Identity Days 2022 - Authentification multi-facteurs et gestion du risque ave...
Gestion des identités : par où commencer ?
1. Gestion des identités :
par où commencer ?
Bertrand CARLIER
27 octobre 2022 - PARIS
Identity Days 2022
Et comment ne pas se planter
2. Bertrand Carlier
Senior Manager @ Wavestone
Membre fondateur de IDPro
• Formé en génie logiciel
• Décortique et ré-empaquette ses
premiers jetons SAML en 2005
• Prosélyte décomplexé des
standards ouverts
• Bilingue OAuth2 et OpenID Connect
• Les bases de l’IAM :
• Les identités
• Les droits
• Le contrôle d’accès
• Mais pas que
• Les bases d’un projet IAM
• Ce qu’il ne faut pas faire
• Ce qu’il faut faire (peut-être)
• Quelques mèmes
• Pas de bullshit
AGENDA
27 octobre 2022 - PARIS
Identity Days 2022
11. Identity Days 2022
27 octobre 2022 - PARIS
Connaître ses référentiels
IAM
Active
Directory
Shared authn/authz
directory
Azure AD
sf
HR/payroll Procurement
B2B portal
12.
13. Identity Days 2022
27 octobre 2022 - PARIS
The basics
Quels sont vos
référentiels ?
- Les applications s’appuient-elles sur
Active Directory ou un autre
annuaire d’identités centralisé ?
- Peut-on cartographier toutes les
applications clés ?
- Suites collaboratives (O365,
G- Suite, Slack, etc.)
- HR, ERP, Finance, Marketing,
Achats, Production, Supply Chain,
etc.
Comment sont-ils reliés ?
- Où sont les sources autoritaires pour
les données d’identité ?
- Quel référentiel est autoritaire sur
lequel ?
- Pour les employés, les
prestataires, les partenaires
business
- Pour des attributs spécifiques
(identifiants, adresses email, etc.)
Un annuaire cloud ou un
annuaire pour le cloud ?
Comment alimentez-vous les
applications cloud en données
d’identité ?
- Just in time provisioning ?
- Synchronisation d’annuaire ?
- SCIM ?
The next step
Connaître ses référentiels
14. sf
27 octobre 2022 - PARIS
Connaître ses référentiels
Identity Days 2022
15. 27 octobre 2022 - PARIS
Identity Days 2022
sf
Active
Directory
Azure AD or
Cloud directory?
Shared authn/authz
directory
Connaître ses référentiels
17. Identity Days 2022
27 octobre 2022 - PARIS
The basics
Corrélez TOUS les
comptes
- Une première fois et puis régulièrement
- Assurez-vous que les utilisateurs n’aient
qu’un compte standard par application
- Faites une revue des comptes à
privilèges
- Reliez les comptes de service à un
responsable
- Désactivez les comptes inutilisés
- Débarrassez vous autant que possible
des comptes partagés et activez la
traçabilité
Maîtrisez les
entrées/sorties
- Identifier la source autoritaire pour la
création et la gestion du statut.
- Ça doit ruisseler !
- Ne comptez pas sur la ponctualité de la
paie
- Ne comptez pas sur les managers pour
déclarer un départ
- Imposez une date de fin aux prestataires
- Détectez les comptes inutilisés
Des identités pour TOUT
- Non seulement pour chaque utilisateur
mais également pour toute entité
accédant à une ressource (applications,
serveurs, devices, etc.)
- Toutes ces identités doivent voir leur
cycle de vie contrôlé et maîtrisé
- Des attributs d’identité maîtrisés et en
qualité
The next step
Connaître ses identités
18.
19. Identity Days 2022
27 octobre 2022 - PARIS
sf
Active
Directory
Azure AD or
Cloud directory?
