptes &
habilitation
s
• Applications métiers
• Documents partagés
• Applications Cloud
• Provisioning
• Systèmes RH
• Annuaires
• Gestion des externes
Sources
d’identités
autoritaires
Comptes Système
Comptes à privilège
Comptes Orphelins
Classificatio
n des
comptes
Entrepôt / cube
d’identités
Remédiation critique
Revues
Analyses
Reporting
Intégré
Normalisé
Vérifié
“Visibilité” de l’état actuel

Gestion des
rôles métiers
Score des
risques
Comptes &
habilitation
s
• Provisioning
• Systèmes RH
• Annuaires
Sources
d’identités
autoritaires
Comptes Système
Comptes Orphelins
Classificatio
n des
comptes
Entrepôt / cube
d’identités
Revues
Analyses
Reporting
Application des
politiques
Identités
intégrées et
normalisées
“Planifier” l’état souhaité

Demandes
Gestion du
cycle de vie
Comptes &
habilitation
s
• Provisioning
• Systèmes RH
• Annuaires
Sources
d’identités
autoritaires
Comptes Système
Comptes Orphelins
Classificatio
n des
comptes
Entrepôt / cube
d’identités
Identités
intégrées et
normalisées
Revues
Analyses
Reporting
Gestion des
rôles métiers
Application des
politiques
Score des
risques
Provisioning avancé
“Gérer” le changement d’état

Vulnérabilité
Magnitude
Score de
risque
calculé
Reporting centré sur le risque
Connaître les IDs à risque pour les diminuer

• Comptes orphelins
• Compte à privilèges
• Violations actives de
politiques
• Remédiations en cours
• Accès à des application
sensibles (nouvelles
approbations)
• Score risque > 601
• Privilèges en lecture
• Pas de changement des
habilitations
• Pas de violation des politiques
• Pas d’accès aux applications
sensibles
• Score de risque < 300
• Changements ou nouveaux
comptes
• Violations remédiées de politiques
• Accès antérieurs à des
applications sensibles
• 301 < Score de risque < 600
Profil risque bas Profil risque moyen Profil risque élevé
Démarche centrée sur le risque
Fixer les priorités selon le score de risque
CERTIFICATION
STANDARD
CERTIFICATION
EN MASSE
INTERVALLE DE
CERTIFICATION
RACCOURCI

La suite IdentityIQ de SailPoint
Flexibilité par le support de multiples solutions /processus de provisioning
IT
Métier
SOYEZ en conformité RESTEZ en conformité
PROUVEZ
la conformité
Alimentation RH

Des bénéfices incrémentaux
Opérationnel
Conformité
Métier
•Automatisation des
tâches
•Productivité
améliorée
• Meilleur niveau de
service
•Diminution des
erreurs
•Meilleurs
contrôles
•Meilleure visibilité
•Support des stratégies
métiers: adaptabilité au
changement
• Régulations
• Partenariats
• Nouveaux marchés
• Fusions-acquisitions,
..
Efficacité
Productivité
Agilité

Agenda
• Introduction
gouvernance IAM
• Questions

Retour d’expérience

IAG at Sanofi
The first chapter…
Deloitte – Kernel – SailPoint seminar
June 13, 2012

Topics
Introduce Sanofi to you
IAG challenges
IAG approach
Lessons Learning
La gouvernance IAM au service des stratégies métiers | 29

Sanofi
| 30
Diversified Global Health Care Leader
Pharmaceuticals
Vaccines
Animal Health
112,000 employees focused on patient needs in 100 countries
2011 Net Sales € 33.4 billion
Substantial growth through acquisition and partnership
La gouvernance IAM au service des stratégies métiers

Transformations Driving IAG
Sanofi was built from hundreds of mergers, acquisitions, and
partnerships each with its own culture, processes, systems,
etc…
● Business Transformations
● IT Transformations
●
| 31La gouvernance IAM au service des stratégies métiers

IAG Challenges
Sanofi is compliant to all regulatory requirements… but we can do it better.
La gouvernance IAM au service des stratégies métiers | 32
● No single organization has overall IAG responsibility
● Conflicting needs and priorities
● Diametrically opposed user requirements
● No common vocabulary
● Legacy tool owners and implementations.
● Many ‘Perfect’ solutions for limited scopes
● No visibility to what is currently being done, who is
doing it, what it costs, etc…
● Multiple duplicate audits
● Budget

Sanofi IAG Approach
● Have agreement on the IAG ‘opportunities’
● Building agreement on IAG strategy, roadmap, and vision.
● Finding the right Sponsorship and Governance levels
● Service Foundation Approach for Overall Program
● Governance-Based Approach for Implementation
● Leverage existing projects / approved budgets
● Fit projects into larger roadmap
● Explore key identity features with POCs
● Build the service for continual change
● Org. changes
● Technical changes
All are ‘business as usual’

