SlideShare une entreprise Scribd logo
1  sur  47
La gouvernance IAM au service
des stratégies métiers
Chris Norman
Partner – Deloitte
Marc Rousselet
Directeur - KERNEL Networks
Séminaire du 13 Juin 2012
© 2012 Deloitte Conseil – Kernel Networks2 La gouvernance IAM au service des stratégies métiers
Agenda
• Introduction
• Les avantages de l’IAG pour les entreprises
• Comment SailPoint adresse les enjeux de la
gouvernance IAM
• Retour d’expérience Sanofi
• Comment bénéficier des avantages de l’IAG : l’offre
commune Deloitte-Kernel
• Questions
© 2012 Deloitte Conseil – Kernel Networks
Pourquoi la Gouvernance
des Identités?
La gouvernance IAM au service des stratégies métiers3
© 2012 Deloitte Conseil – Kernel Networks4 La gouvernance IAM au service des stratégies métiers
Le “Security Survey” Deloitte
Tous les ans, Deloitte réalise des
enquêtes au niveau mondial sur
l'état de la sécurité auprès de ses
clients.
Les enquêtes sont effectuées par
secteur parmi lesquels:
• Finance
• Biens de consommation
• Laboratoires pharmaceutiques
• Technologie, Media et
Télécommunication
• …
© 2012 Deloitte Conseil – Kernel Networks
32%
30%
29%
28%
27%
26%
22%
20%
20%
18%
17%
15%
12%
12%
11%
9%
7%
7%
6%
6%
Excessive access rights
Audit trails/logging issues (e.g. lack of audit trails, lack of review, etc.)
Lack of sufficient segregation of duties
Lack of clean up of access rules following a transfer or termination
Business continuity and disaster recovery
Excessive developers’ access to production systems and data
Ineffective password management (e.g. use of weak passwords, default…
Security policies and standards have not been operationalized
Lack of documented security policies and supporting guidelines and…
Sharing of user IDs with a commonly known password
Lack of security awareness programs
Lack of oversight and compliance to security control requirements
Lack of authorization of changes prior to implementation
Lack of separate testing environment
Use of production data in testing
Not applicable
Lack of compliance to privacy regulations
Do not know
Maintaining control environment integrity
Other (please specify below)
5 La gouvernance IAM au service des stratégies métiers
La “Security Survey”
Quelques extraits de la dernière enquête TMT 2011 : la conformité
Quels ont été les 5 déficiences d’audit internes/externes les plus importantes au
cours des 12 derniers mois?
“The 5th Annual TMT security survey”, © 2012 Deloitte
La Gestion des Identités semble ne pas tenir sa promesse !
• Nombreux projets arrêtés à mi-chemin
• Manque d’adhésion des métiers
• Modèle RBAC non-opérationnel
• Processus inopérant de recertification des accès
© 2012 Deloitte Conseil – Kernel Networks
Qu’est que la gouvernance
des identités et des accès?
La gouvernance IAM au service des stratégies métiers6
© 2012 Deloitte Conseil – Kernel Networks
Qu’est que la Gouvernance dans le contexte de la
Gestion des Identités et des Accès (IAG)?
La gouvernance IAM au service des stratégies métiers7
1. Visibilité
sur les
accès
• Savoir qui
accède à quoi
• Mesurer la
conformité
2. Re-
certification
• Confirmer ou
modifier les
accès existants
• Mise en
conformité des
accès
3. Définition /
Optimisation
des rôles
• Maintenir les rôles
• Mesurer la
pertinence d’un
rôle
• Réduire le fardeau
de la conformité
des accès
4. Gestion des
accès
• Niveau 3 prérequis
• Rendre les métiers
responsables des
accès accordés
• Contrôles
préventifs d’accès
aux données
• Optimisation du
processus de
gestion des accès
5. Supervision
et contrôle
continu
• Réalisation des
contrôles en
mode récurrent
• Re-certification
périodique sur
l’ensemble d’un
périmètre
• Processus global
de gestion des
rôles et des
utilisateurs
Un Modèle de Maturité
Une Définition :
La Gouvernance :
• Définir les bonnes pratiques et objectifs de contrôle à
atteindre
• Mettre en place les actions
adéquates
• Démontrer la conformité avec
les pratiques & objectifs
Utiliser la notion de Risque
pour focaliser les efforts
Etablissement du Niveau de Maturité
Hétérogénéité typique et maturité relative dans les entreprises
8 La gouvernance IAM au service des stratégies métiers
Support ERP Central
BU 1
BU 2
BU3
BU 4
BU 4
Data
Integration
Delegated
Administration
User Self-Service
Account Management
User Self-Service
Request Management
Request / Approval
Management
Automated
Provisioning
Central Administration
Authoritative Source
Integration
Identity Lifecyle
Integration
Account Consolidation
Data Synchronization
Data Virtualization
Password
Synchronization
Lost Password
Management
Web Single Sign-On
Desktop Single Sign-
On
Segregation of Duties
Monitoring
Logging & Monitoring
Access Certification
User Access Review
Role Engineering
Role Based
Provisioning
Role Lifecycle
Management
SOD Definition
Exceptions
Management
Access
Management
RoleBased
Access
Control
Account
Management
Access
Reporting
/Audit
L’absence de Gouvernance
conduit à de nombreux projets
couvrant des périmètres
similaires mais ne répondant pas
l’ensemble des besoins.
Conséquences :
• Impossibilité de dire « QUI
accède à QUOI ? »
• Conformité laborieuse,
hétérogène
• Vision des risques parcellaire
• Support limité aux stratégies
métiers
© 2012 Deloitte Conseil – Kernel Networks
© 2012 Deloitte Conseil – Kernel Networks
Les bénéfices d’une
approche fondée sur
la gouvernance
La gouvernance IAM au service des stratégies métiers9
Les bénéfices de l’IAG (Identity and Access Governance)
En adoptant une approche orientée Gouvernance et Risques, on
peut :
10 La gouvernance IAM au service des stratégies métiers
Approche
Risques,
orientée
Processus
et Métier
Améliorer la
Conformité
Capitaliser sur
l’existant
Améliorer la
productivité et
la qualité
Supporter la
Stratégie des
Métiers
© 2012 Deloitte Conseil – Kernel Networks
© 2012 Deloitte Conseil – Kernel Networks11 La gouvernance IAM au service des stratégies métiers
Agenda
• Introduction
• Les avantages de l’IAG pour les entreprises
• Comment SailPoint adresse les enjeux de la
gouvernance IAM
• Retour d’expérience Sanofi
• Comment bénéficier des avantages de l’IAG : l’offre
commune Deloitte-Kernel
• Questions
Comment SailPoint
adresse les enjeux de
la gouvernance IAM
© 2012 Deloitte Conseil – Kernel Networks
Qui est SailPoint ?
Fournisseur d’une solution de gouvernance des identités
• Création de la société en 2005
• Fondée par des leaders reconnus du marché de la gestion des Identités
• 150+ références dans le monde; avec base installée BMC ~450 clients
L’écosystème SailPoint
• Très forte croissance à m’international (48% du CA global)
• Centres de services aux USA, en UK, en Inde et aux Pays-Bas
• 300 consultants certifiés au sein d’un réseau mondial de partenaires constitué de
cabinets de conseil et d’intégrateurs
SailPoint délivre pour des clients particulièrement exigeants
