SlideShare une entreprise Scribd logo
1  sur  4
Télécharger pour lire hors ligne
Identity and access governance : 
la gestion des identités a-t-elle 
enfin des yeux et des oreilles ? 
n’en pas douter, un projet de gestion des iden-tités 
est un projet de transformation : proces-sus 
opérationnels, organisations et moyens 
informatiques sont amenés à être analysés, 
évalués et enfin améliorés. Et si ce domaine 
À AUTEUR 
peut se prévaloir de très belles réussites, il est égale-ment 
entaché d’échecs, a minima partiels. L’IAG détient-elle 
une partie des clés du succès de ses projets ? 
D’Où proviennent les échecs en matière d’IAM ? Et Pourquoi parler d’IAG ? 
L’analyse de ces échecs révèle deux causes majeures. La première : l’inadéquation entre 
les ambitions visées et les moyens alloués. Elle se traduit concrètement par l’absence de 
gouvernance et de sponsoring transverse, de vision stratégique moyen terme reflet des 
enjeux métier ou encore de dynamique de construction et d’amélioration dans la durée. 
La seconde : l’absence de métrique et d’outillage simple permettant de démontrer et de 
communiquer sur la situation réelle des habilitations, les apports ou encore le bien-fondé 
des choix retenus. C’est à ce second écueil que doit répondre l’IAG (Identity and Acces 
Governance. Par effet de rebond, elle doit également fournir les indicateurs opérationnels 
pour mieux mobiliser les bons relais dans le management et dans les métiers. 
Qu’est-ce que l’IAG ? Quelles fonctionnalités en attendre ? 
De manière simplifiée, l’IAG (parfois également appelée Identity & Access Intelligence ou 
encore Identity Analytics & Intelligence voire Governance Risk & Compliance) vise à fournir les 
moyens nécessaires au pilotage des données et des usages de l’IAM. 
FOCUS SOLUCOM 
PAtrick marache 
Manager au sein de la pratice 
Risk Management et Sécurité. 
Avec près de 15 ans d’expérience, 
Patrick conseille nos clients fran-çais 
et internationaux dans leurs pro-grammes 
de gestion des identités. 
patrick.marache@solucom.fr 
@pkmarache
IDENTITY AND ACES GOVERNANCE 
Pour ce faire, elle se positionne comme une 
« tour de contrôle transverse », alimentée 
autant par les référentiels Qualité et les 
règles du contrôle interne que les données 
de l’IAM et des applications. Au-delà du 
contrôle, l’IAG doit également offrir des 
moyens de remédiation. 
Concrètement, une solution d’IAG va 
importer l’ensemble des comptes et 
habilitations pour les comparer avec les 
règles métiers ; et en les croisant avec les 
schémas d’organisation, elle proposera des 
bilans structurés des écarts et des risques. 
Elle doit ainsi permettre (comme illustré sur 
le schéma) : 
• de prendre en compte l’ensemble des 
règles et contrôles métiers de l’entreprise 
(combinaisons toxiques de pouvoirs, accès 
limités à certaines populations, certaines 
plages horaires...), 
• de corréler et de présenter les données 
opérationnelles de l’IAM, et de chaque 
application, à l’aune de ces règles, 
• d’organiser et suivre les actions de 
remédiation nécessaires à la correction 
des éventuels écarts. 
C’est donc un service essentiel pour 
s’assurer du bon fonctionnement et du bon 
usage du système IAM, corriger les biais 
de données et, in fine, améliorer la qualité 
perçue du service rendu. 
C’est également une clé pour réaliser 
rapidement un diagnostic de l’existant et 
ainsi déclencher une prise de conscience 
des efforts à réaliser. 
Dans quels contextes l’IAG est-elle 
pertinente ? 
Une approche IAG se révèle intéressante 
autant pour les organisations n’ayant pas 
engagé de démarche IAM, que pour celles 
ayant déjà conduit certains chantiers. 
Pour les premières, le recours à l’IAG 
permet de conduire des démarches 
plus opérationnelles, en prise directe et 
immédiate avec l’existant en matière de 
comptes et de droits sur les applicatifs. 
L’IAM gère un flux de données top-down vers les applications, sans moyens de vérification de bout-en- 
bout. Dans le temps, des biais de données peuvent apparaître. 
Ainsi, cette approche bottom-up permet de 
réaliser un diagnostic concret, argumenté 
d’exemples parlants. La prise de conscience 
est donc simplifiée pour les Métiers. 
L’ensemble des ingrédients est alors réuni 
pour engager une démarche d’amélioration 
plus structurante. 
Pour les secondes, nombre d’initiatives 
pâtissent d’un manque d’indicateurs de 
suivi d’usage et de qualité. Ce manque 
est nuisible à la « qualité perçue » du 
système IAM. Il se révèle également des 
plus handicapants en cas de suspicion 
de dysfonctionnement et lors des phases 
d’investigations associées. Ainsi, l’IAG se 
pose comme une réponse à ce manque 
de visibilité. 
Comment adapter sa démarche projet 
pour en tirer le meilleur parti ? 
Pour tirer le meilleur parti de l’IAG, il convient 
d’adapter l’approche projet au contexte. 
Pour simplifier, nous pouvons définir 
4 approches-types, selon l’objectif 
visé (maîtrise des risques ou efficacité 
opérationnelle) et le référentiel de 
comparaison retenu (règles prédéfinies ou 
pratiques constatées). 
Bien évidemment, les projets d’IAG 
mélangent souvent plusieurs de ces 
approches-types. Encore faut-il ne pas perdre 
de vue les objectifs initiaux. Réalisons un tour 
d’horizon de ces différentes approches. 
« Ce qui ne se mesure pas 
ne s’améliore pas » 
E. Deming 
SERVICES IAM « TRADITIONELS » SEULS 
POSITIONEMENT DES SERVICES IAG 
La boucle IAG bottom-up contrôle de bout-en-bout le respect des règles métiers et, si nécessaire, 
organise les actions de remédiation ad hoc.
QUELES PLUS-VALUES ATTENDRE DE CES NOUVELES FONCTIONALITES ? 
L’approche « mise sous contrôle de 
l’existant » 
Cette approche vise à vérifier l’efficacité 
opérationnelle de l’IAM par rapport aux 
règles prédéfinies (format des identifiants, 
nomenclatures des comptes, droits réels...). 
C’est une démarche de mise en qualité 
des données. Elle consiste à comparer 
les données réelles d’une part (comptes 
dans les applications...) et les référentiels 
qui régissent l’IAM (liste des demandes 
d’habilitations...). 
Pour les organisations ne disposant pas 
de service IAM, cette approche permet 
de s’assurer de la bonne réalisation des 
opérations manuelles. Elle permet de 
détecter et de corriger les éventuels biais 
survenus au cours du temps : erreur 
de saisie dans le nom d’un utilisateur, 
erreur dans l’attribution d’un droit, non-suppression 
d’un compte en cas de départ... 
Pour les organisations possédant des 
outils IAM, elle permet de s’assurer du bon 
fonctionnement de ce dernier. Elle sera 
notamment d’une aide précieuse lors des 
investigations en cas de dysfonctionnement 
ou de plainte d’un utilisateur. En effet, 
l’IAG conserve l’historique des identités et 
