IDENTITY GOUVERNANCE & ADMINISTRATION​

Savoir qui accède à quoi et pourquoi. L’objectif de la gouvernance des identités et des habilitations tient en une simple expression “le bon droit, à la bonne personne, au bon moment”.

Découlant de ce postulat de départ, il s’agit alors de répondre à différentes questions telles que :

  • Qui sont les utilisateurs du Système d’Information ?
  • Quels sont leurs droits sur le Système d’Information ?
  • Pourquoi ces droits ont-ils été accordés ?
  • Ces droits sont-ils toujours légitimes et conformes ?


La réponse à ces questions nécessite d’aborder la gouvernance des identités et des habilitations selon plusieurs axes :

  • Un axe organisationnel, tenant compte de la taille de l’entreprise, de sa répartition géographique, de son mode de gouvernance…
  • Un axe fonctionnel, lié aux processus internes de l’organisation, aux activités, aux réglementations à respecter…
  • Un axe technique, dépendant de la complexité du Système d’Information, de l’historique de sa construction, d’une éventuelle phase de transition vers le Cloud…

Référentiel centralisé

Un des premiers objectifs de l’IGA est la mise en place de référentiels centralisés et fiables, permettant de diffuser une information de qualité au sein du Système d’Information : Référentiel des identités :
  • Il s’agit de construire un référentiel maître contenant l’ensemble des identités des utilisateurs du Système d’Information, qu’il s’agisse des salariés, des stagiaires, des intérimaires, des prestataires… mais cela peut également concerner les fournisseurs ou partenaires

  • Ce type de référentiel est à même de centraliser d’autres types de données complémentaires, telles que les informations de structure organisationnelle ou de localisation par exemple
Référentiel des comptes et droits : l’objectif est de construire le référentiel des droits théoriques des utilisateurs, permettant de connaître à tout instant les habilitations d’une personne au sein du SI Partage des données de référence : il s’agit de permettre la diffusion et l’utilisation des informations de référence par les autres applications / services composant le SI, cela pouvant être via l’accès au travers d’un protocole type LDAP, d’API exposées ou d’un moteur de synchronisation des données

Cycle de vie des identités

Afin de maintenir à jour le référentiel d’identité, il est primordial de gérer le cycle de vie associé (arrivée, mobilité, départ) au sein de l’organisation.

Cela peut être assuré via :

  • La mise en place de flux de données pour importer les informations depuis un système maître, par exemple le SI RH ;
  • La mise en place de processus fonctionnels pour gérer les différents types de mouvement.

Note : les deux approches peuvent être spécifiques selon les populations ou combinées.
Il s’agit ensuite de provisionner ces informations dans les différents systèmes cibles, avec la création des comptes « utilisateur » par exemple.

Gestion des habilitations

La gestion des habilitations répond à différents besoins :
  • Catalogue de droits / ressources : dans un premier temps, il est nécessaire de définir une liste des habilitations ou ressources disponibles au sein de l’organisation, dans un vocabulaire compréhensible par l’utilisateur final

  • Processus de gestion des demandes : il doit permettre de faire de manière autonome une demande d’accès qui suivra ensuite un processus de validation (il doit également permettre la modification ou la suppression de droits)

  • Modèle de rôles et affectation prédictive : il est possible de constituer un modèle de rôles permettant de construire des ensembles de droits, et de les affecter ou non de manière automatisée aux utilisateurs sur la base de règles

  • Séparation de pouvoirs (ou SoD) : il s’agit de définir des incompatibilités de droits ou de rôles et de mettre en place des règles de détection préventives (au moment d’une demande) ou à posteriori (rapports de contrôle par exemple)

  • Provisioning de droits : enfin, les droits théoriques validés sont provisionnés automatiquement ou manuellement dans les systèmes cibles
Construisez votre
Cybersécurité
avec Synetis !

Gouvernance / Audit et Conformité

Dans l’optique d’auditabilité et de conformité, la gouvernance propose plusieurs approches :
  • Traçabilité et reporting : l’ensemble des actions menées sur les comptes et les droits est tracé, permettant ensuite l’utilisation de rapports standards ou la construction d’un reporting spécifique

  • Gestion des risques : via la définition d’un niveau de risque sur les différents droits disponibles, il est possible de cibler des contrôles sur les utilisateurs à risque

  • Réconciliation des droits réels et des droits théoriques : afin de s’assurer que les droits demandés et approuvés correspondent bien aux droits réels dans les systèmes cibles, il est possible de mettre en place des comparaisons automatiques entre ces deux états

  • Certification des comptes : enfin, pour s’assurer que les droits d’un utilisateur sont toujours en adéquation avec son activité, des campagnes de revalidation régulière des droits sont possibles, par exemple via le responsable hiérarchique ou le propriétaire de la ressource

Self-Service

La gouvernance des identités et des habilitations a enfin un objectif de décentralisation des actes de gestion. Ainsi, il est possible de mettre à disposition de l’utilisateur des interfaces pour :
  • Modifier ou compléter ses données

  • Faire ses demandes d’accès

  • Mettre en place une délégation de responsabilité

  • Gérer de manière autonome son mot de passe (changement et réinitialisation), en mettant également en place des mécanismes de propagation du mot de passe dans les différents systèmes cibles

La Gouvernance des Identités et des Habilitations chez Synetis

  • De nombreux consultants dédiés à la gouvernance des identités et des habilitations avec une expérience moyenne supérieure à 4 ans dans le domaine de l’intégration et 7 ans dans le domaine du conseil et de la maîtrise d’ouvrage

  • 5+ Partenariats actifs avec les acteurs majeurs du marché (IBM, Ilex International, Kleverware, SailPoint, Saviynt) et une réelle expertise avec d’autres éditeurs tels que Brainwave, One Identity, Microsoft, NetIQ, Sun IDM…

  • 30+ Certifications éditeurs acquises

  • 120+ Projets en cours au 01/08/2020 dont 75+ nouveaux projets en 2020 de toutes tailles (de quelques dizaines de jours à plus de 1 000 jours) et de toutes natures (cadrage, AMOA, audit, intégration, TMA, CDS), en engagement de résultat (forfait) ou de moyen (régie)

DAG : Data Access Governance

  • Les documents bureautiques, mais également d’autres formats (PDF, vidéo…) peuvent contenir des données sensibles à protéger, qu’il est nécessaire de classifier avant de gérer et contrôler les autorisations d’accès

  • Dans un premier temps axé sur les systèmes de fichiers internes, il s’agit maintenant d’adresser également la problématique des documents stockés dans le Cloud