Service Governance and Operation
| 34
Strategic
Stakeholders
Service Management/
Operations Board
Technical Advisory
Board
Service
Governance
Board
Service Design
Service Operation
Strategic
External
Partners

Huge demand for IAG functionality…
Finding the right initial project…
| 35
Extranet
Identity
Joiners,
Leavers,
Movers
IAG Self
Service
Enterprise Directory
Priv. Access for
Infrastructure & Apps
IAG Projects
SOD
Harmonized Audit
Unique ID
Rapid Provisioning Sharepoint Access

Service Foundation Approach Example:
PAM Infrastructure
● Principles
● “Test and Dev. infrastructure no different than production.”
● “SAS-70 outsources are not reapproved.”
● “No regional or site admins.”
● Vocabulary
● Processes with KPIs
● Map out IAG business processes with target key KPIs built in.
● Standards
● Recertification is annual or more often
● Naming standards,
● Practices
● Internal IAG Service team defines way of working
● IAG Roles
● Etc…
| 36
PAM = Privileged Access Management

Moving forward
● IdentityIQ accepted as Sanofi’s IAG solution
● Integration with our BMC solution for ITSM services
● Provisioning integration with Oracle, etc. – protect existing
investments.
● Launching several IAG based projects:
● Single PAM SOP for all Infrastructure.
● Replace existing Identity solution for Extranet
● Provide Unique Identifier for all identities with IdentityIQ
● Manager data available from SAP HR instance needs Enterprise
Directory
● Joiners, Leavers, Movers
● Organization
● Consolidating “User Account Management” responsibilities and teams
for all core tasks… Service Architecture and Development
● Relying on IAG partner… SailPoint, SP Partners, Deloitte, Kernel, etc..

Lessons Learning… are not surprising
● IAG is huge….
● Strong partners
● Obvious product knowledge
● Great advise how to position IAG as project, program, and technology
● Networks with other clients
● Tell you what you think is a great idea…. may not be…
● Organizational .. Managing change
● IAG will touch every part of the business
● We started with a wide survey and study – very well received
● Dangers
● Appearing to throw out everyone else’s hard work.
● Biting off too much…
● Customizing too much..
● Expecting the organization to remain static

Your Questions or Comments

Agenda
• Introduction
gouvernance IAM
• Questions

Comment
bénéficier de l’offre
IAG ?
L’offre commune
Deloitte - Kernel

Pourquoi une approche commune ?
• Complémentarité Deloitte / Kernel/ SailPoint
‒ Deloitte: processus, gouvernance, gestion de projet
‒ Kernel: processus, expertise technique, intégration de la solution
‒ SailPoint: Solution IAG leader sur le marché
• Offre de service unique
‒ Vision bout en bout du projet IAM
• Coût du projet, délais attendus, qualité des livrables
• Efficacité de la démarche
‒ Coordination transparente au cours des étapes du cycle projet
Deloitte
• Expertise
fonctionnelle
Kernel
• Expertise
technique
SailPoint
• Solution
IAG
IAM 360°

Les responsabilités des intervenants
Répartition des rôles
P = Prime
C = Contributeur
POC = Prototype de la solution
Deloitte Kernel-Networks SailPoint
Business Case P C (POC) C (POC)
Gestion de
projet/programme
P
Conception des processus P C
Gestion du changement P
Conception fonctionnelle P
Architecture / conception
technique
P C
Implémentation solution P
Développement
spécifique/Connecteurs
P C
Recette C C
Support formation C P C
Tierce Maintenance
Applicative
P

Notre offre de service
Le Business Case en trois étapes
Le Business Case en livrables:
• Besoins métier clés
• Analyse de l’existant et de la cible
• Architecture technique existante et
cible
• Roadmap
• Plan projet général
• Prototype
1. Définir
votre
vision IAG
2. Evaluer
votre
vision IAG
3.
Construire
votre
solution
IAG
Business
Case

Contacts
Vous pouvez nous contacter en utilisant les
coordonnées fournies ci-dessous:
KERNEL Networks
Numéro de téléphone:
Marc Rousselet : +33 (0) 6 14 95 24 71,
Luc Tentillier : +33 (0) 6 28 46 44 28
Accueil : +33 (0) 1 45 06 15 40
Adresse email:
mrousselet@kernel-networks.com
ltentillier@kernel-networks.com
info@kernel-networks.com
Deloitte
Numéro de téléphone:
Marc Ayadi : +33 (0) 1 55 61 60 89,
Chris Norman : +33 (0) 1 55 61 47 72
Adresse email:
mayadi@deloitte.fr
cnorman@deloitte.fr

Agenda
• Introduction
gouvernance IAM
• Questions

Questions

La gouvernance IAM au service des stratégies métiers

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

En vedette

En vedette (20)

Similaire à La gouvernance IAM au service des stratégies métiers

Similaire à La gouvernance IAM au service des stratégies métiers (20)

La gouvernance IAM au service des stratégies métiers