Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
TOOLS4EVER IDENTITY AND ACCESS MANAGEMENTUNE TRANSITION ETAPE PAR ETAPE, DE A LA REALISATION
2
TABLES DES MATIERES TABLES DES MATIERES ........................................................................................................................................ 2
SYNTHÈSE .......................................................................................................................................................... 3
1. INTRODUCTION ........................................................................................................................................... 5
1.1 DEFINITION DE LA GESTION DES IDENTITES ........................................................................................................... 6
2. LA SOLUTION IAM DE TOOLS4EVER ............................................................................................................. 7
2.1 GENERALITES .................................................................................................................................................. 7
2.2 ORGANISATION ............................................................................................................................................... 8
2.3 SYSTEME RH, DATA WAREHOUSE OU DONNEES SOURCE .......................................................................................... 8
2.4 PROVISIONING ................................................................................................................................................ 8
2.5 WORKFLOW ET SELF‐SERVICE ............................................................................................................................. 9
2.6 GOUVERNANCE DES DROITS D’ACCES ................................................................................................................. 12
2.6.1 Analyse des rôles : collecte, mise en corrélation et analyse ......................................................... 14
2.6.2 Conception des rôles...................................................................................................................... 15
2.6.3 Gestion active des rôles ................................................................................................................. 15
2.7 AUTHENTIFICATION ....................................................................................................................................... 16
2.8 CONTROLE DES ACCES .................................................................................................................................... 18
3. QUELS SONT LES ATOUTS DISTINCTIFS DE LA SOLUTION IAM DE TOOLS4EVER? .......................................... 20
3.1 METHODE D’IMPLEMENTATION PAR PHASES ....................................................................................................... 20
3.2 UNE GAMME COMPLETE DE CONNECTEURS ......................................................................................................... 20
3.3 UN GAMME DE SOLUTIONS DE BOUT EN BOUT ..................................................................................................... 21
3.4 EXTENSIBILITE ............................................................................................................................................... 21
CONCLUSION .................................................................................................................................................... 22
3
SYNTHÈSE Les solutions IAM (Identity & Access Management ‐ Gestion des Identités et des Accès) sont de plus en utilisées par
les organisations. En effet, en se projetant dans l’avenir et en prenant du recul sur leur situation, elles ont pris
conscience de la nécessité de recourir à ce type de solutions, si elles souhaitent réduire leurs dépenses, garantir la
sécurité informatique et dynamiser l’innovation. D'un point de vue technique, les facteurs à prendre en compte
avant de mettre en place une solution IAM sont les infrastructures informatiques de plus en plus complexes,
notamment avec l’apparition des applications du Cloud, le fait de devoir gérer les utilisateurs qui accèdent au réseau
de l’entreprise via leurs propres appareils (BYOD ‐Bring Your Own Device) et le développement des environnements
virtuels. Par ailleurs, les dispositions législatives et réglementaires en vigueur strictes (HIPAA, SOX, Confidentialité
des données médicales…) sont également des facteurs importants à prendre en compte.
Selon la définition de Tools4ever, l'IAM est la technologie permettant de gérer l’identité et les droits d'accès des
utilisateurs sur différents systèmes et plates‐formes. La suite IAM de Tools4ever couvre tous les aspects qui, selon
Gartner (Magic Quadrant pour l’Administration & le Provisioning des utilisateurs et Magic Quadrant pour la
Gouvernance des Identités et des Accès) sont représentatifs d’une solution IAM. Les éléments constitutifs d’une
solution IAM selon Tools4ever sont les suivants : La gestion des authentifications (contrôle des identités), la gestion
des autorisations (gestion des droits d’accès), ainsi que les contrôles et les audits (reporting sur les actions effectuées
sur le réseau à des fins d’audit).
En implémentant une solution IAM, les organisations passent par différentes phases d’avancement eu égard à la
professionnalisation de la gestion des accès. Pour que cette mise en œuvre s’opère dans de bonnes conditions,
Tools4ever conseille de déployer la solution IAM étape par étape. Cette approche permet aux organisations de
répartir l'investissement de manière progressive sur une période plus longue et de se familiariser avec les nouveaux
processus au fil des phases d'implémentation.
La solution IAM est composée de différentes procédures correspondant aux étapes que Tools4ever utilise lors du déploiement de sa solution. Ces procédures/étapes sont les suivantes (ordre non spécifique) : Provisioning/gestion des utilisateurs :
À ce stade, tous les utilisateurs, leurs droits d’accès sont stockés de manière centralisée dans un enregistrement
source. Grâce à ces données (éventuellement modifiées) de l’enregistrement source, il est possible d'octroyer ou de
supprimer automatiquement les droits d’accès de certains utilisateurs. Cela permet d'éviter que d'anciens
collaborateurs puissent accéder au réseau de l'entreprise sans autorisation.
Gestion du workflow et self‐service :
Ces fonctionnalités permettent aux collaborateurs d'effectuer des demandes de modification et de les répercuter
dans le système IAM via une interface web. Une fois approuvées par un responsable ou une autre ressource
habilitée (ex : le License manager), les demandes de modification sont automatiquement traitées et mises en place
au sein de l'infrastructure informatique. Cela permet d’optimiser le processus de gestion des utilisateurs, de
consigner et de tracer toutes les opérations effectuées sur le système.
4
Gouvernance des accès (Access Governance) :
Cette fonctionnalité garantit que les collaborateurs n'ont accès qu'aux applications et qu’aux éléments dont ils ont
besoin pour mener à bien leurs tâches. De plus, le fait que les utilisateurs disposent toujours de manière directe et
simple aux autorisations adéquates fait que les audits ne sont plus une source d’inquiétude.
Authentification :
Tools4ever propose diverses solutions permettant aux organisations de résoudre différentes problématiques
d’authentification. Elles regroupent les toutes dernières méthodes d'authentification (authentification à deux
facteurs et portail SSO), ainsi que les méthodes traditionnelles (ex : les combinaisons identifiant / mot de passe) et
comprennent le Single Sign On, la réinitialisation des mots de passe en self‐service (Self‐Service Reset Password
Management ‐ SSRPM), le module prenant en charge la complexité des mots de passe (Password Complexity
Manager ‐ PCM) et le module de synchronisation des mots de passe (Password Synchronization Manager ‐ PSM).
