Chaque collaborateur de l’entreprise dispose de plusieurs couples identifiant/mot de passe (réseau, Internet, messagerie…) et a besoin de droits d’accès au sein de dizaines d’applications, variables d’un logiciel à l’autre (accès total aux données commerciales, interdiction de lecture de celles de la paye par exemple…).
Il suffit d’imaginer la charge de travail que toutes ces opérations représentent dans une entreprise de plusieurs milliers de salariés. Un seul exemple : combien de temps passe une hot-line interne à réinitialiser les mots de passe oubliés par les utilisateurs, sachant que cela arrive au moins à 15 % d’entre eux en un an ? Réponse : entre cinq et dix minutes. Pour une entreprise de mille collaborateurs, cela représente presque un mois-homme de travail !
Gérer tous ces éléments, au jour le jour, se révèle donc vite fastidieux. Surtout que les flux sont tendus : un nouveau collaborateur recruté a besoin de ses droits d’accès dès son arrivée ; un autre, quittant la société, ne doit plus en disposer mais a l’obligation de terminer son travail.
Et une mutation ou une promotion impliquent des modifications dans les droits affectés à une personne, voire dans sa localisation physique. Le problème se complique dès lors que l’entreprise est multi-site et internationalisée.
L’objectif est d’automatiser au maximum la « gestion du cycle de vie du salarié ». Il s’agit donc de prendre en compte, en un minimum d’interventions humaines, l’impact sur le système d’information de toute modification de la situation d’un salarié, y compris son entrée (« naissance ») et sa sortie (« mort ») de l’entreprise.
« Un système de gestion des identités et des droits d’accès permet d’alléger la charge de travail de l’équipe de “ support informatique ” (administration, help-desk). Cet allègement résulte d’une part de l’automatisation de tâches de gestion de comptes (réduction du nombre d’administrateurs) et d’autre part de la diminution du nombre d’appels d’utilisateurs (perte ou oubli de nombreux mots de passe, relance de demandes d’accès, etc. », souligne le Clusif (Club de la sécurité de l’information français).
L’identité est une information qui est associée à un individu, dans un contexte particulier d’accès à une ressource. La plupart des entreprises pratiquent déjà la gestion des identités, mais sous une forme plutôt artisanale, c’est-à-dire essentiellement cloisonnée, sans vision d’ensemble et, souvent, de façon manuelle.
Cette situation devient délicate dans un contexte où la mobilité devient la norme, et où l’ouverture de systèmes aux partenaires et aux clients renforce le besoin de gestion des identités. Et les exigences de traçabilité des accès aux systèmes d’information plaident pour la mise en œuvre d’une politique de gestion des identités. Celle-ci recouvre trois domaines : la gestion des identités proprement dite, le contrôle des accès aux applications et l’authentification des utilisateurs.
La gestion des identités associe à un utilisateur un certain nombre de paramètres, notamment son identité, son organisation ou service de référence, ainsi que les éléments de sécurité qui lui sont associés (identifiant et mot de passe). La difficulté majeure pour gérer ces éléments réside dans la mise à jour des informations dans les bases de données, surtout pour les mouvements de personnel en entrées-sorties (démissions, licenciements/recrutements).
Le contrôle des accès aux applications et informations fait appel à des solutions technologiques classiques de type logicielles. La difficulté réside dans la bonne prise en compte du périmètre (sécurise-t-on bien toutes les applications ?) et dans la taille de la matrice applications/droits, en fonction des familles de profils d’utilisateurs et de la complexité des règles définies par la politique d’entreprise.
L’authentification des utilisateurs doit être modulable, depuis la simple fonction de contrôle d’accès par mot de passe associé à un identifiant jusqu’aux puissants (et coûteux) dispositifs biométriques (techniques qui reposent sur le contrôle des caractéristiques physiques d’un individu, par exemple les empreintes digitales, la rétine de l’œil…), en passant par des approches intermédiaires d’authentification (par exemple avec des cartes à puce ou dispositifs de Single Sign On, systèmes de mots de passe uniques).
- Une politique de gestion des identités combine quatre éléments :
- une politique d’entreprise, qui définit l’affectation des droits et choisi les standards ;
- des process, tels que l’audit, le workflow et l’automatisation ;
- des ressources humaines, pour l’administration du système ;
- des outils, par exemple de e-provisioning, de gestion de droits d’accès, d’annuaire et de méta-annuaires.
