Documente Academic
Documente Profesional
Documente Cultură
management
!"#$%&' )*+*,
-"./,&. 012& 3*,'%+/4,2
5"6/.& 1& #*,78.&,#&'
9,4:&.'4/8 1& ;4<2&
3=".28 1& #*%.'
>3?03 @.%''&+' 5","2&A&,/ B#=**+
-.*7&''&%. 4,:4/8
9,4:&.'4/8 1& ;*.."4,& C5&/DE
>B)B3F ?0 )G)&..&.F ?0 ;1@ C@.%H&++&'E
>,'/4/%/ I."J& 1&' 3=&7' 1K&,/.&L.4'&' CM%,4'E
>,'/4/%/ I7.4#"4, 1& 5","2&A&,/ CN%"2"1*%2*%E
2
Jacques.folon@ichec.be
https://www.facebook.com/folon.jacques
http://www.scoop.it/u/jacques-folon
http://www.linkedin.com/in/folon
http://jacquesfolon.tumblr.com/
http://fr.slideshare.net/FOLON
@jacquesfolon
8eLrouvez-mol en llgne
CeLLe presenLaLlon esL sur
www.slldeshare.neL/folon
elle esL a voLre dlsposlLlon
lAM
1. C'esL quol ?
2. Cuel esL le conLexLe acLuel?
3. lAM & cloud compuLlng
4. ourquol en avons nous
besoln?
3. 1o do llsL
6. lAM eL vle prlvee
7. lAM eL conLrle
8. e-dlscovery
9. Concluslon
1. lAM c'esL quol ?
-.*:4'4*,4,2
B4,2+& B42, N,
-O>
B
/.*
,
2
I
%
/=
&
,
/4#
"
/4*
,
)
&
1
&
.
"
/
4*
,
P
4.
&
#
/
*
.
4&
'
I%/=*.4D"/4*,
B&#%.& Q&A*/&
I##&''
-"''R*.1
5","2&A&,/
S&J B&.:4#&'
B&#%.4/T
I
%
1
4/
4,
2
U
Q
&
L
*
.
/
4,
2
Q*+& J"'&1
5
","2&A
&,/
PQ5
Source: ldenLlLy and Access ManagemenL: Cvervlew8afal Lukawleckl - SLraLeglc ConsulLanL, ro[ecL 8oLLlcelll LLd rafal[pro[ecLboLLlcelll.co.uk
5 Questions
to ask your CISO
Q: Whats posted on this
monitor?
a password to financial application
b phone messages
c to-dos
Q: What determines your
employees access?
a give Alice whatever Wally has
b roles, attributes, and requests
c whatever her manager says
Q: Who is the most privileged
user in your enterprise?
a security administrator
b CFO
c the summer intern who is now working
for your competitor
Q: How secure is your
identity data?
a It is in 18 different secured stores
b We protect the admin passwords
c Privacy? We dont hold credit card
numbers
Q: How much are manual
compliance controls costing
your organization?
a nothing, no new headcount
b dont ask
c dont know
Todays IT Challenges
More Agile Business
More accessibility for employees,
customers and partners
Higher level of B2B integrations
Faster reaction to changing requirements
More Secured Business
Organized crime
Identity theft
Intellectual property theft
Constant global threats
More Compliant Business
Increasing regulatory demands
Increasing privacy concerns
Business viability concerns
State Of Security In Enterprise
Incomplete
Multiple point solutions from many vendors
Disparate technologies that dont work together
Complex
Repeated point-to-point integrations
Mostly manual operations
Non-compliant
Difficult to enforce consistent set of policies
Difficult to measure compliance with those policies
Identity Management Values
Trusted and reliable security
Efficient regulatory compliance
Lower administrative and development costs
Enable online business networks
Better end-user experience
13
La gestion des identits consiste grer le
cycle de vie des personnes (embauche,
promotion, mutation, dpart, etc.) au sein de
la socit et les impacts induits sur le systme
dinformation (cration de Comptes
utilisateurs, attribution de Profils utilisateurs,
mise en uvre du contrle d'accs, etc.).
source cluslf
lAM n'esL pas unlquemenL une Lche
lnformaLlque !