des droits. Elle permet donc d’identifier 
immédiatement si une identité a été modifiée, 
pour quelles raisons et quelles en sont les 
conséquences. 
Enfin, cette approche de l’IAG permettra de 
s’assurer de la bonne prise en compte des 
événements non-standard (rachat de société 
et fusion des bases d’identités...) traités dans 
l’IAM via batch technique et souvent dépourvus 
de contrôles. 
L’approche par les riques 
Cette approche vise à donner de la visibilité 
sur les droits sensibles et à s’assurer du 
respect des règles de maîtrise des risques 
liées aux habilitations. 
C’est une approche qui peut être conduite 
que l’on dispose ou non d’une solution d’IAM 
conventionnelle.Elle consiste à consolider 
les droits réels des applications sensibles 
pour pouvoir les comparer aux règles de 
l’entreprise. 
Plusieurs actions sont ensuite envisageables : 
suppression des droits suspects, demande 
de dérogation temporaire, re-certification 
des droits à risques. Ou encore, si la règle 
s’avère inapplicable, adaptation de celle-ci 
et des moyens de mitigation associés. 
Un point remarquable est que l’IAG s’inscrit 
dans une démarche d’audit, a posteriori de 
la demande d’habilitation. Cela permet 
de grandement simplifier les processus 
d’approbation et de certification ainsi que 
les workflows de gestion des demandes ; les 
cas d’exception pourront alors être détectés 
et instruits dans une démarche d’audit et de 
révision de droits. 
Enfin, selon son contexte, une organisation 
devra choisir où porter son effort. Sur 
le stock, c’est à dire sur la mise en 
conformité des droits déjà attribués. Ou 
sur le flux, c’est à dire sur les nouvelles 
attributions de droits sensibles. En effet, 
l’IAG conservant les historiques des droits, 
elle pourra quotidiennement identifier les 
nouvelles attributions de droits et déclencher 
les processus ad hoc. 
Une approche par le flux, si elle ne permet 
pas de traiter l’existant déjà attribué, s’avère 
beaucoup plus simple à conduire : les 
demandes sont récentes, les approbateurs 
présents... Il est donc aisé de comprendre 
le contexte et les raisons ayant conduit à la 
demande. Elle pourra également constituer 
un premier palier quick-win du projet IAG. 
L’approche par la justification et la 
prise de conscience 
Si cette approche vise également à améliorer 
la maîtrise des risques, elle adopte une 
démarche plus douce. 
En effet, parfois, l’application stricte des 
règles de contrôle et de séparation des tâches 
s’avère délicate : parce qu’il est convenu d’une 
application « souple », ou simplement parce 
que de telles règles ne sont pas suffisamment 
formalisées. 
3 questions à se poser sur son niveau de maturité IAM 
• Ai-je les moyens de mobiliser simplement mes 
sponsors et mes relais dans les métiers ? 
• Mon service IAM répond-il aux objectifs fixés, 
comment est-il perçu ? 
• Comment une approche IAG peut-elle aider mon projet 
IAM en dégageant simplement des « quick-wins » ?
IDENTITY AND ACES GOVERNANCE 
Dans ce cas, il est possible d’agir par réaction 
par rapport aux demandes d’habilitations 
formulées. Ainsi, l’IAG va mettre en lumière 
des incohérences potentielles et permettre de 
les instruire unitairement. 
À titre d’illustration, quelques exemples 
d’incohérences potentielles : personne 
du service RH qui reçoit un droit sur 
une application de gestion des stocks, 
personne qui reçoit un droit possédé par 
moins de 1% des personnes de son entité, 
personne recevant un droit administrateur 
sur une application, personne qui change de 
fonction mais qui conserve ses habilitations 
précédentes... 
Ainsi, cette approche permet de challenger 
les demandes d’habilitation soumises. Et de 
s’assurer que le principe du « juste droit » 
(les habilitations dont j’ai besoin et pas plus) 
est bien respecté. 
À mesure de la prise de conscience et de 
la maturité de l’organisation, elle pourra se 
transformer en une approche plus coercitive. 
L’approche en amélioration douce 
L’approche en amélioration douce fait le 
choix de l’amélioration continue pour offrir 
une meilleure efficacité opérationnelle. 
Pour cela, elle analyse et compare les 
pratiques IAM constatées au quotidien 
dans l’entreprise. Elle vise ainsi à améliorer 
l’IAM en améliorant ses processus et la 
modélisation des habilitations. 
À titre d’illustration, quelques exemples 
d’analyse de pratiques constatées : 
deux profils d’accès toujours possédés 
simultanément et qui pourraient constituer 
un profil métier, profils possédés par moins 
de 0,1% des personnes et qui pourraient 
être supprimés ou masqués, profils métiers 
redondants en termes de profils d’accès, 
profils possédés par plus de 80% des 
personnes d’une équipe et qui pourraient 
être recommandés en cas d’embauche... 
Cette approche peut paraître plus avancée, 
et donc requérir un niveau de maturité 
important. Dans la pratique, les solutions 
d’IAG sont suffisamment souples pour 
permettre des démarches empiriques, en 
échange constant avec les Métiers. 
Et le premier objectif n’est pas de tout 
analyser et comparer. Mais bien de se 
concentrer sur les cas les plus courants, 
les plus visibles, les plus significatifs pour 
les utilisateurs au quotidien. 
Alors, l’IAG, «potion magique» 
pour réussir son projet 
de gestion des identités ? 
En informatique, rien n’est magique ! 
Toutefois, avec ses fonctionnalités avancées 
d’analyse et de restitution, l’IAG offre enfin 
les moyens de mesurer l’efficacité de sa 
gestion des identités.Et, au prix d’une 
démarche adaptée, elle permet une prise 
de conscience parlante par les Métiers et 
le management. 
Les Directions en charge des processus 
internes, de la qualité ou encore le contrôle 
interne ont alors un rôle clé de sponsoring à 
jouer. Elles doivent supporter les initiatives 
IAG et garantir leur pérennité dans le temps. 
En effet, quelques semaines suffisent 
pour mettre en lumière les menaces et 
les incohérences majeures portés par les 
habilitations. Et quelques mois permettent 
de corriger ces écarts. Mais c’est dans la 
durée que doit se conduire une stratégie IAG, 
pour inscrire sa gestion des identités dans 
une démarche vertueuse d’amélioration 
durable. 
Tour Franklin, 100-101 Terrasse Boieldieu 
La Défense 8 - 92042 Paris La Défense Cedex 
Tél. : 01 49 03 20 00 - Fax. : 01 49 03 20 01 
www.solucom.fr 
« Quelques semaines 
s u f f i s e n t p o u r 
mettre en lumière 
les menaces et 
les incohérences 
majeures portées 
par les habilitations. 
Et quelques mois 
p e r m e t t e n t d e 
corriger ces écarts. 
Mais c’est dans 
la durée que doit 
se conduire une 
stratégie IAG, pour 
inscrire sa gestion 
des identités dans une 
démarche vertueuse 
d’amélioration 
durable »

