L’IAM (gestion des identités et des accès) encadre les usages IT des salariés, partenaires et clients où qu’ils se connectent, dans le respect des exigences de sécurité. Sa mise en place est souvent liée à une fuite de données.
Les services d’IAM (Identity and Access Management) vont bien au-delà de l’annuaire d’entreprise. Ils prennent en compte les comportements des utilisateurs du système d’information sur tous leurs terminaux, qu’il s’agisse d’employés, de clients ou même d’objets accédant légitimement aux ressources partagées. En plus des badges d’accès physiques et des codes nécessaires à la téléphonie et aux logiciels informatiques, l’IAM prend en considération l’habilitation aux services en fonction des métiers, des objectifs et des risques propres à chaque entreprise.
Un marché très segmenté
La France est un terroir prolifique en éditeurs spécialisés : Avencis, Brainwave, Evidian (Atos/Bull), Ilex, Memority, Usercube, Wallix comptent parmi ses champions. Les concepteurs nationaux s’opposent aux alternatives allemandes de 8Man, BetaSystems et SAP et aux rivaux américains CA, Dell, ForgeRock, IBM, Oracle, Ping Identity, EMC/RSA et SailPoint.
Le marché IAM reste très segmenté, sans leader qui se détache nettement de ses poursuivants. Du coup, chaque éditeur tend à intégrer plusieurs disciplines pour offrir davantage de fonctionnalités à sa base installée. A côté des fonctionnalités de suivi des accès et des identités, on trouve la gouvernance des habilitations (IAG, Identity and Access Governance), le suivi des comptes à privilèges ou PAM (Privileged Access management), la gestion des accès aux données (DAG, Data Access Management) et le management de la mobilité (EMM, Enterprise Mobility Management). La conséquence de cette convergence encore partielle, c’est que les coûts d’implémentation restent élevés, en dépit du modèle Cloud qui se généralise à présent.
Des luttes de pouvoir se cristallisent aussi au sein des entreprises utilisatrices. « Les directions opérationnelles sont frustrées par le manque de flexibilité de leur DSI. Elles louent alors des machines virtuelles ou démarrent des services SaaS sans en référer à la DSI, en fonction de leur perception d’un bon Cloud. A présent, l’enjeu de l’IT interne consiste à gérer les accès aux infrastructures des prestataires. Les Clouds sont rarement isolés, en lien avec des données de l’ERP ou du CRM, ils créent des ponts de communication attaquables », alerte Philippe Humeau, le directeur général de NBS System, une filiale du groupe Oceanet Technology. Il recommande une tactique en deux temps aux DSI ; maîtriser les usages Cloud et SaaS en diffusant de bonnes pratiques aux branches opérationnelles, et déployer des composants de sécurité simples, efficaces et capables de dialoguer entre eux. Selon lui, la sécurité des environnements hybrides se compose déjà de sept à quatorze couches distinctes.
« Les moyens de protection ne font pas tout, il faut assurer un bon dialogue entre chaque composant de sécurité. »
Philippe Humeau, NBS System
Des besoins de traçabilité
Un incident de sécurité comme une fuite de données privées sert souvent de déclencheur pour démarrer un nouveau projet d’IAM ou d’IAG, d’autant plus lorsqu’on traite avec un opérateur d’importance vitale, tenu de déclarer chaque intrusion.
« Le commissaire aux comptes pose également des questions embarrassantes parfois. Quels sont les informaticiens et les prestataires ayant accès aux données sensibles du système d’information ? Quelle est la procédure de traçabilité des comptes à privilèges mise en œuvre ? », remarque Rémi Fournier, le directeur technique et cofondateur de Synetis, un cabinet de conseil spécialisé dans la transformation et la sécurisation des systèmes d’information d’entreprises. Son entreprise intervient dans plusieurs groupes du CAC40, de la finance et de l’énergie notamment.
Les outils d’IAM, très configurables, requièrent un travail conséquent de personnalisation pour s’adapter à chaque organisation. La solution IAG prend souvent la forme d’une appliance software, facilitant le déploiement de l’application et de son midlleware associé. « La formule fréquemment retenue en France est celle d’une machine virtuelle, déployée et hébergée chez un prestataire. Les clients sont rassurés sur la maintenabilité de la solution. Plus rare, l’appliance pré-installée sur un matériel exige, pour sa part, un technicien pour être correctement câblée dans le datacenter, puis un administrateur pour l’exploiter sur site. On rencontre davantage cette formule sur les fonctions de pare-feu et de prévention d’intrusions que sur l’IAM », observe-t-il.
Un critère d’évaluation de l’entreprise
Prendre en compte la gestion des identités et des habilitations peut rassurer les clients et les partenaires : « Je crois que la gestion IAM a de beaux jours devant elle, estime Renaud Templier, le directeur de l’activité risques et sécurité de Devoteam. La sécurité informatique devient un critère d’évaluation de l’entreprise. Le suivi des identités numériques convient bien à une logique de transformation digitale, lorsque les accès doivent être sécurisés sur tout terminal, partout où l’on se connecte. » Son entité, composée de 80 experts, est en contact avec les décideurs métiers et les professionnels de l’informatique. Sans aller jusqu’aux services managés, elle couvre des missions d’audit de sécurité, d’analyse des risques, de résolution d’incidents et de gestion de crise au sens large. Comment l’entreprise utilisatrice d’un logiciel IAM parvient-elle à rassurer ses utilisateurs de produits et de services ? « Dans le cadre d’une approche d’amélioration continue, on se focalise sur quelques fonctions seulement, sur la gestion de comptes à privilèges et la sécurisation des annuaires, avec des missions d’expertise et de consulting pour savoir précisément qui fait quoi sur l’infrastructure IT », illustre-t-il.
