Identity and

Access
Management

NTI - 2012

www.nti-sa.com

Sommaire
Constats

Plan dactions

Dfinition IAM

Plan projet

Prconisations

Annexe
Glossaire

NTI - 2012

www.nti-sa.com

Constats

NTI - 2012

www.nti-sa.com

Sommaire : Constats
Profil mtier
Profil applicatif
Processus mtiers
Etudes des droits dlivrs
Contrainte OS
Demande de droits
Provisioning

NTI - 2012

www.nti-sa.com

Constat : Profil mtier

Aujourd'hui, un processus de demande dattribution de
droits qui sappuie sur les profils mtiers et prend en
compte les lments suivants :
Rle mtier (), Applications, Profils applicatifs.

Et pas uniquement la notion mtier mais aussi :

Les droits standards, La messagerie, La localisation
gographique, Le badge, le tlphone, le parking

NTI - 2012

www.nti-sa.com

Constat : Profil applicatif

Pour rapprocher rle mtier et droits applicatif, des
profils applicatifs ont t implments dans les
applications :
soit par des attributs nouveaux (volution dapplications
anciennes) :
soit directement dans les applications :

NTI - 2012

www.nti-sa.com

Constat : Etude des droits dlivrs

Etude photographique de lexistant :
Etude des droits existants dans
une approche Role-based
Access Control (RBAC) pour :

Paul

Role

Avoir une vision rle mtier

partir de lexistant
Dtecter les incohrences

Sara

Pierre

Difficult pour trouver des plus

grands communs
dnominateurs

Mike
Kim

Michel

Georges

NTI - 2012

www.nti-sa.com

Constat : Modle Habilitation (1/2)

Le modle actuel dhabilitation ne couvre pas aujourdhui
les besoins des diffrents mtiers :
Mtier,
Contractuel (pas conforme au contrat, la profondeur de
loffre),
Segmentation,
Fonctionnel.

Diffrents outils interviennent aujourdhui dans les

demandes ou dlivrances de droits :

Trop doutils indpendants

NTI - 2012

www.nti-sa.com

Constat : Modle Habilitation (2/2)

Les droits dlivrs aujourdhui ne sont pas ncessairement
en adquation avec le besoin mtier :
Excessifs (au regard des besoins en sparation de fonction
sur le primtre client)
Difficult daffecter les droits sur un client.
Affectation de droits sur une BU, un segment, une agence, un
portefeuille.
Droits attribus sous forme de package global
Beaucoup de droits,
Difficilement comprhensible,
Ne peuvent tre attribus ou rvoqus facilement.

NTI - 2012

www.nti-sa.com

Constat : SI IAM (1/2)

Le SI ne permet pas de faire de la revue des droits
pour :
Savoir qui a attribu quels droits / accs et pourquoi,
Qui a accs quoi,
Grer le suivi adquation des droits aux besoins ,
La rvocation totale des droits.

Absence de gestion de lidentit et du cycle de vie

dans la demande de droits.
Pas de visibilit sur ltat des demandes.

NTI - 2012

www.nti-sa.com

10

Constat : SI IAM (2/2)

Vision linaire des
droits avec des
correspondances par
table entre les diffrentes
briques

Dlivrance droits

Profil mtier
Groupe mtier
Table de rapprochement
Cration / Provisioning
de droits
ressources

Toute modification a des impacts (dpendance forte de la

solution autour des tables de traduction/translation)

NTI - 2012

www.nti-sa.com

11

Dfinition

NTI - 2012

www.nti-sa.com

12

Identity and Access Management

Un Objectif
clarifier !
Perception de projets purement technologiques
Sous-estimation de la complexit,
Varie selon les capacits des logiciels qui en supportent les
processus.

Deux axes dans Identity and Access Management

Identity Management = Gestion des Identits
Access Management = Gestion des droits daccs

NTI - 2012

www.nti-sa.com

13

Identity Management
Gestion des Identits

NTI - 2012

www.nti-sa.com

14

Dfinition : Gestion des Identits (1/3)

Lorsque lon parle de gestion des identits , on entend
par l celle des utilisateurs dun systme dinformation :
Gestion des identits en entreprise,
Gestion des individus hors de l'entreprise qui accdent au
systme d'information de l'entreprise, communications, ...
Partenaires, fournisseurs...