Contenu connexe

En vedette

Protéger ses données avec de la DLP
Protéger ses données avec de la DLPProtéger ses données avec de la DLP
Protéger ses données avec de la DLPMarc Rousselet
 
Webinar: ForgeRock Identity Platform Preview (Dec 2015)
Webinar: ForgeRock Identity Platform Preview (Dec 2015)Webinar: ForgeRock Identity Platform Preview (Dec 2015)
Webinar: ForgeRock Identity Platform Preview (Dec 2015)ForgeRock
 
Webinar: Extend The Power of The ForgeRock Identity Platform Through Scripting
Webinar: Extend The Power of The ForgeRock Identity Platform Through ScriptingWebinar: Extend The Power of The ForgeRock Identity Platform Through Scripting
Webinar: Extend The Power of The ForgeRock Identity Platform Through ScriptingForgeRock
 
Sécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureSécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureNis
 
Gestion des identités avec interLDAP
Gestion des identités avec interLDAPGestion des identités avec interLDAP
Gestion des identités avec interLDAPLINAGORA
 
Technical Overview of FIDO Solution
Technical Overview of FIDO SolutionTechnical Overview of FIDO Solution
Technical Overview of FIDO SolutionForgeRock
 
OIS Architecture Review
OIS Architecture ReviewOIS Architecture Review
OIS Architecture ReviewForgeRock
 
ForgeRock Platform Release - Summer 2016
ForgeRock Platform Release - Summer 2016  ForgeRock Platform Release - Summer 2016
ForgeRock Platform Release - Summer 2016 ForgeRock
 
ForgeRock Gartner 2016 Security & Risk Management Summit
ForgeRock Gartner 2016 Security & Risk Management Summit ForgeRock Gartner 2016 Security & Risk Management Summit
ForgeRock Gartner 2016 Security & Risk Management Summit ForgeRock
 