Share authn/authz
directory
Connaître ses identités
20. Identity Days 2022
27 octobre 2022 - PARIS
sf
Active
Directory
HR/payroll
Shared authn/authz
directory
IAM
Azure AD or
Cloud directory?
partners
corporate users
Procurement
B2B portal
Connaître ses identités
22. Identity Days 2022
27 octobre 2022 - PARIS
The basics
Déployer RBAC
- Construire un modèle de rôle adapté à
l’entreprise (et non aux organisations) :
- Quelques rôles pour une
application standard
- Des rôles métiers contenant des
rôles applicatifs
- Les utilisateurs terrain ont
principalement des rôles auto-
assignés
Connaître ses droits
23.
24.
25. Identity Days 2022
27 octobre 2022 - PARIS
The basics
Déployez RBAC
et peut-être ABAC
- Construire un modèle de rôle adapté à
l’entreprise (et non aux organisation) :
- Quelques rôles pour une application
standard
- Des rôles métiers contenant des rôles
applicatifs
- Les utilisateurs terrain ont surtout des
rôles auto-assignés
- Appliquer le principe du moindre
privilège
- Puis, ABAC peut être intéressant :
- Nécessite un bon niveau de maturité
- Nécessite des données irréprochables
- Les attributs concernés deviennent
critiques d’un point de vue sécurité
Recertifiez les droits des
utilisateurs
- Envisager une recertification périodique
par application en commençant par les
plus risqués et sensibles
- Envisager un recertification par le
manager lors des mouvements et
périodiquement
Gestion des droits assistée
et prédictive
- Aide les utilisateurs à demander des
droits pertinents
- Aide les valideurs à se concentrer sur les
demandes sortant du standard
- Aide les auditeurs à détecter les
utilisateurs sortant du profil type
The next step
Connaître ses droits
26. Identity Days 2022
27 octobre 2022 - PARIS
sf
Active
Directory
HR/payroll
Shared authn/authz
directory
IAM
Azure AD or
Cloud directory?
partners
corporate users
Procurement
B2B portal
Connaître ses droits
27. Identity Days 2022
27 octobre 2022 - PARIS
sf
Active
Directory
HR/payroll
Shared authn/authz
directory
IAM
Azure AD or
Cloud directory?
partners
corporate users
Procurement
B2B portal
Connaître ses droits
29. Identity Days 2022
27 octobre 2022 - PARIS
The basics
Centralisez
- Déléguez l’authentification à un Identity
Provider spécialisé
- Raccordez vos applications avec des
standards comme SAML, OpenID
Connect, OAuth2
Authentification
multi-facteur
- Implémentez du MFA sur l’Identity
Provider
- Déployez le MFA pour tous vos
utilisateurs B2E/B2B
- Visez de bons niveaux sécurité ET
d’ergonomie (pensez FIDO2, pensez
phishing resistant, pensez adaptatif)
Maîtriser les accès
30.
31. Identity Days 2022
27 octobre 2022 - PARIS
sf
Active
Directory
HR/payroll
Shared authn/authz
directory
IAM
Azure AD or
Cloud directory?
partners
corporate users
Procurement
B2B portal
Maîtriser les accès
32. Identity Days 2022
27 octobre 2022 - PARIS
Maîtriser les accès
sf
Active
Directory
HR/payroll
Shared authn/authz
directory
IAM
Azure AD or
Cloud directory?
partners
corporate users
Procurement
B2B portal
33. Identity Days 2022
27 octobre 2022 - PARIS
Maîtriser les accès
sf
Active
Directory
HR/payroll
Shared authn/authz
directory
IAM
Azure AD or
Cloud directory?
partners
corporate users
Procurement
B2B portal
Corporate
devices
Third-party
devices
IoT devices
API Gateway
MFA
Single Sign-
On
PKI
Identity
Provider
OAuth2
OpenID
Connect
SAML
34. Identity Days 2022
27 octobre 2022 - PARIS
The basics
Centralisez
- Déléguez l’authentification à un Identity
Provider spécialisé
- Raccordez vos applications avec des
standards comme SAML, OpenID
Connect, OAuth2
Authentification
multi-facteur
- Implémentez du MFA sur l’Identity
Provider
- Déployez le MFA pour tous vos
utilisateurs B2E/B2B
- Visez de bons niveaux sécurité ET
d’ergonomie (pensez FIDO2, pensez
adaptatif)
Visez le passwordless
- Supprimez le mot de passe partout où
cela est possible
- Certaines populations spécifiques se
prêtent bien à cette tendance (eg.
travailleurs sur le terrain, clients finaux)
The next step
Maîtriser les accès
35.