Gestion des utilisateurs dans une organisation,

Et des groupes d'utilisateurs, des profils, des autorisations.

NTI - 2012

www.nti-sa.com

15

Dfinition : Gestion des Identits (2/3)

Le cur de la gestion de lidentit sappuie sur un
rfrentiel des identits avec les outils permettant :
La mise jour de ce rfrentiel,
Le partage de ce rfrentiel entre les diffrents acteurs.

Et cette gestion prend en compte les contraintes

organisationnelle:
La scurit dans le contrle des accs aux ressources
de lentreprise.

NTI - 2012

www.nti-sa.com

16

Dfinition : Gestion des Identits (3/3)

Objectifs : Grer efficacement et de faon scurise les
donnes permettant didentifier les utilisateurs :
Partage des lments didentit communs la personne physique
(identit) et ses identifiants numriques (login),
Respect de la confidentialit des donnes didentit,
Qualit constante (intgrit) durant tout le cycle de vie de ces
donnes,
Disponibilit des donnes didentits numriques,
Distinguer 2 utilisateurs sans quivoque et en respectant le cadre
lgal.

NTI - 2012

www.nti-sa.com

17

Access Management
Gestion des Accs

NTI - 2012

www.nti-sa.com

18

Dfinition : Gestion des Accs

Lorsque lon parle de gestion des accs , on entend
par l les accs des utilisateurs au systme dinformation.
Lobjectif naturel est de pouvoir rpondre tout moment :
Qui a accs quelle application, quelle ressource ?
Mais il est tout aussi important de pouvoir savoir
Pourquoi ?
La gestion des habilitations est un pralable la russite
dune politique de scurit :
Les rglementations SOX, SAS70 imposent le cloisonnement des
rles et la traabilit des individus,
Permet de responsabiliser la gestion des accs,
De contribuer (participation ou dlgation) la gestion des
habilitations des services concerns (RH, mtiers).

NTI - 2012

www.nti-sa.com

19

Prconisation

NTI - 2012

www.nti-sa.com

20

Sommaire : Prconisation
Pourquoi, quoi, qui ?

Services

Comment, quand, o ?

Donnes didentit,
comptes et droits

Fonctions
Acteurs
Contexte lgal,
rglementaire et
normatif

Gestion de lidentit
Gestion des rles
Gestion des
habilitations

Processus

NTI - 2012

www.nti-sa.com

21

Architecture cible

NTI - 2012

www.nti-sa.com

22

Prconisation
Revoir lensemble du processus de gestion des droits dans
une architecture autour de quatre briques :
Gestion de lidentit : Rfrentiel des identits numriques,
gestion du cycle de vie
Gestion des rles : mtier, technique, intgrant les
contraintes darchitecture, dinfrastructure,
Gestion des habilitations,
Gestion des ressources.

Et dun ensemble de Workflow pour orchestrer lensemble.

Larchitecture doit prendre en compte les diffrents besoins
des autres BU.
NTI - 2012

www.nti-sa.com

23

Pourquoi, quoi, qui ?

Objectifs
Pourquoi ?

Grer efficacement et de faon

scuritaire les donnes permettant
didentifier les utilisateurs du SI

Contrler les accs aux actifs logiques et

physique de lentreprise tel que dfinit
dans la politique scurit

Fonctions
Quoi ?

Acteurs
Qui ?

NTI - 2012

A
rs
u
te
Ac

DP

www.nti-sa.com

24

Fonctions

NTI - 2012

www.nti-sa.com

25

Comment, quand, o ?
Contexte lgal,
rglementaire
et normatif

Lois encadrant laccs

et la conservation des
donnes

Politique de
scurit dADP

Comment ?
Quand ?

Normes internationales en
matire de scurit des
technologies de linformation,
(SOX, SAS70..)
Modles daccs
normaliss
(ex : RBAC)

Rgles :
Identification et
authentification des utilisateurs
Dure de vie des identifiants
Typologie des profils daccs
Etc.

Processus

Services

O ?