The Future is Now: The ForgeRock Identity Platform, Early 2017 Release
The Future is Now: The ForgeRock Identity Platform, Early 2017 ReleaseThe Future is Now: The ForgeRock Identity Platform, Early 2017 Release
The Future is Now: The ForgeRock Identity Platform, Early 2017 ReleaseForgeRock
 
Répondre à la déferlante BYOD en entreprise : Succès & difficultés en France
Répondre à la déferlante BYOD en entreprise : Succès & difficultés en FranceRépondre à la déferlante BYOD en entreprise : Succès & difficultés en France
Répondre à la déferlante BYOD en entreprise : Succès & difficultés en FranceLaFrenchMobile
 
Gestion des risques SSI : Approche globale ou individuelle ?
Gestion des risques SSI : Approche globale ou individuelle ?Gestion des risques SSI : Approche globale ou individuelle ?
Gestion des risques SSI : Approche globale ou individuelle ?BPMSinfo
 
Taste of Failure is Key for Sustainable Success
Taste of Failure is Key for Sustainable SuccessTaste of Failure is Key for Sustainable Success
Taste of Failure is Key for Sustainable SuccessVSR *
 
Identity assurance & the market for verified attributes
Identity assurance & the market for verified attributesIdentity assurance & the market for verified attributes
Identity assurance & the market for verified attributesJames Varga
 
TechNight #12: Cloud Identity Summit 2014 @ Monteray 概要と主要トピック
TechNight #12: Cloud Identity Summit2014 @ Monteray 概要と主要トピックTechNight #12: Cloud Identity Summit2014 @ Monteray 概要と主要トピック
TechNight #12: Cloud Identity Summit 2014 @ Monteray 概要と主要トピックDaisuke Fuke
 

En vedette (18)

Protéger ses données avec de la DLP
Protéger ses données avec de la DLPProtéger ses données avec de la DLP
Protéger ses données avec de la DLP
 
Webinar: ForgeRock Identity Platform Preview (Dec 2015)
Webinar: ForgeRock Identity Platform Preview (Dec 2015)Webinar: ForgeRock Identity Platform Preview (Dec 2015)
Webinar: ForgeRock Identity Platform Preview (Dec 2015)
 
IAM
IAM IAM
IAM
 
Webinar: Extend The Power of The ForgeRock Identity Platform Through Scripting
Webinar: Extend The Power of The ForgeRock Identity Platform Through ScriptingWebinar: Extend The Power of The ForgeRock Identity Platform Through Scripting
Webinar: Extend The Power of The ForgeRock Identity Platform Through Scripting
 
Identity access management
Identity access managementIdentity access management
Identity access management
 
Sécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureSécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans Azure
 
Gestion des identités avec interLDAP
Gestion des identités avec interLDAPGestion des identités avec interLDAP
Gestion des identités avec interLDAP
 
Technical Overview of FIDO Solution
Technical Overview of FIDO SolutionTechnical Overview of FIDO Solution
Technical Overview of FIDO Solution
 
OIS Architecture Review
OIS Architecture ReviewOIS Architecture Review
OIS Architecture Review
 
ForgeRock Platform Release - Summer 2016
ForgeRock Platform Release - Summer 2016  ForgeRock Platform Release - Summer 2016
ForgeRock Platform Release - Summer 2016
 
Identity access management
Identity access management Identity access management
Identity access management
 
ForgeRock Gartner 2016 Security & Risk Management Summit
ForgeRock Gartner 2016 Security & Risk Management Summit ForgeRock Gartner 2016 Security & Risk Management Summit
ForgeRock Gartner 2016 Security & Risk Management Summit
 
The Future is Now: The ForgeRock Identity Platform, Early 2017 Release
The Future is Now: The ForgeRock Identity Platform, Early 2017 ReleaseThe Future is Now: The ForgeRock Identity Platform, Early 2017 Release
The Future is Now: The ForgeRock Identity Platform, Early 2017 Release
 
Répondre à la déferlante BYOD en entreprise : Succès & difficultés en France
Répondre à la déferlante BYOD en entreprise : Succès & difficultés en FranceRépondre à la déferlante BYOD en entreprise : Succès & difficultés en France
Répondre à la déferlante BYOD en entreprise : Succès & difficultés en France
 
Gestion des risques SSI : Approche globale ou individuelle ?
Gestion des risques SSI : Approche globale ou individuelle ?Gestion des risques SSI : Approche globale ou individuelle ?
Gestion des risques SSI : Approche globale ou individuelle ?
 