Cette gestion des identits doit pouvoir tre
faite d'un point de vue fonctionnel par des
non-informaticiens (exemple : Ressources
Humaines, Matrise douvrage, lutilisateur
lui-mme)
et
d'un point de vue technique par des
informaticiens (exemple : administrateur,
Matrise duvre).
16
lAM n'esL pas unlquemenL une Lche
lnformaLlque !
source cluslf
17
La solution de gestion didentits doit tre une solution globale sur la
base dune infrastructure centralise avec une gestion fonctionnelle
distribue et qui intgre les fonctionnalits suivantes :
la gestion du rfrentiel central des utilisateurs (alimentation partir
de rfrentiels utilisateurs sources),
la gestion du rfrentiel central des ressources concernes par la
gestion des droits daccs,
la gestion des habilitations (gestion des Profils, Rles, gestion des
utilisateurs, workflow),
le provisioning (synchronisation des rfrentiels cibles de scurit),
ladministration dcentralise,
lauto-administration (gestion par les utilisateurs des mots de passe et
des donnes prives),
laudit et le reporting,
le contrle daccs (authentification, autorisation).
source cluslf
WhaL ls ldenLlLy ManagemenL ?
ldenLlLy managemenL ls Lhe seL
of buslness processes, and a
supporLlng lnfrasLrucLure, for Lhe
creaLlon, malnLenance, and use of
dlglLal ldenLlLles." 1be 8ottoo Ctoop
(a research flrm speclallzlng ln l1
lnfrasLrucLure for Lhe enLerprlse)
ldenLlLy ManagemenL ln Lhls
sense ls someLlmes called
ldenLlLy and Access
ManagemenL" (lAM)
ueflnlLlon
19
Identity and Access Management is the process for managing the
lifecycle of digital identities and access for people, systems and
services. This includes:
User Management management of large, changing user
populations along with delegated- and self-service
administration.
Access Management allows applications to authenticate
users and allow access to resources based upon policy.
Provisioning and De-Provisioning automates account
propagation across applications and systems.
Audit and Reporting review access privileges, validate
changes, and manage accountability.
CA
IAM : J. Tony Goulding CISSP, ITIL CA t ony.goulding@ca.com
lAM c'esL par exemple.
8on[our [e suls !ulle, une
eLudlanLe d'lnlCSAlL." (lJeotlt)
Cecl esL mon moL de passe."
(Aotbeotlflcotloo)
!e veux acceder a la plaLeforme"
(Aotbotlsotloo "##*.18&)
!e veux amellorer la noLe de mon
examen."
(Aototlsotloo .&7%'8&)
Mals c'esL aussl.
un nouveau professeur
uonc une adresse emall, a
donner des que posslble
un moL de passe sur lCPLC
Campus
un moL de passe lnLraneL
un moL de passe lL Campus
ueflnlr les auLres servlces
auxquel ll a acces
Cuelles sonL les quesLlons a se poser??
Les personnes sonL-elles ce
qu'elles dlsenL Lre?
SonL-elles des membres reels
de noLre communauLe ?
CnL-elles reu les
auLorlsaLlons necessalres ?
Le respecL de leurs donnees
personnelles esL-ll mls en
place?
Lxemples de quesLlons
Cuel moL Lype de moL de passe donner?
Cuelles sonL les acLlvlLes auLorlsees?
Cuelles sonL les acLlvlLes lnLerdlLes?
A quelle caLegorle de personne ceLLe nouvelle
ldenLlLe dolL-elle Lre aLLachee?
A quel momenL du processus d'enLree les
auLorlsaLlons dolvenL-elles Lre donnees?
Cuelles modallLes de conLrle sonL mlses en place?
euL-on prouver LouL cela a un audlLeur ?
24
Le Lrlple A de l'lAM
Authentication
WHO ARE YOU?
Authorization / Access Control
WHAT CAN YOU DO?
Audit
WHAT HAVE YOU DONE?