Contrôle des droits d’accès :
Grâce à ce module, le dispositif IAM de Tools4ever permet de contrôler et de surveiller les opérations effectuées
par les collaborateurs sur le réseau. Il permet notamment de savoir qui a supprimé, consulté ou déplacé tel ou tel
fichier à un moment donné, ou de déterminer quels collaborateurs ont accès à un dossier partagé sur le réseau.
Tools4ever propose la solution la plus rapide et la plus simple en termes de contrôle des accès et de gestion de la
sécurité.
Le propre d’une solution IAM novatrice est d’aider les entreprises à contrôler les identités et les droits d’accès
associés à leurs réseaux informatiques complexes et à se mettre en conformité avec les législations et les
réglementations strictes. Tools4ever se distingue de ses concurrents grâce à sa méthode d’implémentation par
phases caractérisée par un déploiement et une intégration aux méthodes de travail de l’entreprise étape par étape.
L'implémentation peut être réalisée dans un délai relativement court, qui se compte en jours ou en semaines tout
au plus, mais son assimilation à proprement dit au sein de l'organisation demande généralement de 3 à 6 mois par
étape.
Tools4ever développe tous ses logiciels en interne, ils ne sont pas issus de fusions‐acquisitions, pour ensuite être
réintégrés dans le portefeuille de produits de la société. La solution IAM de Tools4ever convient aussi bien aux
structures devant gérer des millions de comptes utilisateurs, qu’aux petites et moyennes structures à partir de
300 employés. De nombreuses organisations font déjà confiance aux solutions IAM de Tools4ever et avec de loin le
plus grand nombre d'implémentations à son actif, Tools4ever un acteur incontournable du marché.
5
1. INTRODUCTION Récemment encore, alors que les départements informatiques décidaient des méthodes de travail des employés
dans un réseau extrêmement cloisonné (DMZ) avec une variété très pauvre d'appareils (ordinateurs portables,
postes de travail et « clients légers »), les utilisateurs finaux réclament à l’heure actuelle toujours plus de flexibilité.
Ils souhaitent en effet accéder aux systèmes, aux applications et aux informations de l'entreprise depuis n’importe
quelle localisation et avec tous types d’appareils (BYOD). En raison d'une demande de flexibilité accrûe de la main‐
d'œuvre (travailleurs freelance, intérimaires, employés temporaires, consultants externes) et de l'intégration de la
chaîne logistique, de plus en plus d’utilisateurs ont besoin d’accéder au réseau de l'entreprise, y compris des
personnes ne faisant pas partie de ses effectifs.
Par ailleurs, de récentes avancées, avec notamment l’émergence des solutions de Cloud computing, du BYOD, de la
virtualisation et de la fédération, font que les infrastructures informatiques se complexifient, alors qu’en parallèle la
législation et la réglementation relatives à la sécurité des informations de l'entreprise deviennent de plus en plus
strictes au fil du temps. Les pouvoirs publics quant à eux, fixent des exigences toujours plus élevées, tandis qu’un
nombre croissant d'organisations doit faire face aux audits annuels.
Autant de facteurs qui viennent complexifier encore davantage la gestion des informations de l'entreprise, sachant
qu’il est impossible de maîtriser une telle complexité manuellement.
La Gestion des Identités et des Accès (IAM) permet de rester en conformité avec une législation et une
réglementation toujours plus strictes au sein d’une infrastructure elle aussi toujours plus complexe. Adopter une
solution IAM appropriée, vous permettra d’être en phase avec votre époque eu égard aux dernières avancées
technologiques (cloud computing, virtualisation et BYOD), sans sacrifier pour autant l’esprit d’initiative de votre
entreprise.
6
1.1 DEFINITION DE LA GESTION DES IDENTITES
Le présent livre blanc présente les différentes caractéristiques de la Gestion des Identités et des Accès (IAM).
Tools4ever définit l'IAM comme étant la technologie permettant de gérer les identifiants et les droits d’accès des
utilisateurs sur différents systèmes et plates‐formes. La suite de solutions de Tools4ever prend en charge à la fois
l'administration et le provisioning des utilisateurs (UAP ‐ User Administration and Provisioning), la gouvernance des
identités et des accès (IAG – Identity and Access Governance). Le présent livre blanc couvre l'ensemble de la gamme
de produits de Tools4ever dans le domaine de l'IAM.
Tools4ever distingue les principaux composants de la solution IAM suivants :
1. Gestion de l'authentification :
La gestion de l'authentification permet de vérifier que l'identité d'un utilisateur correspond bien à celle que
celui‐ci prétend avoir. La forme la plus classique d'authentification est la combinaison d'un identifiant et d'un
mot de passe. La gestion de l'authentification englobe toutes sortes de solutions qui simplifient ou remplacent
le recours à un identifiant et à un mot de passe. Citons par exemple les mécanismes d'authentification à deux
facteurs, tels que l'authentification matérielle par badge, les cartes à puce ou les téléphones portables.
2. Gestion des accès :
Le but principal de la gestion des accès est de n'octroyer aux utilisateurs que l'accès aux applications et aux
ressources strictement nécessaires à l'exercice de leur(s) fonction(s) au sein de l'entreprise. La gestion des
accès comprend divers procédés et techniques permettant de veiller à ce que les droits d'accès soient corrects
en permanence. Elle se concentre sur l'élaboration et la gestion de la matrice des accès, des dérogations étant
approuvées et visées par les responsables habilités, aux éléments d'audits, etc.
3. Administration :
Cette composante regroupe les tâches relatives à la gestion des identités, telles la création, la modification et
la suppression de comptes utilisateurs dans les systèmes et les applications. Les outils d’administration
permettent d’automatiser les procédures manuelles en vigueur. Ces procédures sont généralement
rapprochées avec celles du système RH et de gestion du Workflow. En l’occurrence, tout ce qui touche à la
gestion des comptes utilisateurs fait souvent référence au provisioning (auto‐provisioning) et englobe
l'automatisation de bout‐en‐bout du processus de gestion des comptes.