36. Identity Days 2022
27 octobre 2022 - PARIS
En résumé
1 Connaître ses référentiels
2 Connaître ses identités
3 Connaitre ses droits
4 Maîtriser les accès
5 Comment déployer?
38. J’ai échoué à déployer…
de nombreuses fois et pour de
nombreuses raisons…
Identity Days 2022
27 octobre 2022 - PARIS
39.
40.
41.
42.
43.
44.
45.
46. Quelles sont les difficultés
régulièrement rencontrées ?
Identity Days 2022
27 octobre 2022 - PARIS
47.
48.
49.
50. Un projet IAM vise souvent à traiter une obsolescence
Et puis cela devient l’occasion de revisiter les besoins
Identity Days 2022
27 octobre 2022 - PARIS
Gérer de nouveaux
types d’identités
Proposer une interface
mobile/responsive
Mettre le manager au centre des
processus IAM
Intégrer des référentiels de
données plus récents
Intégrer les
nouveautés du SI
Améliorer
l’UX
Étendre l’IAM à toutes
les entités
S’intégrer à l’ITSM
Améliorer les
performances
Gérer l’obsolescence d’autres
composants
Être plus agile et
plus réactif
Simplifier les
workflows
Mieux intégrer les
processus
Être en conformité en mettant en
place des revues de droits
Gérer l’accès à la suite
collaborative
Entrainant un déséquilibre entre les attentes et le budget disponible
51. Identity Days 2022
27 octobre 2022 - PARIS
1er déséquilibre : “Ce n’est que de l’obsolescence”
• Tenter d’améliorer ou remplacer la solution existante sans considérer
les changements technologiques du SI ou les changements de
contexte de l’entreprise sous-estime grandement des aspects
critiques d’un projet IAM :
• Différence technologique entre deux générations de solutions IAM
• Perte de savoir sur ce qui est réellement déployé en production
• Pas de différence entre les customisations liées à un réel besoin
fonctionnel ou celles liées à une fonctionnalité manquante du produit
• Impact utilisateur et donc conduite du changement
Enterprise
context
Business and
IT requirements
IAM ambition
Organization &
IAM Processes
Technical solution
AD
ERP
HR IS
Collab.
tools
Technical solution
Parameterization / configuration
/ customizations
Integration with the whole IS
52. Identity Days 2022
27 octobre 2022 - PARIS
2ème déséquilibre : “C’est l’occasion de faire mieux”
• Avec plus d’ambition, l’objectif est de faire évoluer l’implémentation
mais toujours sans remettre en cause les principes IAM et le contexte
de l’entreprise
• Cela suppose que la solution est actuellement globalement
satisfaisante vis-à-vis des utilisateurs et de l’ensemble des acteurs IAM
• La solution IAM n’est pas un monolithe de dette technique. Elle a été
maintenue et a évolué pour suivre les évolution du SI et de l’organisation
• Les ambitions initiales, l’organisation et les processus IAM sont toujours
pertinents
• Le contexte de l’entreprise, métier et IT n’ont pas à être challengés
Enterprise
context
Business and
IT requirements
IAM ambition
Organization &
IAM Processes
Technical solution
AD
ERP
HR IS
Collab.
tools
Technical solution
Parameterization /configuration/
customizations
Integration with the whole ISS
Parameterization / configuration
/ customizations
Integration with the whole IS
53. Identity Days 2022
27 octobre 2022 - PARIS
Il ne s’agit pas d’améliorer. Il s’agit de s’adapter aux
changements passés et à venir
• Bien souvent, la solution IAM est en décalage avec des évolutions
profondes qui n’ont pas été anticipées ni suivies :
• Nouveaux besoins liés à la réglementation ou des audits
• Adaptations aux changements de l’organisation, à la rationalisation de
l’infrastructure
• Prise en compte du nouveau paysage applicatif
• S’inscrire dans une démarche cloud-first
• …
• Il faut alors redéfinir et partager des ambitions IAM avec les impacts
d’organisation et de processus et enfin correctement définir le
périmètre du projet
Contexte de
l’Entreprise
Besoins
métier et SI
L’ambition IAM
Organisation &
Processus IAM
Technical solution
AD
ERP
SI RH Collab.
