5. Phase 1 - Ere du provisioning
Multiplicité des comptes et des utilisateurs
Hétérogénéité des applications (Mainframe ,SAP,
WEB ,..)
Multiplicité des référentiels
Multiplicité des mots de passe
Nouvel
Employ
é
HR
Base
de données
Identité
Génération de
droits
Soumission au
Dept.Informatique
Générer une
demande
d’accès
O
PR
AP
Ressources
autorisées
E
UV
Règles
Histo
rique
En cours
d’approbation
1
jour
1
jour
8 jours
5 jours
= 15 jours!
6. Phase 1 - Approche Technique
►
Par quoi on commence ?
SSO
Annuaire et meta Annuaire
Provisionning ,
Gestion des mots de passe (self service)
►
Acheter une suite ou best of breed
►
Comment Impliquer les RH dans les processus de
provisioning automatique.
►
C’est cher! comment trouver du ROI ?
7. PHASE 2: Approche conseil
QUI JE SUIS ET CE QUE JE FAIS
DETERMINE LES ACCES DONT
J’AI BESOIN POUR TRAVAILLER
8. Le modèle RBAC: C’est la que ….
Ressources
Rôle métier
Rôle applicatif
Rôle métier
Rôle applicatif
Rôle métier
Des rôles fonctionnels correspondant aux métiers de l’entreprise sont définis
Chaque rôle métier donne le droit à n rôles applicatif
A chaque utilisateur est associé n rôles métier
9. Phase 3 : Approche métier
►
Redonner la main aux métiers
Interface intuitive
Intégrer les processus de l’entreprise
Affectation des droits par profils métiers +
catalogue
►
Assurer le respect des réglementations
• Muraille de chine
• Séparation de pouvoir
• Re-certification périodique
Fournir de la traçabilité et du reporting
12. LES ENJEUX DES RSSI
OUVRIR SON « SI » POUR
ACCOMPAGNER LES ENJEUX ET
LES INITIATIVES DES METIERS
EN GARANTISSANT LE BON
NIVEAU DE SECURITE
13. ENJEU : OUVERTURE DU SI
►
Organisationnel
Télétravail
Filiale
Fusion
Nomades
Pandémie
►
Commerciaux
Services en ligne
Partenaires
Fournisseurs
14. LA CIBLE
►
Faire evoluer son modèle de sécurité :
Accompagner les metiers
Faire face aux nouveaux flux
Passer du modèle de Vauban au modèle Aéroportuaire
Atheos – Présentation Data Loss Prevention
15. POURQUOI ?
Accès ouvert à tous internes et
externes (voyageur, membre de
compagnie aérienne, …)
Niveau de contrôle dépendant des
zones (ressources) à accéder et du
profil des accédants (piste, pilote, ...)
Modèle de confiance
Gestion des flux adaptée a la
volumétrie
Mise en quarantaine
Gestion des bagages (bon bagage
dans le bon avion)
16. LES CHANTIERS A METTRE EN OEUVRE
►
Authentification et contrôle d’accès
Adapter les outils d’authentification
Retailler son réseau pour faire face a l’arrivée de nouveaux
flux de personnes
Valider sa perméabilité (test d’intrusion)
Cercle de confiance
►
Protéger l’information en fonction des enjeux métiers
Bulles de sécurité
Fuite de l’information ( DLP, DRM , chiffrement,..)
Renforcer la sécurité des applications et des serveurs
Gérer les habilitations
►
Contrôler, Tracer et Prouver
18. Organiser par services: SAS
Services IAM
Données de Références
Gérer les Identités
Sémantique
« Construction des référentiels et
« Construction des référentiels et
rationalisation des processus »
rationalisation des processus »
« Provisionning des ressources matérielles»
« Provisionning des ressources matérielles»
Gérer les Authentifiants
« Procédures, règles, gestion des secrets »
« Procédures, règles, gestion des secrets »
Gérer les droits d’accès
« Gestion des habilitations SI »
« Gestion des habilitations SI »
Auditer
Publier
Ident/Authent Unique
Mot de Passe
Définition
de Rôles
PKI
Modèle
Métier
SSO
Stratégie
Sécurité
Remontée d’Alerte Tableaux de bord
« Communiquer autour des identités et organisations »
« Communiquer autour des identités et organisations »
Fonctions Transverses IAM
Fédération
Pages
Blanches
Pages
Jaunes
WORKFLOW
Cadre Commun
d’Interopérabilité
TRACABILITE
Circuit de Validation
Circuit de Validation
Cycle de Vie
Cycle de Vie
Processus de Délégation
Processus de Délégation
Règles, Principes,
Règles, Principes,
Organisation, Procédures,
Organisation, Procédures,
…
…
Urbanisme et architecture
Urbanisme et architecture
Présentation société ATHEOS – 28/06/07
Historisation
Historisation
Piste d’audit
Piste d’audit
Définition des Rôles
Création
Ressource / comptes
Description des localisations et structures
Description des localisations et structures
Processus
Enrôlement
Référentiels des
Identités
Allouer/Désallouer des Ressources
Supprression
Ressource / comptes
Catalogues des Applications et des
Ressources
« Provisionning des comptes »
« Provisionning des comptes »