Taste of Failure is Key for Sustainable Success
Taste of Failure is Key for Sustainable SuccessTaste of Failure is Key for Sustainable Success
Taste of Failure is Key for Sustainable Success
 
Identity assurance & the market for verified attributes
Identity assurance & the market for verified attributesIdentity assurance & the market for verified attributes
Identity assurance & the market for verified attributes
 
TechNight #12: Cloud Identity Summit 2014 @ Monteray 概要と主要トピック
TechNight #12: Cloud Identity Summit2014 @ Monteray 概要と主要トピックTechNight #12: Cloud Identity Summit2014 @ Monteray 概要と主要トピック
TechNight #12: Cloud Identity Summit 2014 @ Monteray 概要と主要トピック
 

Plus de Wavestone

Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...Wavestone
 
Bank insight n°7 - La valorisation de la donnée
Bank insight n°7 - La valorisation de la donnéeBank insight n°7 - La valorisation de la donnée
Bank insight n°7 - La valorisation de la donnéeWavestone
 
Digitalisation des parcours client : client first !
Digitalisation des parcours client : client first !Digitalisation des parcours client : client first !
Digitalisation des parcours client : client first !Wavestone
 
Bank insight n°3 - Agilité : changement de paradigme
Bank insight n°3 - Agilité : changement de paradigmeBank insight n°3 - Agilité : changement de paradigme
Bank insight n°3 - Agilité : changement de paradigmeWavestone
 
Solucom offices receive a breath of fresh “Air”
Solucom offices receive a breath of fresh “Air”Solucom offices receive a breath of fresh “Air”
Solucom offices receive a breath of fresh “Air”Wavestone
 
Solucom réinvente ses locaux avec "Air" - Dossier de presse
Solucom réinvente ses locaux avec "Air" - Dossier de presseSolucom réinvente ses locaux avec "Air" - Dossier de presse
Solucom réinvente ses locaux avec "Air" - Dossier de presseWavestone
 
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?Bank Insight n°2 - MIF2 : contrainte ou opportunité ?
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?Wavestone
 
Physical sales networks in the digital era : change or die
Physical sales networks in the digital era : change or diePhysical sales networks in the digital era : change or die
Physical sales networks in the digital era : change or dieWavestone
 
Bank Insight - Piloter la relation client
Bank Insight - Piloter la relation clientBank Insight - Piloter la relation client
Bank Insight - Piloter la relation clientWavestone
 
BruCON 2015 - Pentesting ICS 101
BruCON 2015 - Pentesting ICS 101BruCON 2015 - Pentesting ICS 101
BruCON 2015 - Pentesting ICS 101Wavestone
 
Synthèse Solucom - Big data : une mine d'or pour l'Assurance
Synthèse Solucom - Big data : une mine d'or pour l'AssuranceSynthèse Solucom - Big data : une mine d'or pour l'Assurance
Synthèse Solucom - Big data : une mine d'or pour l'AssuranceWavestone
 
The Internet of Things: the 4 security dimensions of smart devices
The Internet of Things: the 4 security dimensions of smart devicesThe Internet of Things: the 4 security dimensions of smart devices
The Internet of Things: the 4 security dimensions of smart devicesWavestone
 
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...Wavestone
 
Réseaux physiques à l'ère du digital : se transformer ou mourir
Réseaux physiques à l'ère du digital : se transformer ou mourirRéseaux physiques à l'ère du digital : se transformer ou mourir
Réseaux physiques à l'ère du digital : se transformer ou mourirWavestone
 
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...Wavestone
 
Carrefour des organisations n°77
Carrefour des organisations n°77Carrefour des organisations n°77
Carrefour des organisations n°77Wavestone
 
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?Wavestone
 
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?Wavestone
 
Solucom - Les Cahiers d'Insurance Speaker
Solucom - Les Cahiers d'Insurance SpeakerSolucom - Les Cahiers d'Insurance Speaker
Solucom - Les Cahiers d'Insurance SpeakerWavestone
 
Solucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201webSolucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201webWavestone
 

Plus de Wavestone (20)

Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
 
Bank insight n°7 - La valorisation de la donnée
Bank insight n°7 - La valorisation de la donnéeBank insight n°7 - La valorisation de la donnée
Bank insight n°7 - La valorisation de la donnée
 
Digitalisation des parcours client : client first !
Digitalisation des parcours client : client first !Digitalisation des parcours client : client first !
Digitalisation des parcours client : client first !
 
Bank insight n°3 - Agilité : changement de paradigme
Bank insight n°3 - Agilité : changement de paradigmeBank insight n°3 - Agilité : changement de paradigme
Bank insight n°3 - Agilité : changement de paradigme
 
Solucom offices receive a breath of fresh “Air”
Solucom offices receive a breath of fresh “Air”Solucom offices receive a breath of fresh “Air”
Solucom offices receive a breath of fresh “Air”
 
Solucom réinvente ses locaux avec "Air" - Dossier de presse
Solucom réinvente ses locaux avec "Air" - Dossier de presseSolucom réinvente ses locaux avec "Air" - Dossier de presse
Solucom réinvente ses locaux avec "Air" - Dossier de presse
 
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?Bank Insight n°2 - MIF2 : contrainte ou opportunité ?
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?
 
Physical sales networks in the digital era : change or die
Physical sales networks in the digital era : change or diePhysical sales networks in the digital era : change or die
Physical sales networks in the digital era : change or die
 
Bank Insight - Piloter la relation client
Bank Insight - Piloter la relation clientBank Insight - Piloter la relation client
Bank Insight - Piloter la relation client
 
BruCON 2015 - Pentesting ICS 101
BruCON 2015 - Pentesting ICS 101BruCON 2015 - Pentesting ICS 101
BruCON 2015 - Pentesting ICS 101
 
Synthèse Solucom - Big data : une mine d'or pour l'Assurance
Synthèse Solucom - Big data : une mine d'or pour l'AssuranceSynthèse Solucom - Big data : une mine d'or pour l'Assurance
Synthèse Solucom - Big data : une mine d'or pour l'Assurance
 
The Internet of Things: the 4 security dimensions of smart devices
The Internet of Things: the 4 security dimensions of smart devicesThe Internet of Things: the 4 security dimensions of smart devices
The Internet of Things: the 4 security dimensions of smart devices
 
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...
 