Technical solution
Paramétrage fonctionnel
/ personnalisation
Intégration dans le SI
Parameterization / configuration
/ customizations
Integration with the whole IS
Enterprise
context
Business and
IT requirements
AD
HR IS
Collab.
tools
IAM ambition
Organization &
IAM Processes
55. Identity Days 2022
Un projet IAM est une transformation majeure
dont il ne faut pas sous-estimer les impacts
New authorization
modelling
Data repository
& data cleansing
New processes &
Change management
IS interactions
& other dependencies
IAM solution renewal
27 octobre 2022 - PARIS
Identity Days 2022
56. Identity Days 2022
Un projet IAM est une transformation majeure
dont il ne faut pas sous-estimer les impacts
New authorization
modelling
Data repository
& data cleansing
New processes &
Change management
IS interactions
& other dependencies
IAM solution renewal
27 octobre 2022 - PARIS
57. Identity Days 2022
Un projet IAM est une transformation majeure
dont il ne faut pas sous-estimer les impacts
Un projet IAM est une transformation majeure
nécessitant une organisation de programme
New
authorization
modelling
Data
repository
&
data
cleansing
New
processes
&
Change
management
IS
interactions
&
other
dependencies
IAM
solution
renewal
27 octobre 2022 - PARIS
58. Un projet IAM est une transformation majeure
nécessitant une organisation de programme
IAM
solution
renewal
New
authorization
modelling
Data
repository
&
data
cleansing
New
processes
&
Change
management
IS
interactions
&
other
dependencies
Program leader PMO
Design authority
IAM policies
Identity Days 2022
27 octobre 2022 - PARIS
Service opening rendezvous
59. Un projet IAM est une transformation majeure
nécessitant une organisation de programme
Un projet IAM est une transformation majeure
nécessitant un sponsor et une ambition affichée
IAM
solution
renewal
New
authorization
modelling
Data
repository
&
data
cleansing
New
processes
&
Change
management
IS
interactions
&
other
dependencies
Program leader PMO
Design authority
IAM policies
Executive Sponsor Ambition
Identity Days 2022
27 octobre 2022 - PARIS
Service opening rendezvous
60. Et pourquoi pas un détour?
Identity Days 2022
27 octobre 2022 - PARIS
61.
62. Identity Days 2022
27 octobre 2022 - PARIS
Other IT systems
Master data
repository
Identity management Access management
AuthZ
Directory
HR
repository
IAM for IT
White Pages
Apps not
covered
by IdM
ID lifecycle
management
Authorization
management
Provisioning
Users
Managers /
Data owner /
App owners
ITSM / ticketing
Self-service
Federation & access ctrl
Applications Database
Strong auth & multifactor
Operations Access
Identity Analytics & Intelligence
Data analysis &
dashboards
Advanced
SOD
Data
warehouse
Access
Review
Monitoring & control
Data warehouse strategy
• Less intrusive
• Flexible
• Simulation
• Feedback loop
Décommissionner le legacy est-il la priorité?
63. Le legacy est-il utile transitoirement pour permettre
la migration ?
Identity Days 2022
27 octobre 2022 - PARIS
Legacy systems
Master data
repository
HR
repository
Mainframe
RACF
Would-be legacy
applications
Identity management
ID
lifecycle
Authz.
mngt
Provisioning
Legacy IAM
Connectors
Modern apps
Modern apps
Data analysis &
dashboards
Advanced
SOD
Data
warehouse
Access
Review
New IGA
Users
Managers /
data owners /
App owners
ID lifecycle
management
Authorization
management
Provisioning
Self-service
ITSM
API
API
std API