Avec l’évolution des usages et la migration vers le cloud, les systèmes d’information des entreprises sont de plus complexes et ouverts, ce qui augmente la surface d’attaque. Dans ce contexte, la gestion des identités et des accès (IAM) est essentielle pour assurer la sécurité et la conformité. En adoptant une approche Zero Trust, centrée sur les utilisateurs, les actifs et les ressources, l’IAM joue un rôle crucial en maîtrisant les identités et les autorisations pour protéger le système d’information. Dans cette présentation nous allons explorer les idées reçues, les pièges à éviter et les bonnes pratiques pour assurer le succès d’un projet IAM.
IdentityDays2022 - Gestion des privilèges sur le Cloud Microsoft
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des accès pour un projet réussi
1. 24 octobre 2023 - PARIS
5ème édition
@IdentityDays
#identitydays2023
2. L'IAM : Au-delà des idées reçues, les
clés de la gestion des identités et des
accès pour un projet réussi
Vidya Jungleea
24 octobre 2023 - PARIS
Identity Days 2023
3. Vidya Jungleea
Experte gestion des identités,
Cheffe de projet IAM/PRINCE2®
Practitioner
Vice – trésorière CEFCYS
13 ans d’expérience dans le
domaine de la gestion des
identités et accès chez
Ilex International
• IAM au coeur des enjeux cybersécurité
• Idées reçues
• Les pièges à éviter
• Les bonnes pratiques pour un projet IAM réussi
• Conclusion
AGENDA DE LA CONFÉRENCE
24 octobre 2023 - PARIS
Identity Days 2023
4. IAM au cœur des enjeux cybersécurité
Identity Days 2023
24 octobre 2023 - PARIS
5. IAM (Identity and Access Management) au cœur des
enjeux cybersécurité
Identity Days 2023
• Ouverture du SI augmentation
de la surface d’attaque
• Manque de sensibilisation et évolution
des usages l’utilisateur est le
maillon faible
24 octobre 2023 - PARIS
• Vecteurs d’attaques (Rapport Verizon 2021, 2022):
• Vol d’identifiants (61%) des compromissions au
niveau mondial
• Phishing(74%),exploitation des failles (45), l’arnaque
au président (41%), tentatives malveillantes de
connexions (33%)
• Le vol de données est cité par 35% des entreprises
sondées et l’usurpation d’identité par 33% (Baromètre
CESIN)
Maîtriser les identités et les habilitations est un axe déterminant pour protéger le SI
contre les dysfonctionnements liés au facteur humain, aux utilisations
frauduleuses et à la perte ou au vol de données.
6. En adoptant une approche Zero Trust, centrée sur les utilisateurs, les actifs et les ressources, l’IAM joue un rôle crucial en
maîtrisant les identités et les autorisations pour protéger le système d’information
Approche Zero Trust et IAM
Identity Days 2023
Politique de gestion des identités et des accès (IAM):
• Savoir qui a accès à quoi
• Contrôler et tracer les accès aux applications (audit)
• Adapter le niveau d’authentification au contexte
• Renforcer le mécanisme d’authentification (MFA)
• Conformité règlementaire
24 octobre 2023 - PARIS
7. Quelques chiffres
Selon le baromètre CESIN (Club des experts de la sécurité de l'information et du numérique ), la baisse du
nombre de cyberattaques réussies s’explique par la mise en place de dispositifs de protection plus
performants.
« Une place prépondérante est donnée aux outils de détection et de réponse aux incidents.