24
ComponenLs of lAM
AdmlnlsLraLlon
user ManagemenL
assword ManagemenL
Workflow
uelegaLlon
Access ManagemenL
AuLhenLlcaLlon
AuLhorlzaLlon
ldenLlLy ManagemenL
AccounL rovlslonlng
AccounL ueprovlslonlng
SynchronlsaLlon
Reliable Identity Data
A
d
m
i
n
i
s
t
r
a
t
i
o
n
A
u
t
h
o
r
i
z
a
t
i
o
n
A
u
t
h
e
n
t
i
c
a
t
i
o
n
Source: ldenLlLy and Access ManagemenL: Cvervlew8afal Lukawleckl - SLraLeglc ConsulLanL, ro[ecL 8oLLlcelll LLd rafal[pro[ecLboLLlcelll.co.uk
2. ConLexLe acLuel
Cuel esL le conLexLe acLuel
qul esL a la base du
developpemenL de l'lAM?
27
Les ldenLlLes mulLlples selon l Cavazza
28
Les ldenLlLes varlenL selon les plaLeformes
29
LnLre l'ldenLlLe vlrLuelle eL ...
Dans ce contexte, lamoncellement de parcelles laisses plus ou
moins labandon dessine un portrait par petites touches. Un peu
comme les tableaux pointillistes : de manire unitaire, aucune des
traces nest rellement significative. Mais le tableau gnral, lui,
reprsente le sujet dans son ensemble. la vue de tous et pas
forcment sous un angle souhait
hLLp://www.buschlnl.com/2009/12/04/ldenLlLe-LradlLlonnelle-versus-ldenLlLe-numerlque/
lnLerneL esL base sur des
communlcaLlons anonymes
Les enLreprlses parLlclpenL a de
nombreux reseaux generanL de
mulLlples ldenLlLes
Les sysLemes lnLernes onL parfols des
sysLemes d'ldenLlflanLs dlfferenLs
Les uLlllsaLeurs sonL les malllons falbles
de la securlLe
La crlmlnallLe lnformaLlque augmenLe
La mlse en place de conLrles lmpose
l'ldenLlflcaLlon
La gesLlon des Lraces esL lndlspensables
La proLecLlon de la vle prlvee lmpose
des conLrles
Welcome Lo a dlglLal world
Su[eL d'acLuallLe.
Lxploslon of lus
-.& VWXYK' VWXYK' VWWYK' ZYYYK'
# of
ulglLal lus
1lme
A
p
p
l
l
c
a
L
l
o
n
s
5"4,7."A&
3+4&,/ B&.:&.
>,/&.,&/
@%'4,&''
I%/*A"/4*,
3*AL",T
C@Z0E
-"./,&.'
C@Z@E
3%'/*A&.'
C@Z3E
5*J4+4/T
Source: ldenLlLy and Access ManagemenL: Cvervlew8afal Lukawleckl - SLraLeglc ConsulLanL, ro[ecL 8oLLlcelll LLd rafal[pro[ecLboLLlcelll.co.uk
1he ulsconnecLed 8eallLy
ldenLlLy Chaos"
nombreux uLlllsaLeurs eL appllcaLlons
nombreuses lu
lusleurs ldenLlLe par uLlllsaLeur
lusleurs log ln eL moLs de passe
MulLlple reposlLorles of ldenLlLy lnformaLlon
MulLlple user lus, mulLlple passwords
ManagemenL decenLrallse
ConfllLs buslness <-> l1
Enterprise Directory
HR
Infra
Application
Office
In-House
Application
External app
Finance
employee
Application
Authentication
Authorization
Identity Data
Authentication
Authorization
Identity Data
Authentication
Authorization
Identity Data
Authentication
Authorization
Identity Data
Authorization
Identity Data
Authentication
Authentication
Authorization
Identity Data
Authentication
Authorization
Identity Data
Source: ldenLlLy and Access ManagemenL: Cvervlew8afal Lukawleckl - SLraLeglc ConsulLanL, ro[ecL 8oLLlcelll LLd rafal[pro[ecLboLLlcelll.co.uk
?our 3N5-I[\ and
your 05-;N\00B
?our B9--;>0QB
?our -IQM[0QB ?our Q05NM0 and
]>QM9I; 05-;N\00B
?our 39BMN50QB
CusLomer saLlsfacLlon & cusLomer lnLlmacy
CosL compeLlLlveness
8each, personallzaLlon
CollaboraLlon
CuLsourclng
lasLer buslness cycles, process
auLomaLlon
value chaln
M&A
Moblle/global workforce
llexlble/Lemp workforce
MulLlple ConLexLs
Source: ldenLlLy and Access ManagemenL: Cvervlew8afal Lukawleckl - SLraLeglc ConsulLanL, ro[ecL 8oLLlcelll LLd rafal[pro[ecLboLLlcelll.co.uk
1rends lmpacLlng ldenLlLy
Increasing Threat Landscape
>1&,/4/T /=&7/ #*'/' J",^' ",1 #.&14/ #".1 4''%&.' _VGZ J4++4*, 4, V T.