4. Contrôle et audit :
Ce composant permet de contrôler ce qui se passe au sein de l'infrastructure informatique : chaque action d'un
utilisateur est enregistrée et une corrélation peut être établie avec les droits d'accès octroyés via l’outil
d'administration et de gestion des droits d’accès. Les données pertinentes sont rassemblées, mises en
corrélation, analysées et font l'objet de rapports à des fins d'audit. Les conclusions peuvent également être
utilisées pour affiner les règles de la solution IAM et contrôler les différentes procédures.
7
2. LA SOLUTION IAM DE TOOLS4EVER La solution IAM de Tools4ever comprend différents composants, dont l’interconnexion est illustrée dans le
diagramme ci‐dessous.
2.1 GENERALITES
Le rôle de l'organisation est primordial, puisqu’elle est la source d’informations du système IAM. Elle détermine en
effet quelles ressources informatiques sont nécessaires pour prendre en charge les processus opérationnels de
l’entreprise. Les environnements dépourvus de système IAM automatisé, doivent recourir à toute une série de
procédures manuelles garantissant que leurs collaborateurs disposent de droits d’accès appropriés aux ressources
de l’entreprise. Désormais, grâce à l’IAM, toutes ces procédures manuelles pourront être automatisées.
8
2.2 ORGANISATION
Une organisation est une structure dynamique, sujette à des changements au quotidien. Parmi les changements les
plus fréquemment rencontrés par le système IAM, on recense l’enregistrement de nouveaux collaborateurs, tout ce
qui a trait à la mobilité professionnelle (changement de poste, de service ou mutation) et enfin, les fins de contrat.
D'autres modifications, moins fréquentes mais cependant notables concernent les modifications opérées au niveau
de la liste des fonctions, les restructurations et les changements opérés au sein de l’organisation eu égard à la
conformité avec les législations et les réglementations en vigueur à des fins d’audit notamment. Ces informations
peuvent être transmises au système IAM via un système RH ou via une interface de gestion du Workflow ou de self‐
service.
2.3 SYSTÈME RH, DATA WAREHOUSE OU DONNÉES SOURCE
De plus en plus d'organisations choisissent de recourir à leur application RH comme système d'enregistrement
source pour la gestion des identités au sein de leur réseau et pour l'attribution d’équipements. En d'autres termes,
si un collaborateur n'est pas enregistré dans le système RH, il ne peut pas recevoir d'équipements (badge d'accès,
bureau, poste de travail, etc.).
Les entreprises choisissent de recourir à une base de données centrale contenant les données de tous les employés
actifs dans l'organisation. Si ce type de données est disponible au sein de plusieurs systèmes plutôt qu’au sein d’un
système RH unique, un système source composite (mixte) est généré et on parle alors généralement de Data
warehouse (entrepôt de données) ou de système de données source.
Une autre tendance intéressante observée dans le domaine des solutions IAM est que les fournisseurs de systèmes
RH ajoutent de plus en plus de composants en self‐service, ce qui permet aux managers de visualiser les informations
et d'effectuer des modifications eux‐mêmes. Les collaborateurs peuvent consulter de manière plus directe et plus
rapide des informations relatives notamment à leur salaire, leurs jours de congé, leur fonction et leur service. Grâce
à ces modules en self‐service, les données du système RH sont plus complètes, mises à jour plus rapidement, moins
polluées et de meilleure qualité.
Enfin, une troisième tendance intéressante en matière de systèmes IAM est que de nombreuses organisations
procèdent à une réorganisation de leur matrice de fonctions. En raison du rôle plus central du système RH, il semble
important d'assurer l'harmonisation de la matrice de foctions et donc d'éviter qu'elle ne comporte presque autant
de fonctions que l'organisation ne compte d'employés. Il est en effet préférable de n'entretenir qu'un ensemble
restreint de définitions de postes, ainsi qu’une correspondance entre la structure des centres de coûts et la
hiérarchie existante au sein de l'entreprise.
L'interface principale entre le système RH et le système IAM est le module de provisioning de la solution IAM de
Tools4ever.
2.4 PROVISIONING
9
Le moteur de provisioning du module IAM de Tools4ever assure l’échange des identifiants entre les systèmes sources
et cibles. Ainsi, les informations sont échangées entre le système RH et les autres systèmes via le réseau ou via le
Cloud. Pour cela, le moteur communique étroitement avec le Workflow prenant en charge les composants IAM (pour
le tri des données et l’enrichissement des BDD), la gouvernance des droits d’accès et le contrôle des droits d’accès.
Afin de garantir une gestion flexible, rapide et fiable de millions d’identifiants, le moteur de provisioning est
constitué de plusieurs modules, à savoir l’Identity Vault, le mécanisme de synchronisation et les connecteurs.
L'Identity Vault est le lieu de stockage central des identifiants des tous les systèmes connectés. Le Vault contient les
identifiants, les droits d’accès, les liens et les références ID des systèmes sources et cibles. Le Vault est orienté objet,
paramétrable et est capable de gérer des millions d’objets. Grâce à des fonctionnalités puissantes permettant une
gestion efficace du dispositif, il est aisé de répondre à chaque exigence ou demande d’échange d’attributs entre les
systèmes.
Le mécanisme de synchronisation prend en charge l’échange des données entre l'Identity Vault et les systèmes
sources et cibles. Il détecte également les modifications dans les systèmes sources et cibles et les répercute dans
l'Identity Vault. Il en va de même pour les modifications opérées au niveau du Vault. Toutes ces procédures sont
initiées à partir des connecteurs. Le mécanisme de synchronisation est contrôlé par une base de données contenant
toutes les règles permettant de gérer de nombreuses fonctionnalités : règles de mappage, contrôle des doublons,
règles de transformation et règles en matière de détection des itérations.
Les Connecteurs prennent en charge la traduction bidirectionnelle des données au sein de l'Identity Vault et des
données dans les systèmes sources et cibles. Tools4ever a développé plus de 200 connecteurs et est capable d’en
concevoir de nouveaux à une vitesse fulgurante. Les connecteurs font partie du dispositif de support de Tools4ever.