Réseaux physiques à l'ère du digital : se transformer ou mourir
Réseaux physiques à l'ère du digital : se transformer ou mourirRéseaux physiques à l'ère du digital : se transformer ou mourir
Réseaux physiques à l'ère du digital : se transformer ou mourir
 
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
 
Carrefour des organisations n°77
Carrefour des organisations n°77Carrefour des organisations n°77
Carrefour des organisations n°77
 
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
 
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?
 
Solucom - Les Cahiers d'Insurance Speaker
Solucom - Les Cahiers d'Insurance SpeakerSolucom - Les Cahiers d'Insurance Speaker
Solucom - Les Cahiers d'Insurance Speaker
 
Solucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201webSolucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201web
 

Dernier

Installation de Sylius 2.0 et découverte du nouveau backoffice en Bootstrap
Installation de Sylius 2.0 et découverte du nouveau backoffice en BootstrapInstallation de Sylius 2.0 et découverte du nouveau backoffice en Bootstrap
Installation de Sylius 2.0 et découverte du nouveau backoffice en BootstrapMaxime Huran 🌈
 
KIT-COPILOT and more Article du 20240311
KIT-COPILOT and more Article du 20240311KIT-COPILOT and more Article du 20240311
KIT-COPILOT and more Article du 20240311Erol GIRAUDY
 
Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...
Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...
Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...Infopole1
 
Les Metiers de l'Intelligence Artificielle
Les Metiers de l'Intelligence ArtificielleLes Metiers de l'Intelligence Artificielle
Les Metiers de l'Intelligence ArtificielleErol GIRAUDY
 
The Importance of Indoor Air Quality (French)
The Importance of Indoor Air Quality (French)The Importance of Indoor Air Quality (French)
The Importance of Indoor Air Quality (French)IES VE
 
Mes succès sur Microsoft LEARN et examens
Mes succès sur Microsoft LEARN et examensMes succès sur Microsoft LEARN et examens
Mes succès sur Microsoft LEARN et examensErol GIRAUDY
 

Dernier (6)

Installation de Sylius 2.0 et découverte du nouveau backoffice en Bootstrap
Installation de Sylius 2.0 et découverte du nouveau backoffice en BootstrapInstallation de Sylius 2.0 et découverte du nouveau backoffice en Bootstrap
Installation de Sylius 2.0 et découverte du nouveau backoffice en Bootstrap
 
KIT-COPILOT and more Article du 20240311
KIT-COPILOT and more Article du 20240311KIT-COPILOT and more Article du 20240311
KIT-COPILOT and more Article du 20240311
 
Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...
Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...
Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...
 
Les Metiers de l'Intelligence Artificielle
Les Metiers de l'Intelligence ArtificielleLes Metiers de l'Intelligence Artificielle
Les Metiers de l'Intelligence Artificielle
 
The Importance of Indoor Air Quality (French)
The Importance of Indoor Air Quality (French)The Importance of Indoor Air Quality (French)
The Importance of Indoor Air Quality (French)
 
Mes succès sur Microsoft LEARN et examens
Mes succès sur Microsoft LEARN et examensMes succès sur Microsoft LEARN et examens
Mes succès sur Microsoft LEARN et examens
 

Identity and access governance : la gestion des identités a-t-elle enfin des yeux et des oreilles ?

