Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Conférence du CLUSIF : l’IAM pierre angulaire de la SSI

octobre 2016 par Marc Jacob

Pour sa nouvelle conférence, le CLUSIF a choisi pour thème « La gestion des accès toujours au cœur de la SSI » afin de faire part de l’état d’avancement des travaux du Groupe de Travail sur l’IAM. Plusieurs RSSI ont accepté de faire part de leurs expériences. Pour tous la mise en place d’un projet d’IAM nécessite du temps, de la communication pour impliquer les différents services en particulier les RH. Pourtant c’est une pierre angulaire de la cybersécurité du fait des demandes de plus en plus pressante des réglementations et dans la perspective du RGDP. En effet, la gestion des accès et des identités offre la traçabilité nécessaire pour répondre aux demandes des auditeurs.

Thierry Chiofalo, membre du CLUSIF, a dressé un rapide état des lieux de l’IAM face aux nouveaux enjeux à l’ère du digital. Elle couvre la gestion des accès et réclame une authentification fiable et la gestion des bons accès. Elle permet de réduire les risques des organismes. En outre, la gestion des accès et des identités répond au besoin de conformité d’autant que les driver législatifs sont de plus en plus nombreux. L’IAM est d’abord un projet d’entreprises qui implique les RH, les RSSI, le contrôle interne, les responsables de services.... Son périmètre est de plus en plus large et inclut tout le personnel, les stagiaires, les sous-traitants, les clients.... Aujourd’hui, l’IAM est confronté aux OiT, au BtoC avec les nouvelles relations avec les clients, aux moyens d’accès physiques.

Sans un bon IAM pas de sécurité

Olivier Morel, a présenté les résultats du Groupe de travail sur la gestion des
accès et des identités du CLUSIF. Ce groupe a débuté ses activités il y a deux
ans. Pour le groupe sans bonne gestion de l’IAM, il ne peut pas y avoir de sécurité. Pourtant, les RSSI n’aime pas s’engager dans ce domaine car le sujet est souvent long à mettre en œuvre et périlleux. Il nécessite moult de persuasion, le sponsor de la direction générale, des budgets importants et surtout beaucoup de temps. L’objectif du CLUSIF était d’éditer un livrable pour présenter une démarche accessible de l’IAM. Ainsi, ce document est présenté sous forme de modules avec des conseils pour chacune des étapes. Ce document devrait être publié d’ici au mois de janvier/février 2017. Après cette première présentation, les retours d’expérience se sont succédés.

Un projet d’IAM abouti mais sur le long terme

Pour ce premier témoin dans le domaine de l’industrie qui a débuté son projet d’IAM il y a 16 ans. Dès les années 1990, un référentiel unique des personnes avait était mis en place. En 1999, un annuaire centralisé a été créé pour les collaborateurs, puis pour les fournisseurs... Cela a pris 10 ans pour le terminer. Ce système évolue sans cesse en fonction de nouveaux profils. Ce référentiel a été aussi élaboré pour gérer les accès physiques. En outres, les fournisseurs ont été inclus dans ce système. Par la suite un référentiel RH Monde a été mis en place en 2010. La dernière étape a concerné tout le personnel extérieur.

Aujourd’hui dans l’IAM est géré l’identité numérique de chaque personne.
Le groupe compte 450.000 identités qui regroupe les prestataires, les
salariés, les fournisseurs, le commerce.... Toutes ces identités sont reliées à des rôles applicatifs et au périmètre qui suit. Actuellement, il y a dans le groupe plus de 17.000 rôles applicatifs. Par ailleurs, des groupes par critères communs ont été mis en place. Cela permet de gérer l’accès aux documents, de listes de diffusion et des droits d’accès dans le groupe. Aujourd’hui il y plus 400.000 groupes logiques.

Les principaux acteurs de l’administrateur des droits sont l’administrateur de
sécurité logique. Puis on trouve les propriétaires de droits applicatifs. En plus
il y a un responsable de sécurité logique. Enfin, au-dessus de ce dernier, il y a un responsable global par direction.