Lors de modifications dans les systèmes sources et cibles, les connecteurs sont adaptés en conséquence par
Tools4ever. Tools4ever dispose de connecteurs standards pour les systèmes RH (SAP, HCM, Peoplesoft etc.), les
applications du Cloud (Google Apps, Office365, Salesforce etc.), les applications locales (SAP), les applications
virtualisées, les systèmes d’e‐mails (Exchange, Lotus Notes et Groupwise, les bases de données, les systèmes
d’exploitation (IS400, Windows et Novell) et les annuaires (Active Directory, eDirectory et LDAP).
2.5 WORKFLOW ET SELF‐SERVICE
Le workflow et le self‐service offrent la possibilité aux collaborateurs de demander facilement des modifications via
une interface web et de les implémenter dans le système IAM. Le workflow et le self‐service sont mis en place pour
les informations qui ne peuvent pas être fournies automatiquement depuis le système RH.
10
Le schéma ci‐dessous donne un aperçu des dispositifs de workflow et de self‐service :
11
L’initiateur en ce qui concerne les modifications fréquentes est l’utilisateur final (le collaborateur). Par exemple,
lorsqu’un collaborateur débute une nouvelle mission, de nombreuses démarches doivent être accomplies pour
s’assurer qu’il aura les accès adéquats aux ressources de l’entreprise, comme par exemple aux applications (Cloud),
aux systèmes, aux données et à la messagerie de l’entreprise.
Le manager du collaborateur joue un rôle important dans ce processus. En effet, il approuve les demandes et
effectue également les demandes de matériel pour ses collaborateurs. En fonction du type de demande, d'autres
parties prenantes comme le responsable des licences, le responsable de la sécurité, les agents en charge des
installations et des équipements informatiques peuvent être impliquées dans le processus de validation. Une fois la
validation obtenue, les demandes sont traitées au sein de l’infrastructure IT de façon automatisée via le composant
d’auto‐provisioning.
Le Workflow offre des avantages non négligeables. En effet, sans lui, il serait notamment difficile d’assurer une
traçabilité effective du processus de validation des droit d’accès d’un collaborateur et à quelle date (en cas d'audit).
Le système de gestion du Workflow est un moyen sûr de toujours conserver un historique clair de l’ensemble du
processus de validation.
Les composants de Workflow et de self‐service de Tools4ever disposent d’une interface proche de celle des
applications du type I‐phone, accessible et 100% personnalisable. Les formulaires peuvent être intégrés de façon
homogène aux portails de self‐service et/ou extranet existants et sont extrêmement faciles à utiliser. Les différents
formulaires proposent un mécanisme de délégation perfectionné basé sur les contenus et les types de formulaires.
Il est possible de créer un formulaire pour un groupe de collaborateurs en particulier et d’en préciser ensuite les
options à sélectionner (contenu), et ce, en fonction du rôle de l’utilisateur final.
Pour garantir un fonctionnement optimum du système de Workflow, ce dernier a été équipé d’une série de
fonctionnalités pratiques. Par exemple, un manager peut déléguer des tâches récurrentes à un assistant. Ou encore,
lorsqu’une tâche reste en suspens trop longtemps, elle sera automatiquement transmise à l’échelon supérieur. Les
validations de même type peuvent être traitées en une seule opération. Les parcours du Workflow sont facilement
modifiables. En cas d’engorgement, le responsable du Workflow peut répartir des tickets entre les utilisateurs dans
le système de Workflow.
Les éléments constitutifs du tableau de bord en self‐service ressemblent à un catalogue. Le catalogue se compose
d’éléments liés aux comptes d’utilisateurs, mais on peut également y trouver des listes de matériels, comme des
téléphones, des ordinateurs portables, des espaces de stockage supplémentaires, etc. Le catalogue est conçu de
façon dynamique, sur la base de systèmes sous‐jacents, comme Active Directory, Exchange, le helpdesk, le système
de gestion du matériel et l’ERP. Si les systèmes sous‐jacents sont modifiés, le catalogue est automatiquement mis à
jour pour tenir compte de ces changements.
12
2.6 GOUVERNANCE DES DROITS D’ACCES
La Gouvernance des droits d’accès est une composante importante du système IAM de Tools4ever. L’objectif de la
gouvernance en matière d’identifiants et de droits d’accès (IAG) est de n’octroyer aux collaborateurs que les accès
aux ressources réseau dont ils ont besoin pour effectuer leurs tâches. Ces dernières années, l’importance de l’IAG
n’a fait qu’augmenter en raison du durcissement des législations et des réglementations (HIPAA, SOX, Décret de
Confidentialité, etc.), d’une forte augmentation de la numérisation des procédures de travail, ainsi qu’en raison
d’une complexification accrûe des infrastructures informatiques. À l’origine, la gouvernance des droits d’accès
concernait principalement les institutions financières et les grandes entreprises internationales. Or actuellement,
elle est de plus en plus largement adoptée par les établissements de soins, les moyennes entreprises (1500‐5000
collaborateurs) et d’autres organisations commerciales.
Les Conseils d’administration, les directions et les responsables de la sécurité veulent et doivent pouvoir contrôler
les différents droits d’accès de leurs collaborateurs. Un des inconvénients majeurs de cette exigence est qu’elle est
complexe, fastidieuse et longue à mettre en place. De plus, dans les faits, un contrôle continu du processus
d’attribution des droits d’accès n’est pas réalisable.
Beaucoup d’organisations sont dans la phase de démarrage de la gouvernance des droits d’accès et ne disposent ni
de l’approche théorique, ni des logiciels nécessaires. Les droits sont octroyés sur la base de copies de profils
d’utilisateurs (ex : « Yolande va effectuer les mêmes tâches que Marianne »), d’utilisateurs types (disponibles au
niveau de l’organisation ou du département), de feuilles de calcul et d’applications mineures développées en
interne.
Tools4ever, en revanche, avec sa suite IAM propose la gouvernance des droits d’accès sous la forme d’une approche
par phases, à laquelle viennent s’ajouter différents modules pour logiciels. Dès la phase initiale, la gouvernance des
droits d’accès proposée par Tools4ever propose aux organisations une plate‐forme professionnalisée leur
permettant de gérer leurs droits d’accès de façon bien définie.