L’expert travaille ainsi avec une banque sur l’authentification par selfie de l’utilisateur, afin que ce dernier puisse se connecter de façon sécurisée où qu’il soit. « Sans une bonne gestion des identités numériques, on ne peut pas sécuriser un processus métier dans son ensemble. C’est un axe majeur sur lequel il faut se concentrer », recommande-t-il.
Il contribue, par ailleurs, à élaborer un référentiel de cybersécurité pour les véhicules connectés, avec Bureau Veritas. Ce cadre de conception doit faciliter le développement d’applications robustes, embarquant la sécurité dès leur conception, via des standards d’analyse de risques et de tests en particulier.
« Sans une bonne gestion des identités numériques, on ne peut pas sécuriser un processus métier dans son ensemble. »
Renaud Templier, Devoteam
Des projets traités séparément
« Dans les projets actuels, le tronc commun concerne la maîtrise des identités. La difficulté réside dans la gestion des mouvements du personnel. Il faut bien définir les rôles et les responsabilités de chacun pour que les processus tiennent dans le temps », préconise Rémi Fournier chez Synetis. En cas de réorganisation de l’entreprise, ou quelques mois après la nomination d’un nouveau DRH, les responsabilités évoluent, les processus sont révisés ainsi que l’habilitation des salariés, des partenaires ou des clients. Par conséquent, « le responsable du process doit être parfaitement identifié, de façon pérenne. Selon l’entreprise, c’est le Directeur Général adjoint, le DSI, le RSSI ou un contrôleur interne. Le projet fonctionne mieux avec un responsable choisi au-delà de la DSI », conseille-t-il.
Les projets d’IAG et de PAM sont traités séparément. Si les utilisateurs appellent de leurs vœux la convergence des suivis d’identités et des habilitations, en revanche, les éditeurs ne sont pas tous prêts. « D’une part, il y a des contraintes technologiques et, d’autre part, les projets suivent des cycles de décision très longs ; pris globalement, ils risquent d’être encore plus longs à démarrer », note Rémi Fournier.
Pour ce qui concerne la fédération d’identités numériques, il faut s’en remettre à un standard tel qu’OpenID Connect ou OAuth2 pour rester indépendant d’un fournisseur. L’initiative NAPPS (Native Applications) tente d’apporter une identification unique (SSO) aux services mobiles. Mais, à présent, « Google s’en détache pour soutenir son propre framework sous Android », observe-t-il.
Les connecteurs disponibles, les moteurs de règles, de séparation des tâches, de reporting et de tableaux de bord forment donc les principaux critères de différenciation entre les solutions. En pratique, elles doivent fournir aux métiers « des rapports propres, parlants pour chacun, avec des données bien structurées ».
L’ergonomie des interfaces s’avère importante pour la gestion des rôles comme pour le portail d’applications en self-service. L’utilisateur final y sélectionne une application référencée et, après autorisation de son manager, celle-ci est déployée sur son poste de travail ; elle devient alors accessible avec l’habilitation correspondant uniquement à ses activités.
« Les interfaces sont plus ergonomiques qu’il y a cinq ans, mais il reste encore beaucoup à faire. C’est pourquoi nous développons des interactions spécifiques en langage HTML5, avec le framework AngularJS parfois pour intégrer au portail des fonctionnalités B2C », complète Rémi Fournier.
Soigner la séparation des tâches
Plusieurs particularités apparaissent selon les activités de l’entreprise. « Dans le domaine bancaire, on doit soigner la séparation des tâches entre les systèmes finance et trading », explique Rémi Fournier.
L’IAM s’avère précieux pour provisionner des comptes d’accès. Mais, à présent, l’entreprise recherche une cartographie complète des habilitations. C’est là qu’interviennent les solutions d’IAG de gouvernance et d’administration des identités, conçues pour suivre leur évolution dans le temps. Elles fournissent des interfaces orientées métiers et procurent une visibilité sur l’ensemble du système d’informations, y compris sur les comptes non utilisés ou orphelins, qui peuvent être mis en évidence.
Les solutions récentes prennent la problématique du SaaS en considération, de plus en plus souvent. On note une volonté de consolider les informations d’habilitation des applications internes, des partenaires, du PaaS et du SaaS. D’où la présence de connecteurs et d’API REST dans ces outils. Ces points d’entrée facilitent la récupération de données des comptes et fournissent les fonctions d’exportation nécessaires.
L’IAG intervient aussi lorsqu’il faut couper les droits de l’utilisateur qui vient de négocier son départ de l’entreprise ; là encore, la consolidation des informations s’avère précieuse. Elle doit inclure, autant que possible, les habilitations de tous les services délivrés en mode SaaS. Les logiciels d’IAM et d’IAG hébergés dans le Cloud commencent à percer en France, malgré les freins de confiance, de localisation du stockage ou de transferts de données à l’étranger, avec des équipes d’administration off-shore.
Gérer les identifiants de partenaires paraît moins sensible. Du coup, ce suivi semble plus facile et plus rapide à externaliser auprès d’un prestataire Cloud : « le modèle B2B encourage les réflexions sur l’automatisation des flux du système d’informations vers une solution packagée de type IDaaS (Identity as a Service) ; une formule Cloud qui évite de gonfler l’infrastructure en interne, mais dont la couverture fonctionnelle reste, à ce jour, plus réduite qu’en interne », conclut Rémi Fournier.