1. Ne surestimez-pas la phase de nettoyage des données
Cette étape est toujours plus complexe que prévu, par exemple pour la gestion des homonymes et la correction des erreurs. Ne négligez surtout pas la gestion du changement des habitudes des utilisateurs.
2. Choisissez des solutions techniques flexibles et éprouvées
Les solutions retenues doivent respecter les standards. Si vous faites appel à des consultants, vérifiez que les méthodologies qu’ils utilisent sont éprouvées et qu’ils disposent de l’expertise suffisante en matière de produits, notamment pour la compréhension des fonctionnalités et l’implémentation. Etudiez les fonctionnalités des différentes solutions technologiques à mettre en oeuvre (voir encadré page ci-contre) et minimisez la dépendance technologique à l’égard d’un éditeur de logiciel.
3. Evaluez précisément les réductions de coûts
Les réductions de coûts sont liées à la mise en œuvre d’un processus de gestion des identités, en prenant en compte les gains directs (réduction de l’hétérogénéité des solutions techniques existantes en matière de contrôle d’accès, baisse des coûts de support…) et indirects (temps gagné sur la gestion et la maintenance des contrôle d’accès, sécurité accrue des applications, meilleure productivité…).
4. Centralisez la gestion des droits
Mettez en place une structure centralisée de gestion des droits, des identités et des contrôles d’accès. En principe, cette entité relève de la responsabilité du responsable sécurité des systèmes d’information, pilotée par la DSI.
5. Quantifiez les différents aspects du projet
Justifiez chaque projet de gestion des identités avec des indicateurs, par exemple sur les volumes de transactions. Distinguez la gestion des identités en entreprise (identification, authentification, habilitation, autorisation, problématique de traçabilité), celle des individus et celle des personnes qui accèdent au système d’information depuis l’extérieur de l’entreprise (clients, fournisseurs, organismes institutionnels…).
6. Auditez régulièrement les besoins
Effectuez un audit rapide de la situation dans votre entreprise, sachant qu’un utilisateur moyen a besoin en moyenne d’une dizaine d’authentifiants pour accéder aux applications et ressources du système d’information. Définissez les différents propriétaires des données : la DRH, les directions métiers, la DSI, les chefs de projet.
7. Gérez le tryptique identification/autorisation/authentification.
Le premier élément (identification) relève de la responsabilité des directions métiers, qui savent qui doit être autorisé à accéder à quelle ressource. Les deux autres éléments concernent plutôt la direction des systèmes d’information, pour gérer techniquement les habilitations définies par les directions métiers.
8. Formalisez le processus de gestion des données
Cette formalisation s’effectue depuis la constitution des fichiers de base contenant les informations nominatives jusqu’aux principes de mises à jour et de désactivation des profils. Etablissez des tableaux de bord pour synthétiser les flux d’informations (nombre de créations d’identités, de désactivation, volume d’activités…).
9. Associez l’ensemble des acteurs concernés à la démarche
Sont concernés par un projet de gestion des identités : l’utilisateur, l’administrateur du workflow, l’administrateur système et/ou services, l’administrateur de mots de passe, l’approbateur métier, l’approbateur technique, le propriétaire fonctionnel, les gestionnaires des ressources humaines internes et externes (DRH, gestionnaires de contrats, etc.), l’auditeur et le responsable de la sécurité des systèmes d’information.
10. Privilégiez une solution globale sur la base d’une infrastructure centralisée avec une gestion fonctionnelle distribuée.
Cette solution doit intégrer, au minimum, les fonctionnalités suivantes : la gestion du référentiel central des utilisateurs (alimentation à partir de référentiels utilisateurs sources), la gestion du référentiel central des ressources concernées par la gestion des droits d’accès, la gestion des habilitations (gestion des profils, rôles, gestion des utilisateurs, workflow), le provisioning (synchronisation des référentiels cibles de sécurité), l’administration décentralisée, l’auto-administration, gestion par les utilisateurs des mots de passe et des données privées, l’audit et le reporting, le contrôle d’accès (authentification, autorisation).
Solutions techniques : les points-clés à vérifier
- la simplicité de l’interface utilisateur
- la facilité de mise à jour des mots de passe
- le management des profils utilisateurs
- le degré de granularité des contrôles d’accès
- l’utilisation de standards
- la facilité d’administration
- le coût des licences, des upgrades et du support
- la facilité de déploiement
- la sauvegarde automatique des informations
- le support de plates-formes hétérogènes
- la traçabilité des modifications
- les mécanismes de protection de l’intégrité des informations