• Larges multinationales avec des déploiements distribués
• Les plus gros clients possèdent plus de 1000 applications,
100,000 utilisateurs, et des millions d’habilitations
• Approx 50% des clients sont dans le secteur
Banque/Finance
SailPoint Headquarters
Austin, Texas
Banking 28%
Consumer
Services/Retail
5%
Financial
Services 16%Government 5%
Healthcare 12%
Insurance 16%
Manufacturing
3%
Other 15%
Société la +
innovante en
sécurité
La gouvernance IAM au service des stratégies métiers13
L’expérience compte …
Un leader reconnu par les analystes
The Magic Quadrant is copyrighted 2011 by Gartner, Inc. and is reused with permission. The Magic Quadrant is a graphical representation of a marketplace at and for a specific time period. It depicts Gartner's
analysis of how certain vendors measure against criteria for that marketplace, as defined by Gartner. Gartner does not endorse any vendor, product or service depicted in the Magic Quadrant, and does not
advise technology users to select only those vendors placed in the "Leaders" quadrant. The Magic Quadrant is intended solely as a research tool, and is not meant to be a specific guide to action. Gartner
disclaims all warranties, express or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.
These Magic Quadrant graphics were published by Gartner, Inc. as part of larger research notes and should be evaluated in the context of the entire reports. The Gartner reports are available upon request
from SailPoint.
The Forrester Wave is copyrighted 2011 by Forrester Research, Inc. and is reissued with permission. The Forrester report is available upon request from SailPoint
Gartner Magic
Quadrant
pour la Gouvernance de
l‘Identité et des Accès (IAG)
Q4 2011
Forrester Wave
pour la gestion des rôles et
la re-certifications des
accès
Q3 2011
© 2012 Deloitte Conseil – Kernel Networks
“SAVEZ-VOUS
qui a accès à quoi,
si cela est
APPROPRIÉ
et pouvez-vous le
PROUVER ?”
La problématique de base :
La gouvernance IAM au service des stratégies métiers16
Et soudain un changement arrive
La fréquence des changements augmente le risque et les coûts!
TURBULENCE DEMANDE
Garantir la pertinence
des accès
Le processus ILM de bout en bout
© 2012 Deloitte Conseil – Kernel Networks
Comptes &
habilitation
s
• Applications métiers
• Documents partagés
• Applications Cloud
• Provisioning
• Systèmes RH
• Annuaires
• Gestion des externes
Sources
d’identités
autoritaires
Comptes Système
Comptes à privilège
Comptes Orphelins
Classificatio
n des
comptes
Entrepôt / cube
d’identités
Remédiation critique
Revues
Analyses
Reporting
Intégré
Normalisé
Vérifié
“Visibilité” de l’état actuel
La gouvernance IAM au service des stratégies métiers19
© 2012 Deloitte Conseil – Kernel Networks
Gestion des
rôles métiers
Score des
risques
Comptes &
habilitation
s
• Applications métiers
• Documents partagés
• Applications Cloud
• Provisioning
• Systèmes RH
• Annuaires
• Gestion des externes
Sources
d’identités
autoritaires
Comptes Système
Comptes à privilège
Comptes Orphelins
Classificatio
n des
comptes
Entrepôt / cube
d’identités
Remédiation critique
Revues
Analyses
Reporting
Application des
politiques
Identités
intégrées et
normalisées
“Planifier” l’état souhaité
La gouvernance IAM au service des stratégies métiers20
© 2012 Deloitte Conseil – Kernel Networks
Demandes
Gestion du
cycle de vie
Comptes &
habilitation
s
• Applications métiers
• Documents partagés
• Applications Cloud
• Provisioning
• Systèmes RH
• Annuaires
• Gestion des externes
Sources
d’identités
autoritaires
Comptes Système
Comptes à privilège
Comptes Orphelins
Classificatio
n des
comptes
Entrepôt / cube
d’identités
Remédiation critique
Identités
intégrées et
normalisées
Revues
Analyses
Reporting
Gestion des
rôles métiers
Application des
politiques
Score des
risques
Provisioning avancé
“Gérer” le changement d’état
La gouvernance IAM au service des stratégies métiers21
© 2012 Deloitte Conseil – Kernel Networks
Vulnérabilité
Magnitude
Score de
risque
calculé
Reporting centré sur le risque
Connaître les IDs à risque pour les diminuer
La gouvernance IAM au service des stratégies métiers22
© 2012 Deloitte Conseil – Kernel Networks
• Comptes orphelins
• Compte à privilèges
• Violations actives de
politiques
• Remédiations en cours
• Accès à des application
sensibles (nouvelles
approbations)
• Score risque > 601
• Privilèges en lecture
• Pas de changement des
habilitations
• Pas de violation des politiques
• Pas d’accès aux applications
sensibles
• Score de risque < 300
• Changements ou nouveaux
comptes
• Violations remédiées de politiques
• Accès antérieurs à des
applications sensibles
• 301 < Score de risque < 600
Profil risque bas Profil risque moyen Profil risque élevé
Démarche centrée sur le risque
Fixer les priorités selon le score de risque
CERTIFICATION
STANDARD
CERTIFICATION
EN MASSE
INTERVALLE DE
CERTIFICATION
RACCOURCI
La gouvernance IAM au service des stratégies métiers23
© 2012 Deloitte Conseil – Kernel Networks
La suite IdentityIQ de SailPoint
Flexibilité par le support de multiples solutions /processus de provisioning
IT
Métier
SOYEZ en conformité RESTEZ en conformité
PROUVEZ
la conformité
Alimentation RH
© 2012 Deloitte Conseil – Kernel Networks
Des bénéfices incrémentaux
Opérationnel
Conformité
Métier
•Automatisation des
tâches
•Productivité
améliorée
• Meilleur niveau de
service
•Diminution des
erreurs
•Meilleurs
contrôles
•Meilleure visibilité
•Support des stratégies
métiers: adaptabilité au
changement
• Régulations
• Partenariats
• Nouveaux marchés
• Fusions-acquisitions,
..
Efficacité
Productivité
Agilité
© 2012 Deloitte Conseil – Kernel Networks26 La gouvernance IAM au service des stratégies métiers
Agenda
• Introduction
• Les avantages de l’IAG pour les entreprises
• Comment SailPoint adresse les enjeux de la
gouvernance IAM
• Retour d’expérience Sanofi
• Comment bénéficier des avantages de l’IAG : l’offre
commune Deloitte-Kernel
• Questions
© 2012 Deloitte Conseil – Kernel Networks
Retour d’expérience
La gouvernance IAM au service des stratégies métiers27
IAG at Sanofi
The first chapter…
Deloitte – Kernel – SailPoint seminar
June 13, 2012
Topics
Introduce Sanofi to you
IAG challenges
IAG approach
Lessons Learning
La gouvernance IAM au service des stratégies métiers | 29
Sanofi
| 30
Diversified Global Health Care Leader
Pharmaceuticals
Vaccines
Animal Health
112,000 employees focused on patient needs in 100 countries
2011 Net Sales € 33.4 billion
Substantial growth through acquisition and partnership
La gouvernance IAM au service des stratégies métiers
Transformations Driving IAG
Sanofi was built from hundreds of mergers, acquisitions, and
partnerships each with its own culture, processes, systems,
etc…
● Business Transformations
● IT Transformations
●
| 31La gouvernance IAM au service des stratégies métiers