13
Le schéma ci‐dessous donne un aperçu de l’approche et des modules constitutifs de la Gouvernance des Droits
d’Accès proposée par Tools4ever :
14
2.6.1 ANALYSE DES ROLES : COLLECTE, MISE EN CORRELATION ET ANALYSE La Gouvernance des Droits d’Accès commence par une cartographie des différentes structures de droits d’accès,
ainsi que des informations afférentes. Ce bilan peut notamment être obtenu grâce à :
Des modèles et des processus existants :
Il s’agit de dresser un inventaire des procédures manuelles utilisées par les responsables informatiques et les
responsables applicatifs pour générer et gérer les droits d’accès. Il peut s’agir de copies de profils d‘utilisateurs,
d’utilisateurs types, de procédures manuelles et/ou de systèmes internes dotés d’une base de données SQL sous‐
jacente.
Inventaire :
Les informations utilisées sont le plus souvent connues des managers. Parfois, une découverte (partielle) est réalisée
à l’endroit de détermination des droits d’accès qui sont définis pour chaque département/fonction/rôle, ce qui a
pour conséquence de générer une matrice de sécurité. Très souvent, la compilation de ce type de matrice aura
nécessité beaucoup de temps et d’efforts, alors que les informations collectées s’avèrent souvent incomplètes ou
obsolètes.
Extraction des rôles :
Il s’agit de l’extraction et de la collecte d’informations depuis le système RH (déterminantes pour la matrice des
fonctions et les tâches des collaborateurs dans l’organisation), ainsi que des droits d’accès octroyés pour les
systèmes concernés (ERP, Active Directory, Exchange, Sharepoint et Data storage/Shares). Cette dernière méthode
est souvent désignée comme le développement de rôles ascendant ou de l’extraction de rôles. Les rôles sont définis
en fonction de la structure informatique en place.
Grâce à la Gouvernance des Accès, Tools4ever prend en charge diverses techniques permettant de collecter et
d’enregistrer des informations relatives aux droits d’accès. Tools4ever propose une méthode de stockage homogène
permettant aux utilisateurs de faire correspondre leurs identifiants à leurs droits d’accès. D’ordinaire, ce type
d’opération génèrerait des blocages du système pour bon nombre d’organisations, ce type d’informations étant le
plus souvent stocké sur différents systèmes avec des ID différents et sous différents formats.
L’harmonisation et l’analyse des informations nécessitent un identifiant unique par identité. Une fois les données
harmonisées, il sera alors possible de présenter les droits d’accès nettoyés aux différents responsables de
départements et de les faire actualiser (attestation). Il n’est pas rare d’avoir un pourcentage de données relatives
aux droits « polluées » de l’ordre de 25% au sein d’une organisation.
Tools4ever propose également des logiciels de simulation permettant de mesurer le pourcentage de droits d’accès
effectivement utilisés pour ses différents systèmes (Stockage de données/NTFS et Active Directory) sur une période
donnée.
15
2.6.2 CONCEPTION DES ROLES Au cours de cette étape, les informations collectées en amont sur les droits d’accès sont converties en un modèle
de rôles et enregistrées dans un catalogue des rôles. Cette conversion des droits d’accès au système en rôles
d’entreprise facilite l’évaluation et l’attribution des droits d’accès aux collaborateurs par les managers. Il s’agit là
d’une étape cruciale à la base des fondements du modèle de Gouvernance des Accès.
Après avoir défini le modèle de base pour les rôles, les règles de conformité et d’audit applicables doivent également
l’être (modèle de politique). Ces règles doivent impérativement être respectées lors de l’attribution des rôles aux
collaborateurs, et toute dérogation à ces règles doit être justifiée. Quelques exemples : la séparation des tâches
(Segregation of Duties ‐ SoD), les transactions supérieures à 50K€ devant être validées par au moins 2 collaborateurs,
le blocage des accès à distance aux données financières. Enfin, il convient de déterminer quelles sont les ressources
contenant des informations sensibles et quels sont les facteurs de risque. De cette manière, les managers peuvent
déterminer plus facilement lors de l’attribution des rôles et leur évaluation, quels collaborateurs pourront accéder
aux informations sensibles (modèle de risque).
2.6.3 GESTION ACTIVE DES ROLES À cette étape, le modèle des rôles développé et nettoyé passe en production dans le système IAM de Tools4ever et
est appliqué de manière active pour les collaborateurs rejoignant l’organisation ou ceux ayant été promus. Les rôles
ainsi que les rôles des systèmes sous‐jacents sont utilisés dans les applications et au sein de l’infrastructure NTIC via
le module de provisioning de Tools4ever.
Les données à modifier sont réceptionnées via les canaux suivants :
1) Le Système RH :
Dès qu’un nouveau collaborateur est embauché, son rôle et ses fonctions clairement définis. Toute
promotion ou tout changement effectué au niveau du département, affectation ou site sera également
enregistré et pris en compte dans le système RH. Les droits d’accès appropriés sont octroyés en utilisant le
modèle de rôles. En cas de modification, les droits restent valables pendant une période déterminée, puis
sont supprimés automatiquement. Ceci permet d’éviter une accumulation de droits d’accès devenus
inutiles.
2) La gestion du Workflow et le Self‐Service (WFM/SS) :
En général, les droits d’accès standards obtenus via le système RH suffisent dans un premier temps pour
qu’un collaborateur puisse commencer à travailler. Cependant, il peut arriver que le collaborateur se voit
confier des tâches supplémentaires par son supérieur, auquel cas, il se verra attribuer des ressources
complémentaires sur le réseau (accès aux applications et au partage de données/ réseaux partagés).
Grâce à la gestion du Workflow et au self‐service, les responsables ont la possibilité de demander des droits
d’accès supplémentaires de façon autonome (dans le cadre défini par leurs fonctions). La demande de
droits d’accès supplémentaires peut également être initiée par le collaborateur lui‐même par le biais
d’options en self‐service, pour lesquelles le responsable doit donner son accord. Ce modèle est également
appelé demande d’accès sur base de validation (Claim Based Access Control ‐ CBAC).