  • 1. Identity and access governance : la gestion des identités a-t-elle enfin des yeux et des oreilles ? n’en pas douter, un projet de gestion des iden-tités est un projet de transformation : proces-sus opérationnels, organisations et moyens informatiques sont amenés à être analysés, évalués et enfin améliorés. Et si ce domaine À AUTEUR peut se prévaloir de très belles réussites, il est égale-ment entaché d’échecs, a minima partiels. L’IAG détient-elle une partie des clés du succès de ses projets ? D’Où proviennent les échecs en matière d’IAM ? Et Pourquoi parler d’IAG ? L’analyse de ces échecs révèle deux causes majeures. La première : l’inadéquation entre les ambitions visées et les moyens alloués. Elle se traduit concrètement par l’absence de gouvernance et de sponsoring transverse, de vision stratégique moyen terme reflet des enjeux métier ou encore de dynamique de construction et d’amélioration dans la durée. La seconde : l’absence de métrique et d’outillage simple permettant de démontrer et de communiquer sur la situation réelle des habilitations, les apports ou encore le bien-fondé des choix retenus. C’est à ce second écueil que doit répondre l’IAG (Identity and Acces Governance. Par effet de rebond, elle doit également fournir les indicateurs opérationnels pour mieux mobiliser les bons relais dans le management et dans les métiers. Qu’est-ce que l’IAG ? Quelles fonctionnalités en attendre ? De manière simplifiée, l’IAG (parfois également appelée Identity & Access Intelligence ou encore Identity Analytics & Intelligence voire Governance Risk & Compliance) vise à fournir les moyens nécessaires au pilotage des données et des usages de l’IAM. FOCUS SOLUCOM PAtrick marache Manager au sein de la pratice Risk Management et Sécurité. Avec près de 15 ans d’expérience, Patrick conseille nos clients fran-çais et internationaux dans leurs pro-grammes de gestion des identités. patrick.marache@solucom.fr @pkmarache
  • 2. IDENTITY AND ACES GOVERNANCE Pour ce faire, elle se positionne comme une « tour de contrôle transverse », alimentée autant par les référentiels Qualité et les règles du contrôle interne que les données de l’IAM et des applications. Au-delà du contrôle, l’IAG doit également offrir des moyens de remédiation. Concrètement, une solution d’IAG va importer l’ensemble des comptes et habilitations pour les comparer avec les règles métiers ; et en les croisant avec les schémas d’organisation, elle proposera des bilans structurés des écarts et des risques. Elle doit ainsi permettre (comme illustré sur le schéma) : • de prendre en compte l’ensemble des règles et contrôles métiers de l’entreprise (combinaisons toxiques de pouvoirs, accès limités à certaines populations, certaines plages horaires...), • de corréler et de présenter les données opérationnelles de l’IAM, et de chaque application, à l’aune de ces règles, • d’organiser et suivre les actions de remédiation nécessaires à la correction des éventuels écarts. C’est donc un service essentiel pour s’assurer du bon fonctionnement et du bon usage du système IAM, corriger les biais de données et, in fine, améliorer la qualité perçue du service rendu. C’est également une clé pour réaliser rapidement un diagnostic de l’existant et ainsi déclencher une prise de conscience des efforts à réaliser. Dans quels contextes l’IAG est-elle pertinente ? Une approche IAG se révèle intéressante autant pour les organisations n’ayant pas engagé de démarche IAM, que pour celles ayant déjà conduit certains chantiers. Pour les premières, le recours à l’IAG permet de conduire des démarches plus opérationnelles, en prise directe et immédiate avec l’existant en matière de comptes et de droits sur les applicatifs. L’IAM gère un flux de données top-down vers les applications, sans moyens de vérification de bout-en- bout. Dans le temps, des biais de données peuvent apparaître. Ainsi, cette approche bottom-up permet de réaliser un diagnostic concret, argumenté d’exemples parlants. La prise de conscience est donc simplifiée pour les Métiers. L’ensemble des ingrédients est alors réuni pour engager une démarche d’amélioration plus structurante. Pour les secondes, nombre d’initiatives pâtissent d’un manque d’indicateurs de suivi d’usage et de qualité. Ce manque est nuisible à la « qualité perçue » du système IAM. Il se révèle également des plus handicapants en cas de suspicion de dysfonctionnement et lors des phases d’investigations associées. Ainsi, l’IAG se pose comme une réponse à ce manque de visibilité. Comment adapter sa démarche projet pour en tirer le meilleur parti ? Pour tirer le meilleur parti de l’IAG, il convient d’adapter l’approche projet au contexte. Pour simplifier, nous pouvons définir 4 approches-types, selon l’objectif visé (maîtrise des risques ou efficacité opérationnelle) et le référentiel de comparaison retenu (règles prédéfinies ou pratiques constatées). Bien évidemment, les projets d’IAG mélangent souvent plusieurs de ces approches-types. Encore faut-il ne pas perdre de vue les objectifs initiaux. Réalisons un tour d’horizon de ces différentes approches. « Ce qui ne se mesure pas ne s’améliore pas » E. Deming SERVICES IAM « TRADITIONELS » SEULS POSITIONEMENT DES SERVICES IAG La boucle IAG bottom-up contrôle de bout-en-bout le respect des règles métiers et, si nécessaire, organise les actions de remédiation ad hoc.
  • 3. QUELES PLUS-VALUES ATTENDRE DE CES NOUVELES FONCTIONALITES ? L’approche « mise sous contrôle de l’existant » Cette approche vise à vérifier l’efficacité opérationnelle de l’IAM par rapport aux règles prédéfinies (format des identifiants, nomenclatures des comptes, droits réels...). C’est une démarche de mise en qualité des données. Elle consiste à comparer les données réelles d’une part (comptes dans les applications...) et les référentiels qui régissent l’IAM (liste des demandes d’habilitations...). Pour les organisations ne disposant pas de service IAM, cette approche permet de s’assurer de la bonne réalisation des opérations manuelles. Elle permet de détecter et de corriger les éventuels biais survenus au cours du temps : erreur de saisie dans le nom d’un utilisateur, erreur dans l’attribution d’un droit, non-suppression d’un compte en cas de départ... Pour les organisations possédant des outils IAM, elle permet de s’assurer du bon fonctionnement de ce dernier. Elle sera notamment d’une aide précieuse lors des investigations en cas de dysfonctionnement ou de plainte d’un utilisateur. En effet, l’IAG conserve l’historique des identités et des droits. Elle