Aujourd’hui, son groupe travail sur les identités des objets connectés que sa
société utilise. Au final après 16 ans. Ce responsable estime qu’il a un processus unique capable de délégué au non informaticien la gestion des identités. Il y a de ce fait une attribution des droits et des accès en une demi-journée, hors le temps de validation par les responsables métiers. Une
traçabilité de toutes les actions sur les droits et les accès a été mise en place ainsi qu’un système unique pour gérer les accès physique et logique.

En revanche, son système qui a déjà 16 ans d’âges, est une technologie
vieillissante, de plus avec les fusions, acquisitions, partenariats... le système s’est complexifié. Il faut être plus agile. Il est nécessaire que son groupe aille vers la fédération des identités. Il faut aussi adapter son modèle d’administration et aller vers plus de self-Services et ainsi, moins de faire appel aux administrateurs. Aujourd’hui, dans tous les projets, il doit y avoir un volet IAM. 
A l’époque de la construction de cette IAM, le RSSI était très charismatique, avec une maîtrise d’ouvrage et d’œuvre qui fonctionnait sur un mode agile. Ce RSSI précise que tout le système a été développé en interne. La difficulté est que le projet dure longtemps et qu’il coûte cher, d’autant qu’il faut sans cesse s’adapte aux évolutions du SI et des besoins.

Le domaine de la santé : vers une gestion dématérialisée de l’IAM

Pour cet autre RSSI, dans le domaine de la santé qui regroupe 110.000 personnes sur 39 sites, le projet d’IAM n’est pas de tout repos. Suite aux attentats récents, il a été décidé de remplacer la carte professionnelle qui est obsolète par une nouvelle durcie. Le choix s’est porté sur une carte ASIP Santé. Il a entraîné une fiabilisation des données avec des travaux de rapprochement avec les organismes professionnels des professionnels de santé comme l’Ordre des Médecins. Au final, après un audit, il apparaît que le niveau des anciennes cartes est insuffisant. La solution d’Evidian est choisie pour donner un accès au SI, aux accès aux locaux, mais aussi aux 39 cantines de l’entreprise. Ainsi, une photo avec un film holographique a été choisie afin de renforcer la sécurité de cette carte. Plusieurs cartes sont émises en fonction des professions médecins, infirmières, autres professionnels et personnel administratif. Un circuit pour obtenir la carte professionnel a été mis en place dans chaque site avec une prise de photo à la dernière étape pour finaliser la carte. Cette carte est durcie en rajoutant aussi le métier qui est déterminé au moment de la prise de photo et de la remise de la carte professionnelle. Depuis fin mars 2016, 60.000 cartes ont été délivrées il en reste un peu moins de la moitié à émettre.

Les processus RH ont dû être adaptés du fait des disfonctionnements sur les accès au SI. La finalité du projet est d’avoir une gestion dématérialisée des accès avec un niveau de sécurité supérieur à celui qui existe aujourd’hui.

IAM et média : la sécurité ne doit pas bloquer les accès rapides

Pour ce spécialiste des média télévisuels un usage important des comptes génériques ont été, dans le passé, monnaie courante. Ce groupe privé n’est pas un OIV, ni régit par SoX, par contre des accidents de sécurité ont eu lieu. De plus, les attaques sur Sony et TV5 monde ont fait prendre conscience de l’importance de déployer une solution d’IAM plus robuste en contenant les comptes génériques. Ces comptes génériques n’avait souvent pas de mots passe ou des mots de passe faibles. L’objectif du projet d’IAM était de tracer l’accès au SI. La suppression des comptes génériques a été réalisée au fur et à mesure. Des accès aux boites mails partagés existaient qui ont été limités. De plus des comptes étaient partagés pour le montage, l’affichage et les postes pour les prestataires par exemple pour les sous-titres, sans compter les comptes de test... L’objectif a été de réduire drastiquement tous ces postes. En zone de montage, il y en général deux monteurs qui travaillent. L’application de montage doit toujours rester ouverte, il doit avoir
un accès direct aux périphériques, travailler en commun avec une seconde personne et bien sûr avoir un accès rapide. Ainsi, il a été choisi de fournir des badges d’authentification afin d’ouvrir les deux postes dont il a besoin. La même session Windows est utilisé, par contre, il est possible de savoir qui est connecté.