IAG Challenges
Sanofi is compliant to all regulatory requirements… but we can do it better.
La gouvernance IAM au service des stratégies métiers | 32
● No single organization has overall IAG responsibility
● Conflicting needs and priorities
● Diametrically opposed user requirements
● No common vocabulary
● Legacy tool owners and implementations.
● Many ‘Perfect’ solutions for limited scopes
● No visibility to what is currently being done, who is
doing it, what it costs, etc…
● Multiple duplicate audits
● Budget
Sanofi IAG Approach
● Have agreement on the IAG ‘opportunities’
● Building agreement on IAG strategy, roadmap, and vision.
● Finding the right Sponsorship and Governance levels
● Service Foundation Approach for Overall Program
● Governance-Based Approach for Implementation
● Leverage existing projects / approved budgets
● Fit projects into larger roadmap
● Explore key identity features with POCs
● Build the service for continual change
● Org. changes
● Technical changes
All are ‘business as usual’
| 33La gouvernance IAM au service des stratégies métiers
Service Governance and Operation
| 34
Strategic
Stakeholders
Service Management/
Operations Board
Technical Advisory
Board
Service
Governance
Board
Service Design
Service Operation
Strategic
External
Partners
La gouvernance IAM au service des stratégies métiers
Huge demand for IAG functionality…
Finding the right initial project…
| 35
Extranet
Identity
Joiners,
Leavers,
Movers
IAG Self
Service
Enterprise Directory
Priv. Access for
Infrastructure & Apps
IAG Projects
SOD
Harmonized Audit
Unique ID
Rapid Provisioning Sharepoint Access
La gouvernance IAM au service des stratégies métiers
Service Foundation Approach Example:
PAM Infrastructure
● Principles
● “Test and Dev. infrastructure no different than production.”
● “SAS-70 outsources are not reapproved.”
● “No regional or site admins.”
● Vocabulary
● Processes with KPIs
● Map out IAG business processes with target key KPIs built in.
● Standards
● Recertification is annual or more often
● Naming standards,
● Practices
● Internal IAG Service team defines way of working
● IAG Roles
● Etc…
| 36
PAM = Privileged Access Management
La gouvernance IAM au service des stratégies métiers
Moving forward
● IdentityIQ accepted as Sanofi’s IAG solution
● Integration with our BMC solution for ITSM services
● Provisioning integration with Oracle, etc. – protect existing
investments.
● Launching several IAG based projects:
● Single PAM SOP for all Infrastructure.
● Replace existing Identity solution for Extranet
● Provide Unique Identifier for all identities with IdentityIQ
● Manager data available from SAP HR instance needs Enterprise
Directory
● Joiners, Leavers, Movers
● Organization
● Consolidating “User Account Management” responsibilities and teams
for all core tasks… Service Architecture and Development
● Relying on IAG partner… SailPoint, SP Partners, Deloitte, Kernel, etc..
| 37La gouvernance IAM au service des stratégies métiers
Lessons Learning… are not surprising
● IAG is huge….
● Strong partners
● Obvious product knowledge
● Great advise how to position IAG as project, program, and technology
● Networks with other clients
● Tell you what you think is a great idea…. may not be…
● Organizational .. Managing change
● IAG will touch every part of the business
● We started with a wide survey and study – very well received
● Dangers
● Appearing to throw out everyone else’s hard work.
● Biting off too much…
● Customizing too much..
● Expecting the organization to remain static
| 38La gouvernance IAM au service des stratégies métiers
Your Questions or Comments
| 39La gouvernance IAM au service des stratégies métiers
© 2012 Deloitte Conseil – Kernel Networks40 La gouvernance IAM au service des stratégies métiers
Agenda
• Introduction
• Les avantages de l’IAG pour les entreprises
• Comment SailPoint adresse les enjeux de la
gouvernance IAM
• Retour d’expérience Sanofi
• Comment bénéficier des avantages de l’IAG : l’offre
commune Deloitte-Kernel
• Questions
Comment
bénéficier de l’offre
IAG ?
L’offre commune
Deloitte - Kernel
© 2012 Deloitte Conseil – Kernel Networks
Pourquoi une approche commune ?
• Complémentarité Deloitte / Kernel/ SailPoint
‒ Deloitte: processus, gouvernance, gestion de projet
‒ Kernel: processus, expertise technique, intégration de la solution
‒ SailPoint: Solution IAG leader sur le marché
• Offre de service unique
‒ Vision bout en bout du projet IAM
• Coût du projet, délais attendus, qualité des livrables
• Efficacité de la démarche
‒ Coordination transparente au cours des étapes du cycle projet
La gouvernance IAM au service des stratégies métiers42
Deloitte
• Expertise
fonctionnelle
Kernel
• Expertise
technique
SailPoint
• Solution
IAG
IAM 360°
© 2012 Deloitte Conseil – Kernel Networks
Les responsabilités des intervenants
Répartition des rôles
La gouvernance IAM au service des stratégies métiers43
P = Prime
C = Contributeur
POC = Prototype de la solution
Deloitte Kernel-Networks SailPoint
Business Case P C (POC) C (POC)
Gestion de
projet/programme
P
Conception des processus P C
Gestion du changement P
Conception fonctionnelle P
Architecture / conception
technique
P C
Implémentation solution P
Développement
spécifique/Connecteurs
P C
Recette C C
Support formation C P C
Tierce Maintenance
Applicative
P
© 2012 Deloitte Conseil – Kernel Networks
Notre offre de service
Le Business Case en trois étapes
Le Business Case en livrables:
• Besoins métier clés
• Analyse de l’existant et de la cible
• Architecture technique existante et
cible
• Roadmap
• Plan projet général
• Prototype
44 La gouvernance IAM au service des stratégies métiers
1. Définir
votre
vision IAG
2. Evaluer
votre
vision IAG
3.
Construire
votre
solution
IAG
Business
Case
© 2012 Deloitte Conseil – Kernel Networks
Contacts
Vous pouvez nous contacter en utilisant les
coordonnées fournies ci-dessous:
KERNEL Networks
Numéro de téléphone:
Marc Rousselet : +33 (0) 6 14 95 24 71,
Luc Tentillier : +33 (0) 6 28 46 44 28
Accueil : +33 (0) 1 45 06 15 40
Adresse email:
mrousselet@kernel-networks.com
ltentillier@kernel-networks.com
info@kernel-networks.com
Deloitte
Numéro de téléphone:
Marc Ayadi : +33 (0) 1 55 61 60 89,
Chris Norman : +33 (0) 1 55 61 47 72
Adresse email:
mayadi@deloitte.fr
cnorman@deloitte.fr
La gouvernance IAM au service des stratégies métiers45
© 2012 Deloitte Conseil – Kernel Networks46 La gouvernance IAM au service des stratégies métiers
Agenda
• Introduction
• Les avantages de l’IAG pour les entreprises
• Comment SailPoint adresse les enjeux de la
gouvernance IAM
• Retour d’expérience Sanofi
• Comment bénéficier des avantages de l’IAG : l’offre
commune Deloitte-Kernel
• Questions
© 2012 Deloitte Conseil – Kernel Networks
Questions
La gouvernance IAM au service des stratégies métiers47