Référentiels des Identifiants et des
secrets
Gérer les Comptes Utilisateurs
Attributs
Appartenance
Organisation
19. QUELLE DÉMARCHE ADOPTER ?
►
Opter pour une démarche progressive et pragmatique
Accompagnement fonctionnel
Pilotage et Mise en œuvre
technique
Chantier organisationnel
Démontrer la solution
Faciliter la communication
Débuter la conduite du changement
Définir un périmètre
Analyser l’existant
Définir les objectifs
Définition d’un plan projet
Atheos – Présentation Data Loss Prevention
19
22. 22
Investissement d’IBM dans la Sécurité
Objectif : couverture du marché de la
sécurité de bout en bout
$1.5 Billion security spend in 2008
24 Juin 2009
Page 22
24. 24
Gestion des Identités et des habilitations
Tivoli Identity Manager
Solution globale des
utilisateurs et comptes
INDIVIDUS
LDAP/
HR System
Gestion des mots de passe
Basé sur la notion de rôles
Détection de comptes nonconformes
Application des politiques de
sécurité
•Rôles
•Règles
•Workflow
Rapports et tableaux de bords
Accès
Web
Cycle d’approbation intégré
Délégation fonctionnelle ou
géographique
Utilisation des standards du
marché (LDAP, HTTP, SSL,
DSMLv2,..)
Très grand nombre
d’adaptateurs bi-directionnels
Ressources
Référentiel
D’identifiants
•
•
•
•
•
Administration
Demande d’accès
Approbation
Status
Self-service
e-Provisionning
Serveur
Serveur
Identity
Identity
Manager
Manager
Création
Modification
Suspension
Suppression
Audit
Réconciliation
Des droits utilisateurs
Solution sans agent
24 Juin 2009
Page 24
25. Single Sign On d’entreprise : sécurité & productivité
25
Tivoli Access
Manager for eSSO
SSO vers tous types
d’applications
(tn3270, client lourd,
…)
Auto dépannage
pour mot de passe
Authentification
forte (support de
token , carte à
puces,..)
Intégration avec
ITIM et ITAM
Gestion des
sessions inactives ,
suspension
automatiques,..
Rapports
d’utilisation et de
connexion
ESSO, Automatisation et Workflow
& Gestion du contexte utilisateur
Two-Factor Authentication &
Traçabilité des accès
Login rapide & Accès à tout type
d’application
Identité centralisée & Gestion des
polices & Audit
Ne requiert aucune modifications
Gestion de la conformité
24 Juin 2009
Page 25
26. 26
Exemple d’utilisation – Accès à une nouvelle application
+
Création par le
HelpDesk
+
Mail au
Manager
Self-Service
R
T
EC
EJ
Approbation
par le
Manager
Gestion par
TIM
+
Mails
TSIEM
TAM eSSO
24 Juin 2009
Page 26
30. Contexte (1/2)
►
Secteur d’Activité :
Grande Distribution
►
Volumétrie :
Très importante - Plus de 100 000 utilisateurs
►
Contexte International
►
Mixité des technologies
►
Planning Ambitieux
31. Contexte (2/2)
►
S’inscrire dans une démarche globale de gestion des risques
Urbanisation du système d’information
Gestion de référentiels centraux (Identités, Ressources, Comptes)
Diminution des
habilitations
couts
récurrents
sur
l’administration
des
Mise en œuvre de Self Service (PJ/PB, Organigramme, Password, …)
Optimisation des SLA
Administration décentralisée
Maitrise des accès et de leur conformité
Amélioration des fonctions d’audit, Reporting
Assurer de la traçabilité
►
Evolution de ces Objectifs dans le Temps
32. Des Objectifs Ambitieux
►
Gestion des Identités
Maitriser le cycle de vie des identités sur le SI
Définir et couvrir toutes les typologies d’accédants
S’interfacer avec les systèmes existants (RH, …)
►
Gestion des Habilitations
Gestion combinée par profils métiers et par ressources
Supprimer la rupture de processus Identités / Habilitations
►
Gestion des Accès
Fournir des fonctionnalités d’authentification unique (SSO)
S’appuyer sur des supports physiques
Renforcer les mécanismes d’authentification
►
Service de confiance numérique
Intégrer une infrastructure de confiance (PKI)
Lier le processus Identités / Habilitations / Accès Logique / Accès Physique
Offrir de nouveaux services (signature électronique, horodatage par exemple)
34. Lotissement
Population
Internationnal
Phase 2
WF Habilitations
Profils Métiers
Audit
SSO
Authentification Forte
Pages Jaunes/Blanches
Badge Unique
Fonctionnalités
Ressources
WF Identités
Autres Applications
Référentiels Centraux
Applications Métiers.
Pilote
Phase 1
Socle Technique
France
35. Facteurs Clés de Réussite
►
Ne pas sous estimer les phases fonctionnelles :
Identifier en phase préparatoire les chantiers fonctionnels
Analyse et spécification des processus de l’entreprise (identités, organisation,
habilitations, rationalisation des profils métiers …)
Communiquer régulièrement et mener la conduite du changement
►
Rester pragmatique :
Pas de révolution
Répondre aux principaux enjeux en priorités
Eviter les effets tunnels en construisant des lots indépendants
►
La bonne organisation projet :
Services impactés
Chef de projet moteur
Désigner un sponsor fort