Bases de
donnes

Journaux
dactivit

Rfrentiel
Identit
Profils
daccs

NTI - 2012

Comptes
utilisateurs

Rgles
dhabilitations

www.nti-sa.com

26

Contexte lgal, rglementaire et normatif

Contexte lgal,
rglementaire

Lois concernant le
cadre juridique
des technologies
de linformation

Loi sur la protection

des donnes
personnelles (CNIL)

Loi sur larchivage

(dure de
conservation)

Politique et
orientation
Politique de scurit

Normes et
modles

Normes ISO 17799,

ISO 27001

Architecture dentreprise

Modles daccs (ex RBAC)

Sparation de fonction

Contrat de travail,
relation commerciale

Systme de gestion de la
scurit de linformation

ITIL,SOX(Cobit),
SAS 70, SaaS

Lensemble permet :
Rgles de
gestion

NTI - 2012

Gestion des
sources de
donnes didentit

Identification et
authentification des
utilisateurs

Gestion des rles et

profils daccs

Gestion des
habilitations

www.nti-sa.com

27

Processus
P1

P2

Grer
lidentit

P3

Grer les
profils daccs

P4

Grer
lhabilitation

Arrive nouveau
collaborateur
Changement dans
les donnes
didentit
Dpart dun
collaborateur
autres

Changement
organisationn
el
Changement
de politique
de scurit
Changement
technologique

Demande du
gestionnaire
/ manager

Crer une
identit
Modifier une
identit
Activer une
identit
Modifier les mots
de passe
Traiter les
doublons,
homonymies

Analyser et
planifier les
profils daccs
Crer,
modifier,
dsactiver les
profils daccs
Rvision des
profils
daccs

Attribution
des
profils/rles
Retrait des
profils/rles
Modification
des attributs
dun
uilisateur

Identit (cre,
modifie,
supprime)
Identit active
Mots de passe
modifis
Doublons,
homonymies
traites

NTI - 2012

Profils
daccs(cr,
modifi,
supprim)

Profils /
rles
attribus
Profils /
rles retirs
Attributs
modifis

P5

P6

Grer
les ressources

Grer les
accs

Gestion des
ressources
Gestion des
clients
(ressources,
offre,
applications)

Tentative
daccs dun
utilisateur un
actif physique /
logique

Activit planifie
(audit, politique
scruit)
Risques identifis
autres

Authentifier les
utilisateurs
Contrler les
privilges
daccs un
actif physique /
logique
Autoriser les
accs un actif
physique /
logique

Validation des
identits
Validation du contenu
des profils, rles
Validation des droits
et privilges accords
Valider la conformit
des donnes

Accs autoris
un actif
physique /
logique
Accs refus
un actif
physique /
logique

Mise jour des

Identits
Mise jour du
contenu des profils,
rles
Mise jour des droits
et privilges accords

Gestion des
primtres
Gestion des
owners, des
rattachements
Gestion des
restrictions

Association
rle
habilitation
ressources
Cration/
modification
primtre
Affectaion
user /
perimtre

Revue et
Certification

www.nti-sa.com

28

Services
S1

Identit

S3

Gestion des habilitations

Dfinition, modification,
suppression des attribution de
droits et/ou profils daccs

Dossier didentit
Cration dun dossier didentit
Gestion de lintgrit des
donnes
Gestion des doublons
Global User ID
Cration/gestion de
lidentification unique
Gestion de la temporalit

Libre service
Preuve de lidentit
Initialisation du mot de passe
Gestion de la question secrte
Changement du mot de passe

Habilitation

S4

Ressources

S5

Contrle daccs

SSO

NTI - 2012

Consultation
Consultation des donnes
didentit (personne,
localisation, mtier)
Consultation des profils
dfinis (localisation, mtier)
Consultation des profils
daccs attribus
Consultation des accs

Traabilit

Rles
Gestion des rles
Dfinition, modification,
suppression des rles

Revue / Certification

Gestion des ressources

Dfinition, modification,
suppression des primtres
Habilitation dacteurs

Authentification forte
S2

S6

Revue et certification
Revue des donnes et droits
attribus
Validation / rvocation des
droits accords
Conservation de ces
validations

Fdration didentit

www.nti-sa.com

29

Prconisation :
Gestion de lidentit

NTI - 2012

www.nti-sa.com

30

Prconisation : Gestion de lidentit (1/2)

