SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formation
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Janua
Stédia-consulting
Syndicate
Vendredi 19 Mars 2010
Advertisement
La Gestion d'identité et d'accès Convertir en PDF Version imprimable Suggérer par mail
12-10-2005

Au cœur de la sécurité des systèmes d'information, la gestion et le contrôle des identités et des accès est devenu une des préoccupations majeures pour les directeurs des systèmes d'information.
La vitesse avec laquelle l'entreprise doit s'adapter (fusions, acquisitions, repositionnements sur le cœur de métier, consolidations, externalisations, ...) sur un marché mondial hyperconcurrentiel a imposé le décloisonnement des systèmes d'information.
Pour l'entreprise étendue, les services en réseau ou services web ouvrent la voie à une nouvelle forme d' urbanisation des systèmes d'information capable d'accompagner cette évolution frénétique (Voir l'entreprise en réseau s'expose) .

La gestion des identités des acteurs internes comme externes de cette nouvelle architecture orientée service (SOA) est alors un enjeux majeur, pas uniquement sécuritaire mais aussi organisationnel.

Qui a le droit de faire quoi ? est donc bien la question qui résume cet aspect de la sécurité des systèmes d'information. Préoccupation aujourd'hui revenue au premier plan avec les nouvelles réglementations dont les lois LSF, Sarbanes Oxley, BâleII,...

Image
Source Sun Microsystems

Les attributs de la gestion d'identité reposent donc sur les réponses aux questions suivantes :

  1. Qui êtes vous ? :  Identification
  2. Comment peut-on en être sur ? :  Authentification
  3. Êtes-vous conforme à la politique d'accès ? : Conformité d'Accès ou NAC(*) 
  4. Quels services ou transactions du système d'information avez-vous le droit d'activer ?  :  Habilitation
  5. Ces attributs sont-ils bien protégés ? :  Protection des informations confidentielles et personnelles
  6. Qui a fait quoi  quand et comment ? :  Audit

(*)  Network Accès Control en Anglais: autrement dit : le média (PC, Portable, Mobile, Blackberry....etc) que vous utilisez pour accéder au SI via le réseau (Interne, Internet, Intranet...etc.) est-il conforme aux règles "d'hygiène"  prévues par la politique de sécurité d'accès de l'entreprise (niveau d'OS, de Patchs, d'anti-virus,...etc.)

L'authentification : L'accès au système d'information implique que les utilisateurs justifient leur identité en début de session (et, dans certains cas, en cours de session) en présentant un élément d'authentification. Les techniques actuelles d'authentification reposent sur trois moyens :

  • ce que l'on sait comme, par exemple, les mots de passe ;
  • ce que l'on détient comme, par exemple, les cartes à puce, token ;
  • ce que l'on est, c'est-à-dire une caractéristique personnelle (empreintes digitales, examen du fond de l'oeil, signature dynamique…).

Les nouveaux défis sont donc bien sûr : sécurité, confiance et conformité règlementaire.

Ils doivent aussi composer avec les autres priorités des DSI comme les coûts, la productivité, le renforcement des processus métier et l'alignement du nouveau SI sur les priorités stratégiques de l'entreprise.

en résumé :

La gestion d'identité est au cœur de votre « business », elle conditionne la façon dont votre entreprise interagit en toute sécurité et construit des relations de confiance avec vos clients, partenaires, fournisseurs et vos employés.

elle concerne :

  • Le référencement global des personnes
  • La gestion automatisée des processus liés au cycle de vie des habilitations
  • l'Intégrité des données
  • La Confidentialité
  • La traçabilité
  • La conformité règlementaire (LSF, SOX, Bâle II)

Il existe de nombreuses offres de gestion d'identité matures sur le marché : (source LM I/ Infoworld)
(voir aussi ci-dessous Rubrique Pour aller plus loin : Panorama gestion des accès et des identités)

Editeur Logiciels 
 ASG Entact ID, RadiantOne
 BMC Identity Management Suite
 CA Identity & Access Management Suite
 Courion Enterprise Provisionning Suite
 IBM Tivoli Identity Manager
 Ilex Sign&go (SSO) & Meibo
 Microsoft Identity Integration Server
 Novell Identity Manager
 Sun Sun Java System Identity Manager
 Thor Technologies
 Xellerate
 OracleIdentity Management
 Bull EVIDIAN
 AccessMaster NTG
 HPOpenView Identity Management


Cependant, pour bon nombre d'entreprises, la difficulté n'est pas de déployer le système mais bien le travail organisationnel en amont :
Documenter les pratiques et définir Qui à accès à Quoi ?
SSi-Conseil préconise d'organiser cette démarche autour du modèle RBAC : Accès basé sur les Rôles :
Le Modèle RBAC

Faut-il entreprendre un projet de gestion d'identité ?

La gestion des identités et des accès aux systèmes d’information doit devenir une préoccupation majeure des entreprises, tant pour des raisons de sécurité et de conformité réglementaire que pour des raisons de productivité globale de ses acteurs internes et externes.
Les solutions techniques ainsi que les standards d’interopérabilité existent et ont atteint un niveau de maturité suffisant.
Un des points de passage de la solution technique concerne la généralisation de la gestion des identités et des droits au travers d'annuaires et la fédération des annuaires déjà présents dans un "méta" annuaire approvisionné par les annuaires existants.
Un des points de passage de la solution organisationnelle passe par une bonne gestion des rôles tenus par les acteurs identifiés et non par l'attribution individuelle de droits (voir le modèle RBAC : Role Based Access).
La transversalité organisationnelle d’un projet IAM en constitue la principale difficulté. C’est avant tout une responsabilité de management. Il faut donc positionner un projet de gestion des identités et des accès au niveau d’un apport de valeur pour l’entreprise.
La trajectoire peut passer par un projet d'identification d'accès unique ou SSO, qui à lui seul, permet une rentabilisation rapide des investissements et un support favorable au changement de la part des acteurs de l’entreprise.

SSi-Conseil peut vous accompagner dans cette démarche d'organisation. Car une fois de plus il s'agit avant tout d'impliquer les Métiers de l'entreprise ou de l'organisme dans la définition des droits en liaison avec les process métiers qu'ils sont les seuls à maîtriser et les contraintes nouvelles de conformité réglementaire et de traçabilité (LSF, SOX,...). Il convient donc à terme de sortir cette fonction du giron de l'informatique avec des outils adaptés plus proches du langage des utilisateurs que de celui des informaticiens.

Pour aller plus loin :
CRU: Tout sur LDAP
Point de vue : Clusir Rhône-Alpes :  Point sur les projets IAM  (PDF 956 Ko)
Role Management : Point sur cette approche aux assises de l'IAM 2008 : Article de C.Elise et J.Saiz dans lesouvelles.net
Evolution vers la notion de gouvernance des identités : Article de Jérôme Saiz (sécurityVibes) RIAM 2009.
CLUSIF : Gestion des identités pdf de 63 pages
Les benefices de l'IAM : Cas Sofinco, bilan après 2 ans de projet IAM : article de J. Saiz dans lesnouvelles.net
Le Journal du Net : Dominique Filippone : Panorama gestion des accès et des identités
Dernière mise à jour : ( 02-09-2009 )
< Précédent   Suivant >
[ Retour ]
Copyright 2005-2009 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.