Pour la régie du direct les postes doivent être accessibles en temps réel, un utilisateur travaille sur une dizaine de poste en simultané. La solution choisit est de fermer les poste de régie en période de pause. Le responsable de la
régie déverrouille tous les postes en même temps avec un seul badge et verrouille tous les postes à la fin de la session. La solution est aussi débrayable en cas de problème. Plus globalement, tous les postes ont été traités. Un outil de pilotage a été conçu pour suivre tous les comptes génériques et leurs usages.

Au final, les authentifications ont été tracées. Les utilisateurs ont été majoritairement contraints d’utiliser un compte nominatif. Les Badges d’accès physiques ont été utilisés pour l’authentification aux accès logiques. Pour la population qui n’était pas technophile des jetons un éviter la saisie des mots de passe ont été fournis aux utilisateurs.

L’IAM s’intégra-t-elle dans les SOC ?

Laurent Charreyron de PAC a présenté les résultats d’une étude réalisée qui
montrent que ces les applications qui accèdent aux services, la montée de l’Internet des objets... Pour lui il y a 7 fondamentaux :

La complexité des SI
L’identité des utilisateurs est constitué d’un agrégat d’attribut qui évolue de
façon dynamique avec des utilisateurs que l’on connaît moins bien
On est face à des utilisateurs qui ont plusieurs identités et s’identifient avec
différents moyens
Il faut prévoir des Systèmes ouverts
Comment faire pour avoir un niveau de risque accessible
Comment utiliser le Big Data pour aller plus vite pour ouvrir des droits

Par rapport au Cloud qui pour ce qui concerne les accès se limite aujourd’hui au SSO, il va falloir plus d’ouverture avec une notion d’As a Service.
Ainsi, le provisionning va sans doute être remis en cause pour passer dans le Cloud.
La re-certification risque aussi d’être difficile à tenir dans le futur. On va vers une convergence entre l’IAM et le CRM afin de fluidifier le parcours client, mais aussi de gérer les données clients tant pour générer du business tout en répondant aux exigences de conformité. Enfin, l’IAM va s’intégrer dans la sécurité pour détecter les usages anormaux des utilisateurs par l’observation des rôles. L’IAM du futur va sans doute s’intégrer dans les SOC.

Comment aujourd’hui convaincre les directions d’investir dans l’IAM. En Premier lieu il va falloir montrer que l’identité va permettre d’avoir une conformité by design.

L’IAM pour répondre aux demandes des audits

La conférence s’est conclu par une table ronde animée par Henri Codron à la laquelle participait Amélie Paget, juriste. Selon elle, le déploiement d’une solution de gestion des accès, nécessite d’informer les salariés que des traces vont être collectées afin de répondre aux obligations issues de la loi Informatique et Liberté mais aussi du futur RGDP. Sans compter bien sûr la déclaration à la CNIL.
Quant au Cloud, elle rappelle, que son usage doit être intégré dans la Charte
Informatique. Quant à l’utilisation de la fédération des identités, un protocole
doit être mis en place sur la responsabilité des deux prestataires entre le
fournisseur de Cloud et son client. En outre, elle rappelle que la directive NIS inclue des clauses en ce domaine. Pour ce RSSI du domaine bancaire, l’IAM a été abordé par le problème de la Compliance. Selon lui, la gouvernance est au centre du déploiement de l’IAM. Il faut bien sûr, impliquer les RH et les métiers et expliquer l’importance de l’IAM. Suite à une expression de besoin forte, un produit a été choisi qui est en cours de déploiement dans son établissement. Pour lui, un projet d’IAM doit être l’occasion de revoir les profils.

Cet autre RSSI remarque que jusqu’à présent la gestion des accès
physique et logique était séparé. Aujourd’hui, il travaille sur un dénominateur
commun qui est l’identité et qui permet de gérer les deux de concerts.

Pour cet autre RSSI du monde de l’industrie les prémices de remonter d’alerte de comportement déviant sont mis en place à partir du système d’IAM. Le projet est en cours, même s’il la société a les informations, la difficulté est d’analyser les logs et les traiter.

Tous ont conclut cette conférence en désignant l’IAM comme étant un bon outil pour répondre aux questions des auditeurs.


Voir les articles précédents

    

Voir les articles suivants