Mettre en place un rfrentiel didentit centralis avec :
Un identifiant numrique unique eternel associ une
identit (physique) unique sans dpendance avec le cycle
de vie prive (mariage, divorce)
La prise en compte des diffrentes sources dannuaires
(sources dautorit) existantes,
Prise en compte des diffrents flux agissant sur lidentit :
RH (France, autre BU),
Services achats, prestataires
Intrimaires

NTI - 2012

www.nti-sa.com

31

Prconisation : Gestion de lidentit (2/2)

Etre capable didentifier les personnes et les
caractriser : organisation, profils, rles...
Inscription / cration dune identit,
Modification de lidentit et des caractristiques,
Suppression didentits,
Cration des liens entre les diffrentes identits
numriques (identits multiples) d'un mme utilisateur,
Partage de donnes lies aux identits numriques
(identits multiples) d'un mme utilisateur (ou groupe
d'utilisateurs),
Dfinition des attributs susceptible dinduire la
demande des ressources basiques (ex: tel, badge,
messagerie) associes.
NTI - 2012

www.nti-sa.com

32

Prconisation :
Gestion des rles

NTI - 2012

www.nti-sa.com

33

Prconisation : Gestion des rles

Rduction de la notion rle mtier actuel qui englobe trop
de fonctionnalits
Rationalisation des rles sur le mtier ou le besoin
fonctionnel :
Vision claire du rle ou droit attribu,
Pas dinterprtation errone.

Le rle mtier devient une combinaison :

Diffrents rles mtiers ou non mtiers,
Diffrents droits basiques (accs internet, accs des
rpertoires de service...)
Diffrents droits techniques (ex : Admin systme, rseau,
bases de donnes) .
NTI - 2012

www.nti-sa.com

34

Prconisation :
Gestion des habilitations

NTI - 2012

www.nti-sa.com

35

Prconisation : Gestion des habilitations (1/3)

Postulat habilitation :
Lattribution dun (ou plusieurs) rle un (ou plusieurs)
utilisateur,
Le retrait dun (ou plusieurs) rle un (ou plusieurs)
utilisateur,
La dlgation par un garant un (ou plusieurs) utilisateur
dun rle qui lui a t attribu (?)
Le retrait par un garant de la dlgation dun (ou plusieurs) rle
attribue un (ou plusieurs) utilisateur,

Les attributions, dlgations de mme que les retraits de

rles ou de dlgation doivent pouvoir tre paramtrs dans
le temps.

NTI - 2012

www.nti-sa.com

36

Prconisation : Gestion des habilitations (2/3)

Habilitation basique :
Droit standard (Windows, messagerie),

Habilitation mtier :
Habilitation 1 rle mtier exclusivement (?)
Contrainte organisationnelle,
Prise en compte des spcificits des segments.

Prise en compte des mtiers transverses

Rles transverses (Maladie, GTA)
Dlivrer les droits mtiers sur les applications lies loffre
transverse

NTI - 2012

www.nti-sa.com

37

Prconisation : Gestion des habilitations (3/3)

Grer le primtre client diffremment (regrouper les
clients selon des critres) :
Selon les acteurs,
Selon le nombre de clients pour les mmes acteurs,
Selon le contenu de loffre et la profondeur,
Selon la phase du client (MEP, production, changement
doffre)
Selon la localisation

Grer lvolution des primtres dans le temps (ex :

modification de loffre client )

NTI - 2012

www.nti-sa.com

38

Plan dAction

NTI - 2012

www.nti-sa.com

39

Sommaire : Plans daction

Gestion de lidentit
Gestion des rles
Gestion des habilitations
Gestion des ressources
Provisioning
Evolution de lexistant

NTI - 2012

www.nti-sa.com

40

Gestion de lidentit (1/2)

Dfinition du rfrentiel central (Contenu, propritaire)
Dfinition des sources dautorit (France, autres BU)
Dfinition des workflows de gestion et dalimentation
Gestion des flux, des collisions, des homonymies, des
doublons
Rgles de gestion propres ces contraintes,
Intgration des contraintes nationales locales (CNIL),
Intgration de la temporalit dans le cycle de vie identit

NTI - 2012

www.nti-sa.com

41

Gestion de lidentit (2/2)

Rconciliation des diffrentes sources didentit
numriques.
Revue des identits :
Validation des rconciliations, des homonymies,
Revue du mtier,
Revue de lensemble des droits :
Adquation ou pas,
Rvocation de droits hors mtier.