16
3) La Vérification et le rapprochement de données :
La saisie opérationnelle quotidienne provient des sources 1 et 2 ci‐dessus. Par ailleurs, la Gouvernance des
Accès garantit que le modèle est encore valable et qu’il correspond toujours à la situation réelle sur le
réseau grâce aux procédures de vérification et de rapprochement.
La procédure de vérification permet à chaque responsable de disposer régulièrement d’une vue d’ensemble
des droits d’accès de tous les collaborateurs sous sa responsabilité. Une interface web permet en effet au
manager de contrôler et d’approuver des droits d’accès et/ou de modifier ces droits en toute simplicité.
Les modifications apportées par le manager sont soumises au propriétaire du modèle du rôle et peuvent
donner lieu à sa modification ou non.
Le rapprochement des données permet de vérifier que les droits d’accès attribués sur le réseau
correspondent bien aux informations du modèle de rôle dans Identity Vault de IAM. Si des écarts sont
constatés, cela signifiera que quelqu’un a effectué des modifications directement sur le réseau, en
contournant le système IAM de Tools4ever.
Le module IAM de Tools4ever permet de détecter ce type de modifications et de les soumettre au
propriétaire responsable. Celui‐ci se verra proposer trois options : rendre la modification permanente pour
un ou plusieurs utilisateurs (y compris pour une modification du rôle en question), approuver le
changement pour une période donnée, ou faire un retour arrière dans le système cible.
Toutes les actions et les modifications effectuées au niveau du module IAM de Tools4ever sont sauvegardées de
façon centralisée. Un système de reporting est mis à la disposition des utilisateurs de sorte qu’ils peuvent générer
tous les rapports désirés. A des fins de conformité et en prévision d’audits éventuels, il est important notamment
de pouvoir générer des rapports mentionnant les droits d’accès octroyés et l’initiateur de cet octroi. Concernant ce
type de rapport, le système tire ses informations du Vault IDM (qui obtient des accès et pour quoi ?), de différents
composants de l’infrastructure (l’accès est‐il réellement conforme au Vault ?) et du système de gestion du workflow
(qui a octroyé tel ou tel droit d’accès et quand ?). Etant donné que le modèle de rôles et que le Vault IDM
enregistrent chaque modification comme une nouvelle version, il est également possible de générer des rapports
sur l’historique des droits d’accès et des décisions prises.
2.7 AUTHENTIFICATION
Pour accéder aux différents composants de l’infrastructure IT hybride (Cloud, applications, centre de données et
Active Directory), le collaborateur doit s’identifier. Il est par conséquent indispensable de prévenir toute usurpation
d’identité. Le processus d’authentification permet de contrôler que la preuve de l’identité fournie correspond aux
données enregistrées dans le système.
17
À ce jour, le mécanisme d’authentification le plus utilisé reste la combinaison d’un identifiant et d'un mot de passe.
Une nouvelle tendance consiste à utiliser des méthodes alternatives pour lesquelles l’utilisateur doit également
posséder une preuve physique de son identité, comme par exemple une carte à puce (smartcard), un téléphone
mobile, un badge ou un support NFC. L’authentification au moyen d’une preuve physique de son identité combinée
à un code PIN fait référence à une authentification à deux facteurs : le collaborateur doit divulguer une information
connue de lui seul (code PIN) et présenter un élément physique au titre de preuve.
Une autre tendance consiste à pouvoir s’authentifier à partir de n’importe quel lieu. À l’origine, l’authentification au
sein de l’organisation se faisait via le PC d’un administrateur, un identifiant, un mot de passe et l’Active Directory. A
l’heure actuelle, force est de constater que les collaborateurs ont besoin d’accéder à l’infrastructure IT de leur
organisation à partir de n’importe quel endroit (bureau, domicile, hôtels et aéroport), et ce, à l’aide de n’importe
quel support (ordinateur portable, tablette numérique ou smartphone).
Une autre possibilité consiste pour les organisations à mettre à la disposition de leurs collaborateurs un portail
centralisé, leur permettant d’accéder à toutes les applications basées sur le net. Les collaborateurs s’y authentifient
une fois pour pouvoir accéder au portail, pour cela leurs informations d’authentification doivent correspondre aux
données enregistrées dans l’Active Directory ou un annuaire LDAP. Ensuite, ils ne sont plus obligés de confirmer leur
identité pour lancer une nouvelle application ou accéder à un autre service. Ce système est également connu sous
le nom de portail SSO.
Les solutions de gestion relatives à l’authentification de la suite IAM de Tools4ever permettent aux organisations de
résoudre leurs différentes problématiques en matière d’authentification. Par ailleurs, Tools4ever accorde une
attention toute particulière aux nouvelles tendances, notamment à l’authentification à deux facteurs et au portail
SSO. Inversement, Tools4ever prend également en charge les formes classiques d’authentification, à savoir les
combinaisons identifiant / mot de passe.
Pour cette forme classique d’authentification, Tools4ever propose les solutions de gestion de mot de passe
suivantes :
1) La réinitialisation des mots de passe en self‐service (SSRPM) :
Cette solution permet aux utilisateurs de réinitialiser eux‐mêmes leur mot de passe depuis l’écran de
connexion Windows, sans avoir besoin de recourir aux services du Helpdesk. L'utilisateur s’identifie en
répondant à un certain nombre de questions personnelles (« quel est le nom de jeune fille de votre mère ?
»), dont les réponses ont préalablement été enregistrées dans le système.
2) L’Authentification unique (Single Sign On)
Grâce au SSO, les utilisateurs n’ont besoin de s’identifier qu’une seule fois en saisissant une seule
combinaison identifiant/mot de passe. Une fois la procédure d’authentification unique effectuée, les
utilisateurs n’ont plus besoin de s’authentifier à nouveau pour pouvoir accéder à d’autres systèmes ou
applications. Le logiciel SSO de Tools4ever prend en charge tous les dispositifs à deux facteurs
d’authentification standards (cartes à puce, identification biométrique, par badge, quadrillage, etc.), les
applications du Cloud, Internet, le portail SSO, SAML, Openld, ADFS, etc.