SecurlLe organlsaLlonnelle
ueparLemenL securlLe
ConsulLanL en securlLe
rocedure de securlLe
ulsasLer recovery
SecurlLe Lechnlque
8lsk analysls
8ack-up
rocedure conLre lncendle, vol, eLc.
SecurlsaLlon de l'acces au reseau l1
SysLeme d'auLhenLlflcaLlon (ldenLlLy managemenL)
Loggln and password efflcaces
SecurlLe [urldlque
ConLraLs d'emplols eL
lnformaLlon
ConLraLs avec les sous-
conLracLanLs
Code de condulLe
ConLrle des employes
8especL compleL de la
reglemenLaLlon
u| contr|e quo| ?
8. L-dlscovery
ueflnlLlon of e-dlscovery
LlecLronlc dlscovery (or e-dlscovery) refers Lo dlscovery ln clvll
llLlgaLlon whlch deals wlLh lnformaLlon ln elecLronlc formaL
also referred Lo as LlecLronlcally SLored lnformaLlon (LSl).
lL means Lhe collecLlon, preparaLlon, revlew and producLlon of
elecLronlc documenLs ln llLlgaLlon dlscovery.
Any process ln whlch elecLronlc daLa ls soughL, locaLed,
secured, and searched wlLh Lhe lnLenL of uslng lL as evldence
ln a clvll or crlmlnal legal case
1hls lncludes e-mall, aLLachmenLs, and oLher daLa sLored on a
compuLer, neLwork, backup or oLher sLorage medla. e-
ulscovery lncludes meLadaLa.
8ecommandaLlons
CrganlzaLlons should updaLe and/or creaLe lnformaLlon
managemenL pollcles and procedures LhaL lnclude:
e-ma|| retent|on po||c|es, Cn an |nd|v|dua| |eve|, emp|oyees tend to
keep |nformat|on on the|r hard dr|ves "[ust |n case" they m|ght need
|t.
!"#$ &'() *+,#+ (" #-('".-/'0, (),'# +("#-1, #,2*'#,3,.(+ -.4
4,5#,-+, (),'# +("#-1, 6*41,(7
off-||ne and off-s|te data storage retent|on po||c|es,
contro|s def|n|ng wh|ch users have access to wh|ch systems andunder
what c|rcumstances,
|nstruct|ons for how and where users can store data, and - backup
and recovery procedures.
Assessments or surveys shou|d be done to |dent|fy bus|ness funct|ons,
data repos|tor|es, and the systems that support them.
Lega| must be consu|ted. Crgan|zat|ons and the|r |ega| teams shou|d
work together to create and]or update the|r data retent|on po||c|es
and procedures for manag|ng ||t|gat|on ho|ds.
9. Concluslon
lAM n'esL pas unlquemenL une
quesLlon lnformaLlque les aspecLs
[urldlques eL de gesLlon sonL
essenLlels
ALLenLlon aux aspecLs compllance
lus de securlLe necessalre
Cloud compuLlng
vlrLuallsaLlon
uaLa prlvacy
archlvage
1ransparence
L-dlscovery
L'lAM esL aussl une opporLunlLe
8epenser la securlLe
LlmlLer les rlsques
8edulre les coLs
8epreclser les rles eL
responsablllLes
Apprehender les rlsques fuLurs
76
LL demaln?
hLLp://www.novell.com/docrep/2013/09/1he_lorresLer_Wave_lAM_9_4_13.pdf
77
hLLp://Ls.fu[lLsu.com/rl/lu[lLsu_lorum_2013/documenLaLlon/8CS8110a_20131030_v3_flnal_SecurlLy.pdf
Je suis prt rpondre vos questions
Jacques Folon
Jacques.folon@ichec.be