NTI - 2012

www.nti-sa.com

42

Gestion des rles

Redfinir les rles en sappuyant sur le droit et le besoin
Application, rpertoire, accs Internet

Rester un niveau macro pour lattribution de droits, que

ce soit mtier, basique ou technique
Donner la vue macro rle (pas dhabilitation fine applicative)
des droits et simplifier lensemble des processus
attribution / revue / rvocation .

NTI - 2012

www.nti-sa.com

43

Gestion des habilitations

Dfinition des acteurs ayant accs la gestion des
habilitations
Les demandeurs et/ou garant du droit (manager, habilit)
pour des actions
Les bnficiaires pour le suivi

Vision plate des droits dlivrs

Quoi, qui, quand, dans quel rle

NTI - 2012

www.nti-sa.com

44

Gestion des ressources

Dfinition du rfrentiel central
Contenu, propritaire
Regroupement de lensemble des sources dautorit.

Dfinition du workflow de gestion et dalimentation

Gestion des flux, des collisions,
Rgles de gestion propres ces contraintes.

NTI - 2012

www.nti-sa.com

45

Evolution de lexistant

NTI - 2012

www.nti-sa.com

46

Evolution de lexistant
Sappuyer sur les briques existantes pour voluer vers la
nouvelle architecture
Rfrentiels identits existants (HR, Bases de donnes)
Rfrentiels ressources existants
Gestion et dlivrance de droits
Portail daccs
Provisioning

NTI - 2012

www.nti-sa.com

47

Plan projet

NTI - 2012

www.nti-sa.com

48

Plan projet

Gestion des identits

Gestion des rles
Gestion des habilitations
Gestion des ressources
Provisioning
Gestion des identits

Gestion des rles

Gestion des habilitations

Gestion des Ressources

Provisioning

NTI - 2012

www.nti-sa.com

49

Plan projet : Gestion des identits

Gestion des identits
Cration de lannuaire de
rfrence ADP (ARADP)

Procdures dalimentation et
rconciliation dans ARADP

Gestion des homonymies

User Identity Review

Dfinition/mise en uvre des procdures / workflow

Validation des diffrents workflows

Intgration des diffrents workflows dans les BU

Conduite du changement

NTI - 2012

www.nti-sa.com

50

Plan projet : Gestion des rles

Gestion des rles
Dfinition des rles
et des owners

Procdures de rvision des rles

Rules Review

Dfinition/mise en uvre
des procdures / workflow

Validation des diffrents workflows

Intgration des diffrents workflows dans les BU

Conduite du changement

NTI - 2012

www.nti-sa.com

51

Plan projet : Gestion des Habilitations

Gestion des Habilitations
Cration du rfrentiel
habilitations ADP World wide
(reprise existant)

Dfinition/mise en uvre
des procdures / workflow

User Account Review

Analyse des carts

Conduite du changement

Intgration des diffrentes BU

Analyse /reprise de lexistant

Analyse des carts
Formation

NTI - 2012

www.nti-sa.com

52

Plan projet : Gestion des Ressources

Gestion des Ressources
Cration de lannuaire de
ressources
Dfinition/mise en uvre
des procdures / workflow
Analyse /reprise de lexistant
Analyse des carts
Validation des
diffrents workflows

Intgration des diffrents workflows dans les BU

Conduite du changement

NTI - 2012

www.nti-sa.com

53

Plan projet : Provisioning

Provisioning
Analyse des impacts

Intgration identifiant unique rle

Intgration base client / Cie ID
Rapprochement et migration
Droits mtiers / portefeuille / Agence
base client / Cie ID

Modification des procdures de Provisioning dans Control Sa

POC Portefeuille

POC Agence
Intgration des diffrents Workflow dans les BU
Conduite du changement

Analyse /reprise de lexistant

Analyse des carts

NTI - 2012

www.nti-sa.com

54

 NTI - 2012

www.nti-sa.com

55