L’authentification multi-facteurs concerne 81 % des entreprises et est réputée performante. C’est d’autant
plus important que 33 % des attaques ont conduit à des usurpations d’identités »
Identity Days 2023
• le couple MFA/EDR (81%) est l’une des solutions jugées très efficace pour contrer les rançongiciels
• Les scanners de vulnérabilités (80 %), les VPN (77 %) ainsi que les passerelles de sécurité mail (76 %)
24 octobre 2023 - PARIS
Par ailleurs parmi les autres indicateurs, on notera que 43 % d'entreprises ont commencé à mettre en place
une approche zero trust
8. Enjeux et motivation d’un projet AM
Identity Days 2023
24 octobre 2023 - PARIS
Sécurité
Expérience
Utilisateur
ROI
Standardisation
• Savoir qui accède à quoi
• Contrôler et tracer les accès aux applications
• Adapter le niveau d’authentification au contexte
• Renforcer les mécanismes d’authentification
• Supprimer l’utilisation de mots de passe triviaux
• Maîtriser l’ouverture et l’externalisation de son SI
• Disposer d’une authentification unique et
ergonomique pour toutes les applications
• Rendre les utilisateurs autonomes sur la
réinitialisation de leurs mots de passe
• Déléguer l’authentification à des fournisseurs
d’identités tiers
• Uniformiser les parcours utilisateurs quel que
soit le support utilisé
• Alléger la gestion des mots de passe et leur
renouvellement
• Standardiser et mutualiser les infrastructures
d’authentification et d’autorisation
• Simplifier l’intégration et le raccordement de
nouvelles applications et apporter de la flexibilité et
de l’agilité dans le SI
• Accompagner les mouvements de fond d’ouverture
de son SI vers le Cloud
• Définir un socle d’authentification indépendant des
implémentations spécifiques
• Faciliter les accès aux applications dans des
contextes de transformation de l’entreprise
• Répondre aux exigences réglementaires
10. IAM c’est magique
IAM ne va pas traiter d’un coup de baguette magique un flou organisationnel
( l’absence d’homogénéité, manquement dans la définition des profils métiers) ou
encore une obsolescence technique
Un projet de gestion des identités et accès ne se
limite pas au déploiement d’un produit technique !
Identity Days 2023
24 octobre 2023 - PARIS
• Être réaliste
• Bien communiquer sur le périmètre projet
• Savoir s’adapter au processus internes, au budget, aux technologies du marché
11. IAM est complexe et coûteux
L’IAM est un projet transverse qui peut perturber l’organisation. Il ne faut pas
« gérer le projet seul pour aller plus vite »
La mise en œuvre de ce type de projet impacte très
souvent l’organisation dans son ensemble.
Identity Days 2023
24 octobre 2023 - PARIS
• Bien définir le besoin (ce qui permettra de faire un meilleur choix d’une solution du marché)
• Impliquer les parties prenantes
• Définir et lotir le périmètre projet afin de mieux le maitriser (privilégier une approche itérative )
• Planification adéquate
• Considérer les coûts comme un investissement : efficacité opérationnelle, amélioration de la
sécurité, conformité
12. Les pièges à eviter
Identity Days 2023
24 octobre 2023 - PARIS
13. Sous-estimer la cartographie des ressources
permet de recenser l’exhaustivité des identités, habilitations pour déterminer ce qui
doit être provisionné
permet d’avoir une visibilité sur les référentiels qui contiennent les ressources
nécessaires à la gestion des habilitations
permet de déterminer la source autoritaire et orienter l’usage principal attendu de la
plateforme de gestion des identités (annuaire, référentiel maître, gestion des profils externes )
Cartographier tous les comptes et applications :
Identity Days 2023
• Adopter une démarche par lotissement: équipes, sites, service
• Identifier, référencer les utilisateurs externes et de veiller à centraliser les identités et habilitations
associées de manière à correctement cloisonner les données.
24 octobre 2023 - PARIS
14. Démarrer le projet avec des données non qualifiées
nettoyage des données en amont (pour éviter des comptes encore actifs
d’utilisateurs ayant quitté l’entreprise « comptes orphelins » )
réconciliation: analyse de cohérence des accès actifs
Données fiables et cohérentes :
Identity Days 2023
• Attention : il n’est pas nécessaire d’alimenter votre solution IAM avec la totalité de vos données
24 octobre 2023 - PARIS
15. Définir des profils et/ou des habilitations trop spécifiques
Conséquences identifiées d’une plateforme personnalisée
Identity Days 2023
24 octobre 2023 - PARIS
Elle sera plus couteuse à maintenir
Elle pourra devenir obsolète plus rapidement si les besoins ou technologies
évoluent
Elle pourra limiter les options en matière de scalabilité et intégration avec d’autres
systèmes
Il pourra être difficile de récupérer certaines fonctionnalités spécifiques de cette
solution en cas de remplacement par une autre
16. Négliger la conduite du changement
IAM ne s’arrête jamais. Une fois le projet mis en œuvre, il continue
Identity Days 2023
24 octobre 2023 - PARIS
Il faut disposer d’une garantie de continuité de service : gestion de projet après la
phase de build, accompagnement des utilisateurs « acteurs », les évolutions
Résistance au changement : Les changements dans les processus, les outils et les
habitudes de travail sont souvent mal perçus par les employés.