Contenu connexe

Tendances

Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
Cwin16 - Paris - fédération d'identités
Cwin16 - Paris - fédération d'identitésCwin16 - Paris - fédération d'identités
Cwin16 - Paris - fédération d'identitésCapgemini
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseEyesOpen Association
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Ammar Sassi
 
Identity and Access Management Playbook CISO Platform 2016
Identity and Access Management Playbook CISO Platform 2016Identity and Access Management Playbook CISO Platform 2016
Identity and Access Management Playbook CISO Platform 2016Aujas
 
Building an Effective Identity Management Strategy
Building an Effective Identity Management StrategyBuilding an Effective Identity Management Strategy
Building an Effective Identity Management StrategyNetIQ
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Identity Days
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernancePECB
 
Implémenter un service relation client avec ITIL
Implémenter un service relation client avec ITILImplémenter un service relation client avec ITIL
Implémenter un service relation client avec ITILLoïc TOURNEDOUET
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001lancedafric.org
 

Tendances (20)

METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
Identity & Access Management by K. K. Mookhey
Identity & Access Management by K. K. MookheyIdentity & Access Management by K. K. Mookhey
Identity & Access Management by K. K. Mookhey
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
 
Cwin16 - Paris - fédération d'identités
Cwin16 - Paris - fédération d'identitésCwin16 - Paris - fédération d'identités
Cwin16 - Paris - fédération d'identités
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
 
Identity and Access Management Playbook CISO Platform 2016
Identity and Access Management Playbook CISO Platform 2016Identity and Access Management Playbook CISO Platform 2016
Identity and Access Management Playbook CISO Platform 2016
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Building an Effective Identity Management Strategy
Building an Effective Identity Management StrategyBuilding an Effective Identity Management Strategy
Building an Effective Identity Management Strategy
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?
 
Gestion des incidents ITIL
Gestion des incidents ITILGestion des incidents ITIL
Gestion des incidents ITIL
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernance
 
Implémenter un service relation client avec ITIL
Implémenter un service relation client avec ITILImplémenter un service relation client avec ITIL
Implémenter un service relation client avec ITIL
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 

En vedette

Comment sécuriser une démarche BYOD
Comment sécuriser une démarche BYODComment sécuriser une démarche BYOD
Comment sécuriser une démarche BYODMarc Rousselet
 
Identity as a Service - Etude IDaaS
Identity as a Service - Etude IDaaSIdentity as a Service - Etude IDaaS
Identity as a Service - Etude IDaaSMarc Rousselet
 
Protéger ses données avec de la DLP
Protéger ses données avec de la DLPProtéger ses données avec de la DLP
Protéger ses données avec de la DLPMarc Rousselet
 
Atelier IDaaS - Les assises de la sécurité - 2013
Atelier IDaaS - Les assises de la sécurité - 2013Atelier IDaaS - Les assises de la sécurité - 2013
Atelier IDaaS - Les assises de la sécurité - 2013Marc Rousselet
 
Webinar: ForgeRock Identity Platform Preview (Dec 2015)
Webinar: ForgeRock Identity Platform Preview (Dec 2015)Webinar: ForgeRock Identity Platform Preview (Dec 2015)
Webinar: ForgeRock Identity Platform Preview (Dec 2015)ForgeRock
 
Webinar: Extend The Power of The ForgeRock Identity Platform Through Scripting
Webinar: Extend The Power of The ForgeRock Identity Platform Through ScriptingWebinar: Extend The Power of The ForgeRock Identity Platform Through Scripting
Webinar: Extend The Power of The ForgeRock Identity Platform Through ScriptingForgeRock
 
Sécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureSécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureNis
 
Gestion des identités avec interLDAP
Gestion des identités avec interLDAPGestion des identités avec interLDAP
Gestion des identités avec interLDAPLINAGORA
 
Technical Overview of FIDO Solution
Technical Overview of FIDO SolutionTechnical Overview of FIDO Solution
Technical Overview of FIDO SolutionForgeRock
 
OIS Architecture Review
OIS Architecture ReviewOIS Architecture Review
OIS Architecture ReviewForgeRock
 
ForgeRock Platform Release - Summer 2016
ForgeRock Platform Release - Summer 2016  ForgeRock Platform Release - Summer 2016
ForgeRock Platform Release - Summer 2016 ForgeRock
 
ForgeRock Gartner 2016 Security & Risk Management Summit
ForgeRock Gartner 2016 Security & Risk Management Summit ForgeRock Gartner 2016 Security & Risk Management Summit
ForgeRock Gartner 2016 Security & Risk Management Summit ForgeRock
 
The Future is Now: The ForgeRock Identity Platform, Early 2017 Release
The Future is Now: The ForgeRock Identity Platform, Early 2017 ReleaseThe Future is Now: The ForgeRock Identity Platform, Early 2017 Release
The Future is Now: The ForgeRock Identity Platform, Early 2017 ReleaseForgeRock
 
Présentation de l'offre IAM de LINAGORA LinID
Présentation de l'offre IAM de LINAGORA LinIDPrésentation de l'offre IAM de LINAGORA LinID
Présentation de l'offre IAM de LINAGORA LinIDMichel-Marie Maudet
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification ForteSylvain Maret
 
Répondre à la déferlante BYOD en entreprise : Succès & difficultés en France
Répondre à la déferlante BYOD en entreprise : Succès & difficultés en FranceRépondre à la déferlante BYOD en entreprise : Succès & difficultés en France
Répondre à la déferlante BYOD en entreprise : Succès & difficultés en FranceLaFrenchMobile
 

En vedette (20)

Identity Access Management (IAM)
Identity Access Management (IAM)Identity Access Management (IAM)
Identity Access Management (IAM)
 
Comment sécuriser une démarche BYOD
Comment sécuriser une démarche BYODComment sécuriser une démarche BYOD
Comment sécuriser une démarche BYOD
 
Identity as a Service - Etude IDaaS
Identity as a Service - Etude IDaaSIdentity as a Service - Etude IDaaS
Identity as a Service - Etude IDaaS
 
Protéger ses données avec de la DLP
Protéger ses données avec de la DLPProtéger ses données avec de la DLP
Protéger ses données avec de la DLP
 
Atelier IDaaS - Les assises de la sécurité - 2013
Atelier IDaaS - Les assises de la sécurité - 2013Atelier IDaaS - Les assises de la sécurité - 2013
Atelier IDaaS - Les assises de la sécurité - 2013
 
Webinar: ForgeRock Identity Platform Preview (Dec 2015)
Webinar: ForgeRock Identity Platform Preview (Dec 2015)Webinar: ForgeRock Identity Platform Preview (Dec 2015)
Webinar: ForgeRock Identity Platform Preview (Dec 2015)
 
IAM
IAM IAM
IAM
 
Webinar: Extend The Power of The ForgeRock Identity Platform Through Scripting
Webinar: Extend The Power of The ForgeRock Identity Platform Through ScriptingWebinar: Extend The Power of The ForgeRock Identity Platform Through Scripting
Webinar: Extend The Power of The ForgeRock Identity Platform Through Scripting
 
Sécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureSécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans Azure
 
Gestion des identités avec interLDAP
Gestion des identités avec interLDAPGestion des identités avec interLDAP
Gestion des identités avec interLDAP
 
Technical Overview of FIDO Solution
Technical Overview of FIDO SolutionTechnical Overview of FIDO Solution
Technical Overview of FIDO Solution
 
OIS Architecture Review
OIS Architecture ReviewOIS Architecture Review
OIS Architecture Review
 
ForgeRock Platform Release - Summer 2016
ForgeRock Platform Release - Summer 2016  ForgeRock Platform Release - Summer 2016
ForgeRock Platform Release - Summer 2016
 
Identity access management
Identity access management Identity access management
Identity access management
 
ForgeRock Gartner 2016 Security & Risk Management Summit
ForgeRock Gartner 2016 Security & Risk Management Summit ForgeRock Gartner 2016 Security & Risk Management Summit
ForgeRock Gartner 2016 Security & Risk Management Summit
 
The Future is Now: The ForgeRock Identity Platform, Early 2017 Release
The Future is Now: The ForgeRock Identity Platform, Early 2017 ReleaseThe Future is Now: The ForgeRock Identity Platform, Early 2017 Release
The Future is Now: The ForgeRock Identity Platform, Early 2017 Release
 
Présentation de l'offre IAM de LINAGORA LinID
Présentation de l'offre IAM de LINAGORA LinIDPrésentation de l'offre IAM de LINAGORA LinID
Présentation de l'offre IAM de LINAGORA LinID
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification Forte
 
Répondre à la déferlante BYOD en entreprise : Succès & difficultés en France
Répondre à la déferlante BYOD en entreprise : Succès & difficultés en FranceRépondre à la déferlante BYOD en entreprise : Succès & difficultés en France
Répondre à la déferlante BYOD en entreprise : Succès & difficultés en France
 
Requirements Management
Requirements ManagementRequirements Management
Requirements Management
 

Similaire à La gouvernance IAM au service des stratégies métiers

L'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesL'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesAntoine Vigneron
 
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...polenumerique33
 
DATA FORUM MICROPOLE 2015 - Atelier Semarchy
 DATA FORUM MICROPOLE 2015 - Atelier Semarchy DATA FORUM MICROPOLE 2015 - Atelier Semarchy
DATA FORUM MICROPOLE 2015 - Atelier SemarchyMicropole Group
 
Cobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-siCobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-siCERTyou Formation
 
Cobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCERTyou Formation
 
Dématérialisation des processus métiers et GED transverse : La bonne équation?
Dématérialisation des processus métiers et GED transverse : La bonne équation?Dématérialisation des processus métiers et GED transverse : La bonne équation?
Dématérialisation des processus métiers et GED transverse : La bonne équation?Sollan France
 
L'infonuagique et les organismes publics
L'infonuagique et les organismes publicsL'infonuagique et les organismes publics
L'infonuagique et les organismes publicsTactika inc.
 
Atelier comment choisir et déployer un erp - CCI Bordeaux et Prodware - 07 ...
Atelier   comment choisir et déployer un erp - CCI Bordeaux et Prodware - 07 ...Atelier   comment choisir et déployer un erp - CCI Bordeaux et Prodware - 07 ...
Atelier comment choisir et déployer un erp - CCI Bordeaux et Prodware - 07 ...polenumerique33
 
Agilite Puissance3 chez W4
Agilite Puissance3 chez W4Agilite Puissance3 chez W4
Agilite Puissance3 chez W4Jean-Luc MAZE
 
Réussir le projet MDM depuis son business case jusqu'à son exploitation au q...
Réussir le projet MDM depuis son business case jusqu'à son exploitation au q...Réussir le projet MDM depuis son business case jusqu'à son exploitation au q...
Réussir le projet MDM depuis son business case jusqu'à son exploitation au q...Jean-Michel Franco
 
06/07/17 Table ronde Data Transformation Program
06/07/17 Table ronde Data Transformation Program06/07/17 Table ronde Data Transformation Program
06/07/17 Table ronde Data Transformation ProgramSoft Computing
 
5 leviers pour mettre en oeuvre une activité d’architecture d’entreprise effi...
5 leviers pour mettre en oeuvre une activité d’architecture d’entreprise effi...5 leviers pour mettre en oeuvre une activité d’architecture d’entreprise effi...
5 leviers pour mettre en oeuvre une activité d’architecture d’entreprise effi...Eric Duval
 
Présentation activités pluralis consulting 2013
Présentation activités pluralis consulting 2013Présentation activités pluralis consulting 2013
Présentation activités pluralis consulting 2013Ac_Business
 
Présentation activités pluralis consulting 2013
Présentation activités pluralis consulting 2013Présentation activités pluralis consulting 2013
Présentation activités pluralis consulting 2013Ac_Business
 

Similaire à La gouvernance IAM au service des stratégies métiers (20)

Matinale du MDM 2011
Matinale du MDM 2011Matinale du MDM 2011
Matinale du MDM 2011
 
L'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesL'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériques
 
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
 
DATA FORUM MICROPOLE 2015 - Atelier Semarchy
 DATA FORUM MICROPOLE 2015 - Atelier Semarchy DATA FORUM MICROPOLE 2015 - Atelier Semarchy
DATA FORUM MICROPOLE 2015 - Atelier Semarchy
 
Cobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-siCobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-si
 
Cobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-si
 
Matinale du MDM 2014
Matinale du MDM 2014Matinale du MDM 2014
Matinale du MDM 2014
 
Dématérialisation des processus métiers et GED transverse : La bonne équation?
Dématérialisation des processus métiers et GED transverse : La bonne équation?Dématérialisation des processus métiers et GED transverse : La bonne équation?
Dématérialisation des processus métiers et GED transverse : La bonne équation?
 
Matinale du MDM 2012
Matinale du MDM 2012 Matinale du MDM 2012
Matinale du MDM 2012
 
L'infonuagique et les organismes publics
L'infonuagique et les organismes publicsL'infonuagique et les organismes publics
L'infonuagique et les organismes publics
 
Matinales du MDM 2011
Matinales du MDM 2011Matinales du MDM 2011
Matinales du MDM 2011
 
Atelier comment choisir et déployer un erp - CCI Bordeaux et Prodware - 07 ...
Atelier   comment choisir et déployer un erp - CCI Bordeaux et Prodware - 07 ...Atelier   comment choisir et déployer un erp - CCI Bordeaux et Prodware - 07 ...
Atelier comment choisir et déployer un erp - CCI Bordeaux et Prodware - 07 ...
 
Agilite Puissance3 chez W4
Agilite Puissance3 chez W4Agilite Puissance3 chez W4
Agilite Puissance3 chez W4
 
Offre dqm et reporting
Offre dqm et reportingOffre dqm et reporting
Offre dqm et reporting
 
Réussir le projet MDM depuis son business case jusqu'à son exploitation au q...
Réussir le projet MDM depuis son business case jusqu'à son exploitation au q...Réussir le projet MDM depuis son business case jusqu'à son exploitation au q...
Réussir le projet MDM depuis son business case jusqu'à son exploitation au q...
 