Dans le secteur de la santé, un accès simple et rapide aux systèmes constitue un prérequis. Les
professionnels de santé se déplacent d’un site à un autre (ex : visites aux patients) et doivent bien souvent
se connecter à plusieurs systèmes dans une même journée. Un grand nombre d’organisations spécialisées
18
dans les métiers de la santé investissent dans une infrastructure virtuelle « client léger » avec notamment
sur des consoles Citrix XenApp XenDesktop. Tools4ever fait en sorte que la dernière étape de ce processus,
la connexion à l’aide d’un identifiant et d’un mot de passe, soit grandement simplifiée, puis remplacée par
des connexions via une carte à puce.
3) Synchronisation des mots de passe
Le logiciel développé par Tools4ever permet de synchroniser les mots de passe au sein de différents
systèmes et applications. Le logiciel propose une intégration en mode spécifique dans votre Active
Directory. En cas de changement de mot de passe, le nouveau mot de passe sera transmis à l’ensemble des
systèmes connectés (synchronisation). L’avantage pour les utilisateurs finaux étant qu’ils peuvent accéder
à différents systèmes à l’aide d’un même mot de passe.
4) Complexité du mot de passe
Cette solution offre différentes options :
A) Concernant la synchronisation des mots de passe, il est important que la complexité des mots de passe
soit identique d’un système à l’autre. Cette solution garantit que l’Active Directory n’accepte que les mots
de passe également acceptés par d’autres systèmes.
B) L’introduction de mots de passe complexes dans Windows est la garantie d’avoir des utilisateurs en
position inconfortable. En effet, les utilisateurs ne disposent pas d’une vision claire des règles de complexité
qui s’appliquent et reçoivent des messages d’erreur confus. Le module gérant la complexité des mots de
passe fait la lumière sur ces règles de complexité et les pointe dès que le nouveau mot de passe respecte
une règle de complexité.
2.8 CONTROLE DES ACCES
De nombreux systèmes IAM mettent l’accent sur les processus administratifs entourant la gestion des identités et
des accès des utilisateurs sur le réseau. Le fait est que la manière dont les utilisateurs utilisent effectivement les
droits d’accès qui leur sont accordés s’avère souvent opaque.
Les fonctionnalités liées à l’Access Monitoring de la solution IAM de Tools4ever permettent aux organisations de
vérifier et de contrôler les activités de leurs collaborateurs. Si un collaborateur accède à une partie du réseau via
un chemin non autorisé et autre que le système IAM, le problème est immédiatement détecté (automatiquement),
de sorte qu’un remède puisse être appliqué sans délai. .
Tools4ever propose de nombreux plug‐ins permettant de contrôler différents sous‐systèmes sur la base
d’événements. Les plug‐ins déjà existants sont compatibles avec NTFS (système de fichier Windows) et Active
Directory. Sur la feuille de route sont mentionnés les plug‐ins pour SQL server, Oracle et différentes applications
ERP.
Les plug‐ins constituent une mine d’informations sur les actions menées au niveau des sous‐systèmes. Il est
notamment possible de savoir qui a eu accès, déplacé ou effacé tel ou tel fichier et quand ? Quels partages ont été
consultés par tel ou tel groupe d’utilisateurs ? Mises à part les informations basées sur les événements, le plug‐in
19
indique également le statut actuel : quels collaborateurs ont accès à un partage donné, quels partages sont
accessibles à tel ou tel utilisateur et enfin des droits d’accès redondants sont‐ils présents dans le système de fichier ?
Les informations collectées par les plug‐ins peuvent être directement reliées aux données du système IAM. Pour
exemple, en cas d’écarts de conduite dangereux observés dans le système, celui‐ci peut intervenir automatiquement
en envoyant une notification au responsable ou en supprimant ses droits d’accès. Une autre possibilité consiste à
consigner les droits d’accès réellement utilisés pendant une période de 3 mois. Ces informations peuvent alors être
exploitées pour créer une matrice d’autorisation ou pour tester un nouveau projet avant qu’il ne soit lancé.
Inutile de préciser que l’atout distinctif du module d’Access Monitoring de Tools4ever, ce sont ses fonctionnalités
de reporting avancées en termes d’audit.
20
3. QUELS SONT LES ATOUTS DISTINCTIFS DE LA SOLUTION
IAM DE TOOLS4EVER? Le marché de l'IAM ne cesse de se développer et tous les acteurs du marché se sont mis d’accord sur les
fonctionnalités que les solutions de Gestion des Identités & des Accès doivent proposer aux entreprises. Pendant la
phase de sélection, de nombreux fournisseurs proposent des solutions apparemment adaptées, seulement, force
est de constater que la phase de déploiement donne lieu à de nombreuses surprises.
Les phases d’implémentation sont en effet trop souvent une source de mécontentements, notamment lorsque celle‐
ci mobilise plus de ressources que prévu et que les délais s’allongent, tandis que les objectifs ne sont pas atteints.
Là où Tools4ever fait la différence, c’est que sa solution IAM dédiée aux entreprises est unique et innovante, et
surtout elle ne réserve aucune mauvaise surprise. La solution IAM de Tools4ever permet aux organisations de
maîtriser la gestion des identités et d’envisager les audits en toute sérénité. Une présentation étape par étape des
caractéristiques distinctives de la solution IAM de Tools4ever est reprise ci‐dessous.
3.1 METHODE D’IMPLEMENTATION PAR PHASES
Lors de l’implémentation d’une solution IAM, une organisation traverse différentes phases d’avancement eu égard
à la professionnalisation de la Gestion des Identités. Naturellement, l’accent n’est pas simplement mis sur l’aspect
informatique (provisioning), mais davantage sur les processus métiers (Gestion du Workflow, Access Governance
et Self Service). Pour que l’implémentation de la solution IAM soit bien maîtrisée, il est recommandé de la déployer
étape par étape.