17. Les bonnes pratiques pour
un projet IAM réussi
Identity Days 2023
24 octobre 2023 - PARIS
18. Analyses approfondies des besoins et des cas
d’utilisation
Identity Days 2023
• Choix d’une solution adaptée et scalable: multitude de solutions sur le marché
• Déploiement simple et rapide
• Solution évolutive
• Adéquation aux besoins spécifiques
• Optimisation des processus métiers
• Gestion efficace des risques
• Maîtrise des coûts et planification à long terme
24 octobre 2023 - PARIS
19. Choix d’une solution adaptée et scalable
Identity Days 2023
• Il est important de simplifier la vie des
utilisateurs en facilitant l’accès aux
applications du SI
• Privilégier le confort utilisateur vous
permettra de renforcer l’acceptation des
nouveaux processus et l’adoption de la
plateforme
• Allier sécurité et ergonomie pour éviter
que la sécurité soit vécue comme une
contrainte
24 octobre 2023 - PARIS
Facteur déterminant : opter pour une solution de
gestion des identités « User Centric »
Si une plateforme est trop complexe, son utilisation risque d’être détournée et d’entraîner des erreurs
humaines
20. Implémentation progressive et itérative pour un Quick Win
Contenus
Méthode d’intégration pragmatique et cadrée, livrables pré-établis
Identity Days 2023
24 octobre 2023 - PARIS
Lancement
Spécifications
fonctionnelles
& techniques
Installations &
paramétrage
Initialisation
&
réconciliation
Formation &
transfert de
compétences
Recette
& MOM
Mise en
production
VA & VSR
Exploitation
& Support
Spécifications fonctionnelles
Manuel d’installation
Manuel d’intégration
Manuel d’exploitation
Manuel de migration
21. Sensibiliser et accompagner la conduite du
changement
Obtenir l’adhésion des parties prenantes dès le départ
Identity Days 2023
• La conduite du changement vise à anticiper et à gérer la résistance aux changements en communiquant de
manière efficace, en impliquant les parties prenantes, en éduquant les utilisateurs Maximisation de
l’adoption
• Maîtriser la gestion des identités et des accès est déterminant à la fois en termes de sécurité mais
également de transformation numérique et de soutien du business Alignement avec les objectifs de
entreprises
• Sensibilisation aux risques et enjeux de la cybersécurité
24 octobre 2023 - PARIS
Un projet de gestion des identités va bousculer les habitudes d ’une organisation
Une étude réalisée fin 2020 par McKinsey & Company révélait que le numérique avait fait un bond de 7 ans en avant (1) avec la pandémie du coronavirus
On constate que le numérique a fait un bond en avant avec la pandémie . Cette transformation s'est accélérée avec le mouvement de migration des applications vers le Cloud, avec IOT , ce qui explique cette ouverture du système d’information à l’extérieur.
La sécurité Zero Trust est basée sur une approche de "confiance zéro" qui exige une authentification et une autorisation approfondies avant d'accorder l'accès à une ressource. Cela signifie que l'utilisateur doit être authentifié, autorisé et vérifié avant d'accéder à une ressource. La sécurité Zero Trust est conçue pour minimiser les risques de violation de données
.
Ainsi, pour limiter les déceptions, il est nécessaire : · d’évaluer sa « maturité IAM »
Parler des produits packagé (solution existe ) pour gérer le cycle de vie des utilisateur (entree/modification mutation/depart)
Ne pas vouloir tout faire d’un coup Attention au périmètre de départ.
Votre organisation peut également accueillir des utilisateurs externes tels que des prestataires, partenaires ou sous-traitants. En règle générale, cette population ne se trouve ni dans l’Active Directory, ni dans le SIRH mais doit pourtant accéder à plusieurs ressources de votre système d’information. Il est donc primordial de bien les identifier, de les référencer et de veiller à centraliser les identités et habilitations associées de manière à correctement cloisonner vos données.
Il est à noter que le nettoyage et la réconciliation des données peuvent être réalisés en interne ou être délégué au prestataire spécialisé dans la gestion des identités.
.
S’il y a resistance au changement ,les utilisateurs ne vont pas adhérer au projet
La conduite du changement vise à anticiper et à gérer cette résistance en communiquant de manière efficace, en impliquant les parties prenantes dès le départ, en éduquant les utilisateurs
Capture de notre gamme Ilex Access management
Capture de Ilex Identity –Meibo People Pack
Premier retour sur investissement
Premier package de logiciels
Retours sur investissement :
Amélioration de la sécurité
Efficacité opérationnelle