06/07/17 Table ronde Data Transformation Program
06/07/17 Table ronde Data Transformation Program06/07/17 Table ronde Data Transformation Program
06/07/17 Table ronde Data Transformation Program
 
5 leviers pour mettre en oeuvre une activité d’architecture d’entreprise effi...
5 leviers pour mettre en oeuvre une activité d’architecture d’entreprise effi...5 leviers pour mettre en oeuvre une activité d’architecture d’entreprise effi...
5 leviers pour mettre en oeuvre une activité d’architecture d’entreprise effi...
 
Présentation activités pluralis consulting 2013
Présentation activités pluralis consulting 2013Présentation activités pluralis consulting 2013
Présentation activités pluralis consulting 2013
 
Présentation activités pluralis consulting 2013
Présentation activités pluralis consulting 2013Présentation activités pluralis consulting 2013
Présentation activités pluralis consulting 2013
 
Data Science
Data ScienceData Science
Data Science
 

La gouvernance IAM au service des stratégies métiers

  • 1. La gouvernance IAM au service des stratégies métiers Chris Norman Partner – Deloitte Marc Rousselet Directeur - KERNEL Networks Séminaire du 13 Juin 2012
  • 2. © 2012 Deloitte Conseil – Kernel Networks2 La gouvernance IAM au service des stratégies métiers Agenda • Introduction • Les avantages de l’IAG pour les entreprises • Comment SailPoint adresse les enjeux de la gouvernance IAM • Retour d’expérience Sanofi • Comment bénéficier des avantages de l’IAG : l’offre commune Deloitte-Kernel • Questions
  • 3. © 2012 Deloitte Conseil – Kernel Networks Pourquoi la Gouvernance des Identités? La gouvernance IAM au service des stratégies métiers3
  • 4. © 2012 Deloitte Conseil – Kernel Networks4 La gouvernance IAM au service des stratégies métiers Le “Security Survey” Deloitte Tous les ans, Deloitte réalise des enquêtes au niveau mondial sur l'état de la sécurité auprès de ses clients. Les enquêtes sont effectuées par secteur parmi lesquels: • Finance • Biens de consommation • Laboratoires pharmaceutiques • Technologie, Media et Télécommunication • …
  • 5. © 2012 Deloitte Conseil – Kernel Networks 32% 30% 29% 28% 27% 26% 22% 20% 20% 18% 17% 15% 12% 12% 11% 9% 7% 7% 6% 6% Excessive access rights Audit trails/logging issues (e.g. lack of audit trails, lack of review, etc.) Lack of sufficient segregation of duties Lack of clean up of access rules following a transfer or termination Business continuity and disaster recovery Excessive developers’ access to production systems and data Ineffective password management (e.g. use of weak passwords, default… Security policies and standards have not been operationalized Lack of documented security policies and supporting guidelines and… Sharing of user IDs with a commonly known password Lack of security awareness programs Lack of oversight and compliance to security control requirements Lack of authorization of changes prior to implementation Lack of separate testing environment Use of production data in testing Not applicable Lack of compliance to privacy regulations Do not know Maintaining control environment integrity Other (please specify below) 5 La gouvernance IAM au service des stratégies métiers La “Security Survey” Quelques extraits de la dernière enquête TMT 2011 : la conformité Quels ont été les 5 déficiences d’audit internes/externes les plus importantes au cours des 12 derniers mois? “The 5th Annual TMT security survey”, © 2012 Deloitte La Gestion des Identités semble ne pas tenir sa promesse ! • Nombreux projets arrêtés à mi-chemin • Manque d’adhésion des métiers • Modèle RBAC non-opérationnel • Processus inopérant de recertification des accès
  • 6. © 2012 Deloitte Conseil – Kernel Networks Qu’est que la gouvernance des identités et des accès? La gouvernance IAM au service des stratégies métiers6
  • 7. © 2012 Deloitte Conseil – Kernel Networks Qu’est que la Gouvernance dans le contexte de la Gestion des Identités et des Accès (IAG)? La gouvernance IAM au service des stratégies métiers7 1. Visibilité sur les accès • Savoir qui accède à quoi • Mesurer la conformité 2. Re- certification • Confirmer ou modifier les accès existants • Mise en conformité des accès 3. Définition / Optimisation des rôles • Maintenir les rôles • Mesurer la pertinence d’un rôle • Réduire le fardeau de la conformité des accès 4. Gestion des accès • Niveau 3 prérequis • Rendre les métiers responsables des accès accordés • Contrôles préventifs d’accès aux données • Optimisation du processus de gestion des accès 5. Supervision et contrôle continu • Réalisation des contrôles en mode récurrent • Re-certification périodique sur l’ensemble d’un périmètre • Processus global de gestion des rôles et des utilisateurs Un Modèle de Maturité Une Définition : La Gouvernance : • Définir les bonnes pratiques et objectifs de contrôle à atteindre • Mettre en place les actions adéquates • Démontrer la conformité avec les pratiques & objectifs Utiliser la notion de Risque pour focaliser les efforts
  • 8. Etablissement du Niveau de Maturité Hétérogénéité typique et maturité relative dans les entreprises 8 La gouvernance IAM au service des stratégies métiers Support ERP Central BU 1 BU 2 BU3 BU 4 BU 4 Data Integration Delegated Administration User Self-Service Account Management User Self-Service Request Management Request / Approval Management Automated Provisioning Central Administration Authoritative Source Integration Identity Lifecyle Integration Account Consolidation Data Synchronization Data Virtualization Password Synchronization Lost Password Management Web Single Sign-On Desktop Single Sign- On Segregation of Duties Monitoring Logging & Monitoring Access Certification User Access Review Role Engineering Role Based Provisioning Role Lifecycle Management SOD Definition Exceptions Management Access Management RoleBased Access Control Account Management Access Reporting /Audit L’absence de Gouvernance conduit à de nombreux projets couvrant des périmètres similaires mais ne répondant pas l’ensemble des besoins. Conséquences : • Impossibilité de dire « QUI accède à QUOI ? » • Conformité laborieuse, hétérogène • Vision des risques parcellaire • Support limité aux stratégies métiers © 2012 Deloitte Conseil – Kernel Networks
  • 9. © 2012 Deloitte Conseil – Kernel Networks Les bénéfices d’une approche fondée sur la gouvernance La gouvernance IAM au service des stratégies métiers9
  • 10. Les bénéfices de l’IAG (Identity and Access Governance) En adoptant une approche orientée Gouvernance et Risques, on peut : 10 La gouvernance IAM au service des stratégies métiers Approche Risques, orientée Processus et Métier Améliorer la Conformité Capitaliser sur l’existant Améliorer la productivité et la qualité Supporter la Stratégie des Métiers © 2012 Deloitte Conseil – Kernel Networks
  • 11. © 2012 Deloitte Conseil – Kernel Networks11 La gouvernance IAM au service des stratégies métiers Agenda • Introduction • Les avantages de l’IAG pour les entreprises • Comment SailPoint adresse les enjeux de la gouvernance IAM • Retour d’expérience Sanofi • Comment bénéficier des avantages de l’IAG : l’offre commune Deloitte-Kernel • Questions
  • 12. Comment SailPoint adresse les enjeux de la gouvernance IAM