A chaque étape réussie du déploiement et une fois que ce premier déploiement a été assimilé au sein de
l’organisation, la phase suivante peut être initiée. Parmi les étapes IAM complexes à mettre en place au sein de
l’entreprise, il y a la création d’une matrice Access Governance (gouvernance des accès), le nommage et
l’harmonisation des identifiants au sein des différents systèmes cibles, la prise de décisions en interne concernant
la mise en place d’un système d’enregistrement central de gestion des identifiants et enfin l’introduction et le
déploiement d’un portail en self‐service.
Grâce à son expérience et à son expertise, il sera relativement facile pour Tools4ever de mettre en place chaque
étape du déploiement (en quelques jours et/ou semaines seulement), sachant que l’intégration définitive au sein de
l’organisation dure entre 3 à 6 mois pour chaque étape. La méthode d’implémentation de Tools4ever s’harmonise
parfaitement avec le processus par étapes explicité ci‐dessus et sa valeur ajoutée a été éprouvée au fil des ans.
3.2 UNE GAMME COMPLETE DE CONNECTEURS
Un écueil bien connu en ce qui concerne les implémentations IAM est qu’aucune connexion avec les systèmes
sources et cibles n’est disponible. La connexion doit alors être effectuée de façon personnalisée par le client du
fournisseur de la solution IAM. Cette connexion s’avère généralement longue. N’étant par ailleurs pas réalisée par
une partie experte à 100%, la gestion, le support et la personnalisation sont souvent des sujets de préoccupation.
21
La société Tools4ever est un expert confirmé en matière de développement de connexions IAM, pour preuve, elle
en a effectué des centaines. Toutes ces connexions (via des connecteurs) font partie intégrante de la suite IAM et
sont disponibles sans délai.
Tous les ajustements qui devront être effectués par la suite au niveau des connecteurs sont couverts par le contrat
de maintenance et ils sont pris en compte dès la souscription dudit contrat.
Si un connecteur n’était pas disponible, une procédure de demande expresse est alors initiée pour que le connecteur
en question soit développé, puis intégré en tant que composant standard de la suite IAM de Tools4ever. Outre les
connecteurs non standards, la suite IAM de Tools4aver peut assurer la maintenance de toute méthode d’interfaçage
connue intervenant lors d’implémentations IAM. Les méthodes d’interfaçage standards sont : SOAP XML, Openld,
OAuth 2.0, SAML 2, WS‐Trust 1.3 et 1.4, SPML, ODBC, native Oracle, SQL Server et CSV.
3.3 UN GAMME DE SOLUTIONS DE BOUT EN BOUT
Avec sa Suite IAM, Tools4ever couvre l’ensemble des composants qui selon Gartner (Magic Quadrant pour
l’Administration & le Provisioning des utilisateurs et Magic Quadrant pour la Gouvernance des Identités et des Accès)
doivent constituer une solution IAM.
Grâce aux solutions proposées par Tools4ever, les entreprises sont déchargées des contraintes d’évaluation et de
sélection de plusieurs sous‐composants IAM et elles n’ont plus à se soucier des possibilités (impossibilités)
d’intégration. Tous les logiciels ont été développés par Tools4ever à partir de zéro, plutôt que de simplement
recourir à des achats consécutifs à des fusions‐acquisitions, pour être ajoutés par la suite au portefeuille de produits
qu’elle distribue. Cette pratique est en effet devenue monnaie courante chez les fournisseurs de solutions IAM, de
sorte que les rapprochements et les chevauchements/écarts de fonctionnalités deviennent de vraies
problématiques.
3.4 EXTENSIBILITE
La solution IAM de Tools4ever s’adresse aux très grandes structures devant gérer des millions d'identités, ainsi
qu’aux petites et moyennes structures de 300 employés ou plus. La suite IAM de Tools4ver est constituée de
différents modules adaptés aussi bien aux petites qu’aux grandes structures. Pour exemple, la méthode de
synchronisation utilisée entre un système source et cible. De nombreuses solutions IAM requièrent l’implémentation
d’un module Identity Vault. Pour de petites structures, cela génère des frais inutiles; pour elles en effet, une
procédure de synchronisation directe (sans ID Vault) entre le système source et le système cible s’avère être une
solution bien plus pertinente.
22
CONCLUSION Sur le marché en perpétuelle ébullition de la Gestion des Identités & des Accès, Tools4ever peut se targuer de plus
de 10 ans d’expérience dans ce secteur et enregistre un nombre de ventes impressionnant. La gamme de produits
IAM proposés par Tools4ever est résolument complète et couvre tous les domaines abordés par le Groupe Gartner
dans les rapports qu’il publie à ce sujet. Tools4ever se distingue de ses concurrents comme NetlQ/Novell, Oracle,
Microsoft et SailPoint, de par sa flexibilité, sa proactivité et sa force capacité d’innovation.
Tools4ever possède des bureaux à l’échelle mondiale. Cela lui permet de fournir un support de qualité au niveau
local et d’appréhender de façon optimale les législations et les règlements locaux spécifiques.
Au fil du temps, Tools4ever a perfectionné son offre en matière de prestations dédiées aux entreprises. Grâce à des
solutions logicielles de pointe, à une méthode de déploiement par phases et à l’expertise de consultants hautement
spécialisés, Tools4ever est en mesure de livrer des implémentations IAM réussies clés en main en quelques semaines
seulement, alors que sur ce même marché, ses concurrents proposent d’effectuer cette prestation en plusieurs mois,
voire années.
Par ailleurs, Tools4ever a opté pour une politique de prix affûtée. En combinant un palmarès inégalé, une méthode
de déploiement éprouvée, ainsi que des prix extrêmement compétitifs, Tools4ever s’impose comme un partenaire
incontournable pour les organisations qui recherchent une solution IAM adaptée.
23
Tools4ever BV
Amsterdamsestraatweg 47
3744 MA Baarn
The Netherlands
Tel. +31 35 54 832 55
Fax. +31 35 54 327 36
For regional office information, visit
www.tools4ever.com
Île‐de‐France
28, rue Kleber
93100 Montreuil
France
Phone: +33 (0)1 42 87 74 67
Fax: +33 (0)1 80 89 48 37
www.tools4ever.fr
Province
3 rue Clos Suiphon
69003 Lyon
France
Phone: +33 (0)4 78 95 37 98
Fax: +33 (0)4 78 95 38 37