permet donc d’identifier immédiatement si une identité a été modifiée, pour quelles raisons et quelles en sont les conséquences. Enfin, cette approche de l’IAG permettra de s’assurer de la bonne prise en compte des événements non-standard (rachat de société et fusion des bases d’identités...) traités dans l’IAM via batch technique et souvent dépourvus de contrôles. L’approche par les riques Cette approche vise à donner de la visibilité sur les droits sensibles et à s’assurer du respect des règles de maîtrise des risques liées aux habilitations. C’est une approche qui peut être conduite que l’on dispose ou non d’une solution d’IAM conventionnelle.Elle consiste à consolider les droits réels des applications sensibles pour pouvoir les comparer aux règles de l’entreprise. Plusieurs actions sont ensuite envisageables : suppression des droits suspects, demande de dérogation temporaire, re-certification des droits à risques. Ou encore, si la règle s’avère inapplicable, adaptation de celle-ci et des moyens de mitigation associés. Un point remarquable est que l’IAG s’inscrit dans une démarche d’audit, a posteriori de la demande d’habilitation. Cela permet de grandement simplifier les processus d’approbation et de certification ainsi que les workflows de gestion des demandes ; les cas d’exception pourront alors être détectés et instruits dans une démarche d’audit et de révision de droits. Enfin, selon son contexte, une organisation devra choisir où porter son effort. Sur le stock, c’est à dire sur la mise en conformité des droits déjà attribués. Ou sur le flux, c’est à dire sur les nouvelles attributions de droits sensibles. En effet, l’IAG conservant les historiques des droits, elle pourra quotidiennement identifier les nouvelles attributions de droits et déclencher les processus ad hoc. Une approche par le flux, si elle ne permet pas de traiter l’existant déjà attribué, s’avère beaucoup plus simple à conduire : les demandes sont récentes, les approbateurs présents... Il est donc aisé de comprendre le contexte et les raisons ayant conduit à la demande. Elle pourra également constituer un premier palier quick-win du projet IAG. L’approche par la justification et la prise de conscience Si cette approche vise également à améliorer la maîtrise des risques, elle adopte une démarche plus douce. En effet, parfois, l’application stricte des règles de contrôle et de séparation des tâches s’avère délicate : parce qu’il est convenu d’une application « souple », ou simplement parce que de telles règles ne sont pas suffisamment formalisées. 3 questions à se poser sur son niveau de maturité IAM • Ai-je les moyens de mobiliser simplement mes sponsors et mes relais dans les métiers ? • Mon service IAM répond-il aux objectifs fixés, comment est-il perçu ? • Comment une approche IAG peut-elle aider mon projet IAM en dégageant simplement des « quick-wins » ?
  • 4. IDENTITY AND ACES GOVERNANCE Dans ce cas, il est possible d’agir par réaction par rapport aux demandes d’habilitations formulées. Ainsi, l’IAG va mettre en lumière des incohérences potentielles et permettre de les instruire unitairement. À titre d’illustration, quelques exemples d’incohérences potentielles : personne du service RH qui reçoit un droit sur une application de gestion des stocks, personne qui reçoit un droit possédé par moins de 1% des personnes de son entité, personne recevant un droit administrateur sur une application, personne qui change de fonction mais qui conserve ses habilitations précédentes... Ainsi, cette approche permet de challenger les demandes d’habilitation soumises. Et de s’assurer que le principe du « juste droit » (les habilitations dont j’ai besoin et pas plus) est bien respecté. À mesure de la prise de conscience et de la maturité de l’organisation, elle pourra se transformer en une approche plus coercitive. L’approche en amélioration douce L’approche en amélioration douce fait le choix de l’amélioration continue pour offrir une meilleure efficacité opérationnelle. Pour cela, elle analyse et compare les pratiques IAM constatées au quotidien dans l’entreprise. Elle vise ainsi à améliorer l’IAM en améliorant ses processus et la modélisation des habilitations. À titre d’illustration, quelques exemples d’analyse de pratiques constatées : deux profils d’accès toujours possédés simultanément et qui pourraient constituer un profil métier, profils possédés par moins de 0,1% des personnes et qui pourraient être supprimés ou masqués, profils métiers redondants en termes de profils d’accès, profils possédés par plus de 80% des personnes d’une équipe et qui pourraient être recommandés en cas d’embauche... Cette approche peut paraître plus avancée, et donc requérir un niveau de maturité important. Dans la pratique, les solutions d’IAG sont suffisamment souples pour permettre des démarches empiriques, en échange constant avec les Métiers. Et le premier objectif n’est pas de tout analyser et comparer. Mais bien de se concentrer sur les cas les plus courants, les plus visibles, les plus significatifs pour les utilisateurs au quotidien. Alors, l’IAG, «potion magique» pour réussir son projet de gestion des identités ? En informatique, rien n’est magique ! Toutefois, avec ses fonctionnalités avancées d’analyse et de restitution, l’IAG offre enfin les moyens de mesurer l’efficacité de sa gestion des identités.Et, au prix d’une démarche adaptée, elle permet une prise de conscience parlante par les Métiers et le management. Les Directions en charge des processus internes, de la qualité ou encore le contrôle interne ont alors un rôle clé de sponsoring à jouer. Elles doivent supporter les initiatives IAG et garantir leur pérennité dans le temps. En effet, quelques semaines suffisent pour mettre en lumière les menaces et les incohérences majeures portés par les habilitations. Et quelques mois permettent de corriger ces écarts. Mais c’est dans la durée que doit se conduire une stratégie IAG, pour inscrire sa gestion des identités dans une démarche vertueuse d’amélioration durable. Tour Franklin, 100-101 Terrasse Boieldieu La Défense 8 - 92042 Paris La Défense Cedex Tél. : 01 49 03 20 00 - Fax. : 01 49 03 20 01 www.solucom.fr « Quelques semaines s u f f i s e n t p o u r mettre en lumière les menaces et les incohérences majeures portées par les habilitations. Et quelques mois p e r m e t t e n t d e corriger ces écarts. Mais c’est dans la durée que doit se conduire une stratégie IAG, pour inscrire sa gestion des identités dans une démarche vertueuse d’amélioration durable »