  • 13. © 2012 Deloitte Conseil – Kernel Networks Qui est SailPoint ? Fournisseur d’une solution de gouvernance des identités • Création de la société en 2005 • Fondée par des leaders reconnus du marché de la gestion des Identités • 150+ références dans le monde; avec base installée BMC ~450 clients L’écosystème SailPoint • Très forte croissance à m’international (48% du CA global) • Centres de services aux USA, en UK, en Inde et aux Pays-Bas • 300 consultants certifiés au sein d’un réseau mondial de partenaires constitué de cabinets de conseil et d’intégrateurs SailPoint délivre pour des clients particulièrement exigeants • Larges multinationales avec des déploiements distribués • Les plus gros clients possèdent plus de 1000 applications, 100,000 utilisateurs, et des millions d’habilitations • Approx 50% des clients sont dans le secteur Banque/Finance SailPoint Headquarters Austin, Texas Banking 28% Consumer Services/Retail 5% Financial Services 16%Government 5% Healthcare 12% Insurance 16% Manufacturing 3% Other 15% Société la + innovante en sécurité La gouvernance IAM au service des stratégies métiers13
  • 15. Un leader reconnu par les analystes The Magic Quadrant is copyrighted 2011 by Gartner, Inc. and is reused with permission. The Magic Quadrant is a graphical representation of a marketplace at and for a specific time period. It depicts Gartner's analysis of how certain vendors measure against criteria for that marketplace, as defined by Gartner. Gartner does not endorse any vendor, product or service depicted in the Magic Quadrant, and does not advise technology users to select only those vendors placed in the "Leaders" quadrant. The Magic Quadrant is intended solely as a research tool, and is not meant to be a specific guide to action. Gartner disclaims all warranties, express or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose. These Magic Quadrant graphics were published by Gartner, Inc. as part of larger research notes and should be evaluated in the context of the entire reports. The Gartner reports are available upon request from SailPoint. The Forrester Wave is copyrighted 2011 by Forrester Research, Inc. and is reissued with permission. The Forrester report is available upon request from SailPoint Gartner Magic Quadrant pour la Gouvernance de l‘Identité et des Accès (IAG) Q4 2011 Forrester Wave pour la gestion des rôles et la re-certifications des accès Q3 2011
  • 16. © 2012 Deloitte Conseil – Kernel Networks “SAVEZ-VOUS qui a accès à quoi, si cela est APPROPRIÉ et pouvez-vous le PROUVER ?” La problématique de base : La gouvernance IAM au service des stratégies métiers16
  • 17. Et soudain un changement arrive La fréquence des changements augmente le risque et les coûts! TURBULENCE DEMANDE
  • 18. Garantir la pertinence des accès Le processus ILM de bout en bout
  • 19. © 2012 Deloitte Conseil – Kernel Networks Comptes & habilitation s • Applications métiers • Documents partagés • Applications Cloud • Provisioning • Systèmes RH • Annuaires • Gestion des externes Sources d’identités autoritaires Comptes Système Comptes à privilège Comptes Orphelins Classificatio n des comptes Entrepôt / cube d’identités Remédiation critique Revues Analyses Reporting Intégré Normalisé Vérifié “Visibilité” de l’état actuel La gouvernance IAM au service des stratégies métiers19
  • 20. © 2012 Deloitte Conseil – Kernel Networks Gestion des rôles métiers Score des risques Comptes & habilitation s • Applications métiers • Documents partagés • Applications Cloud • Provisioning • Systèmes RH • Annuaires • Gestion des externes Sources d’identités autoritaires Comptes Système Comptes à privilège Comptes Orphelins Classificatio n des comptes Entrepôt / cube d’identités Remédiation critique Revues Analyses Reporting Application des politiques Identités intégrées et normalisées “Planifier” l’état souhaité La gouvernance IAM au service des stratégies métiers20
  • 21. © 2012 Deloitte Conseil – Kernel Networks Demandes Gestion du cycle de vie Comptes & habilitation s • Applications métiers • Documents partagés • Applications Cloud • Provisioning • Systèmes RH • Annuaires • Gestion des externes Sources d’identités autoritaires Comptes Système Comptes à privilège Comptes Orphelins Classificatio n des comptes Entrepôt / cube d’identités Remédiation critique Identités intégrées et normalisées Revues Analyses Reporting Gestion des rôles métiers Application des politiques Score des risques Provisioning avancé “Gérer” le changement d’état La gouvernance IAM au service des stratégies métiers21
  • 22. © 2012 Deloitte Conseil – Kernel Networks Vulnérabilité Magnitude Score de risque calculé Reporting centré sur le risque Connaître les IDs à risque pour les diminuer La gouvernance IAM au service des stratégies métiers22
  • 23. © 2012 Deloitte Conseil – Kernel Networks • Comptes orphelins • Compte à privilèges • Violations actives de politiques • Remédiations en cours • Accès à des application sensibles (nouvelles approbations) • Score risque > 601 • Privilèges en lecture • Pas de changement des habilitations • Pas de violation des politiques • Pas d’accès aux applications sensibles • Score de risque < 300 • Changements ou nouveaux comptes • Violations remédiées de politiques • Accès antérieurs à des applications sensibles • 301 < Score de risque < 600 Profil risque bas Profil risque moyen Profil risque élevé Démarche centrée sur le risque Fixer les priorités selon le score de risque CERTIFICATION STANDARD CERTIFICATION EN MASSE INTERVALLE DE CERTIFICATION RACCOURCI La gouvernance IAM au service des stratégies métiers23
  • 24. © 2012 Deloitte Conseil – Kernel Networks La suite IdentityIQ de SailPoint Flexibilité par le support de multiples solutions /processus de provisioning IT Métier SOYEZ en conformité RESTEZ en conformité PROUVEZ la conformité Alimentation RH
  • 25. © 2012 Deloitte Conseil – Kernel Networks Des bénéfices incrémentaux Opérationnel Conformité Métier •Automatisation des tâches •Productivité améliorée • Meilleur niveau de service •Diminution des erreurs •Meilleurs contrôles •Meilleure visibilité •Support des stratégies métiers: adaptabilité au changement • Régulations • Partenariats • Nouveaux marchés • Fusions-acquisitions, .. Efficacité Productivité Agilité
  • 26. © 2012 Deloitte Conseil – Kernel Networks26 La gouvernance IAM au service des stratégies métiers Agenda • Introduction • Les avantages de l’IAG pour les entreprises • Comment SailPoint adresse les enjeux de la gouvernance IAM • Retour d’expérience Sanofi • Comment bénéficier des avantages de l’IAG : l’offre commune Deloitte-Kernel • Questions
  • 27. © 2012 Deloitte Conseil – Kernel Networks Retour d’expérience La gouvernance IAM au service des stratégies métiers27
  • 28. IAG at Sanofi The first chapter… Deloitte – Kernel – SailPoint seminar June 13, 2012
  • 29. Topics Introduce Sanofi to you IAG challenges IAG approach Lessons Learning La gouvernance IAM au service des stratégies métiers | 29
  • 30. Sanofi | 30 Diversified Global Health Care Leader Pharmaceuticals Vaccines Animal Health 112,000 employees focused on patient needs in 100 countries 2011 Net Sales € 33.4 billion Substantial growth through acquisition and partnership La gouvernance IAM au service des stratégies métiers
  • 31. Transformations Driving IAG Sanofi was built from hundreds of mergers, acquisitions, and partnerships each with its own culture, processes, systems, etc… ● Business Transformations ● IT Transformations ● | 31La gouvernance IAM au service des stratégies métiers
  • 32. IAG Challenges Sanofi is compliant to all regulatory requirements… but we can do it better. La gouvernance IAM au service des stratégies métiers | 32 ● No single organization has overall IAG responsibility ● Conflicting needs and priorities ● Diametrically opposed user requirements ● No common vocabulary ● Legacy tool owners and implementations. ● Many ‘Perfect’ solutions for limited scopes ● No visibility to what is currently being done, who is doing it, what it costs, etc… ● Multiple duplicate audits ● Budget
  • 33. Sanofi IAG Approach ● Have agreement on the IAG ‘opportunities’ ● Building agreement on IAG strategy, roadmap, and vision. ● Finding the right Sponsorship and Governance levels ● Service Foundation Approach for Overall Program ● Governance-Based Approach for Implementation ● Leverage existing projects / approved budgets ● Fit projects into larger roadmap ● Explore key identity features with POCs ● Build the service for continual change ● Org. changes ● Technical changes All are ‘business as usual’ | 33La gouvernance IAM au service des stratégies métiers
  • 34. Service Governance and Operation | 34 Strategic Stakeholders Service Management/ Operations Board Technical Advisory Board Service Governance Board Service Design Service Operation Strategic External Partners La gouvernance IAM au service des stratégies métiers
  • 35. Huge demand for IAG functionality… Finding the right initial project… | 35 Extranet Identity Joiners, Leavers, Movers IAG Self Service Enterprise Directory Priv. Access for Infrastructure & Apps IAG Projects SOD Harmonized Audit Unique ID Rapid Provisioning Sharepoint Access La gouvernance IAM au service des stratégies métiers
  • 36. Service Foundation Approach Example: PAM Infrastructure ● Principles ● “Test and Dev. infrastructure no different than production.” ● “SAS-70 outsources are not reapproved.” ● “No regional or site admins.” ● Vocabulary ● Processes with KPIs ● Map out IAG business processes with target key KPIs built in. ● Standards ● Recertification is annual or more often ● Naming standards, ● Practices ● Internal IAG Service team defines way of working ● IAG Roles ● Etc… | 36 PAM = Privileged Access Management La gouvernance IAM au service des stratégies métiers
  • 37. Moving forward ● IdentityIQ accepted as Sanofi’s IAG solution ● Integration with our BMC solution for ITSM services ● Provisioning integration with Oracle, etc. – protect existing investments. ● Launching several IAG based projects: ● Single PAM SOP for all Infrastructure. ● Replace existing Identity solution for Extranet ● Provide Unique Identifier for all identities with IdentityIQ ● Manager data available from SAP HR instance needs Enterprise Directory ● Joiners, Leavers, Movers ● Organization ● Consolidating “User Account Management” responsibilities and teams for all core tasks… Service Architecture and Development ● Relying on IAG partner… SailPoint, SP Partners, Deloitte, Kernel, etc.. | 37La gouvernance IAM au service des stratégies métiers
  • 38. Lessons Learning… are not surprising ● IAG is huge…. ● Strong partners ● Obvious product knowledge ● Great advise how to position IAG as project, program, and technology ● Networks with other clients ● Tell you what you think is a great idea…. may not be… ● Organizational .. Managing change ● IAG will touch every part of the business ● We started with a wide survey and study – very well received ● Dangers ● Appearing to throw out everyone else’s hard work. ● Biting off too much… ● Customizing too much.. ● Expecting the organization to remain static | 38La gouvernance IAM au service des stratégies métiers
  • 39. Your Questions or Comments | 39La gouvernance IAM au service des stratégies métiers
  • 40. © 2012 Deloitte Conseil – Kernel Networks40 La gouvernance IAM au service des stratégies métiers Agenda • Introduction • Les avantages de l’IAG pour les entreprises • Comment SailPoint adresse les enjeux de la gouvernance IAM • Retour d’expérience Sanofi • Comment bénéficier des avantages de l’IAG : l’offre commune Deloitte-Kernel • Questions
  • 41. Comment bénéficier de l’offre IAG ? L’offre commune Deloitte - Kernel
  • 42. © 2012 Deloitte Conseil – Kernel Networks Pourquoi une approche commune ? • Complémentarité Deloitte / Kernel/ SailPoint ‒ Deloitte: processus, gouvernance, gestion de projet ‒ Kernel: processus, expertise technique, intégration de la solution ‒ SailPoint: Solution IAG leader sur le marché • Offre de service unique ‒ Vision bout en bout du projet IAM • Coût du projet, délais attendus, qualité des livrables • Efficacité de la démarche ‒ Coordination transparente au cours des étapes du cycle projet La gouvernance IAM au service des stratégies métiers42 Deloitte • Expertise fonctionnelle Kernel • Expertise technique SailPoint • Solution IAG IAM 360°
  • 43. © 2012 Deloitte Conseil – Kernel Networks Les responsabilités des intervenants Répartition des rôles La gouvernance IAM au service des stratégies métiers43 P = Prime C = Contributeur POC = Prototype de la solution Deloitte Kernel-Networks SailPoint Business Case P C (POC) C (POC) Gestion de projet/programme P Conception des processus P C Gestion du changement P Conception fonctionnelle P Architecture / conception technique P C Implémentation solution P Développement spécifique/Connecteurs P C Recette C C Support formation C P C Tierce Maintenance Applicative P
  • 44. © 2012 Deloitte Conseil – Kernel Networks Notre offre de service Le Business Case en trois étapes Le Business Case en livrables: • Besoins métier clés • Analyse de l’existant et de la cible • Architecture technique existante et cible • Roadmap • Plan projet général • Prototype 44 La gouvernance IAM au service des stratégies métiers 1. Définir votre vision IAG 2. Evaluer votre vision IAG 3. Construire votre solution IAG Business Case
  • 45. © 2012 Deloitte Conseil – Kernel Networks Contacts Vous pouvez nous contacter en utilisant les coordonnées fournies ci-dessous: KERNEL Networks Numéro de téléphone: Marc Rousselet : +33 (0) 6 14 95 24 71, Luc Tentillier : +33 (0) 6 28 46 44 28 Accueil : +33 (0) 1 45 06 15 40 Adresse email: mrousselet@kernel-networks.com ltentillier@kernel-networks.com info@kernel-networks.com Deloitte Numéro de téléphone: Marc Ayadi : +33 (0) 1 55 61 60 89, Chris Norman : +33 (0) 1 55 61 47 72 Adresse email: mayadi@deloitte.fr cnorman@deloitte.fr La gouvernance IAM au service des stratégies métiers45
  • 46. © 2012 Deloitte Conseil – Kernel Networks46 La gouvernance IAM au service des stratégies métiers Agenda • Introduction • Les avantages de l’IAG pour les entreprises • Comment SailPoint adresse les enjeux de la gouvernance IAM • Retour d’expérience Sanofi • Comment bénéficier des avantages de l’IAG : l’offre commune Deloitte-Kernel • Questions
  • 47. © 2012 Deloitte Conseil – Kernel Networks Questions La gouvernance IAM au service des stratégies métiers47