La sécurité des systèmes dinformations : bien gérer les identités et les rôles dans le respect des contraintes réglementaires par Jérôme Chagnoux et Jean-Luc Rizk Agence IT, Groupe Business & Decision

Communiqué de presse - Bien gérer lidentité, les accès et les habilitations de chaque utilisateur savère être la bonne méthode pour augmenter le niveau de sécurité global. On constate aujourdhui que cest également lun des axes dévolution pour le respect des lois et réglementations auxquelles sont soumises les entreprises : Sarbanes-Oxley, Basel II, LSF

En effet, le système dinformation est aujourdhui au coeur de lactivité économique de lentreprise. Le nombre et la diversité des applications sont la réponse de lentreprise à des contraintes de productivité et dinnovation constante. Au fil du temps, la sécurité du système dinformation est devenue vitale, au-delà même de la problématique de sécurité réseau et des télécommunications.

 

Les solutions apportées par la gestion didentité
« Qui est qui ? », « qui fait quoi ? », « qui accède à quoi ? », « qui a donné le droit à qui de faire quoi ? »
Avant même de savoir ce qui se passe au sein du système dinformation, il est essentiel dêtre capable de répondre à ces questions simples, mais souvent oubliées.
Une problématique dont la complexité augmente puisque les applications sont de plus en plus ouvertes auxacteurs de lentreprise étendue : collaborateurs, prestataires, clients, fournisseurs
La solution passe par la mise en oeuvre dune architecture basée sur trois éléments essentiels :
Lélément de base est avant tout un référentiel qui stocke les composantes de lidentité
numérique : des attributs classiques comme le numéro de téléphone ou la fonction, jusquà tout élément permettant de caractériser un individu dans lorganisation : département dappartenance, sites géographiques, bureaux
Des solutions de synchronisation complètent cette infrastructure pour garantir lindustrialisation de la mise à jour intelligente des données, calée sur des évènements tels que la création dune entrée dans le système RH, une mutation, laffectation dun téléphone
Une infrastructure de gestion des droits daccès et des habilitations qui vise à concevoir un outil
qui permettra de structurer la sécurité du système dinformation (SI) autour dun modèle dhabilitation proche de lorganisation de lentreprise. Partie intégrante dune infrastructure de gestion didentité, elle vient sappuyer sur le cycle de vie de lidentité pour assurer le provisioning des référentiels utilisateurs des applications du système dinformation.
On constate très vite plusieurs avantages à la mise en place dune telle infrastructure, parmi lesquels :
la gestion, pour un utilisateur donné, de ses droits daccès (à une ressource informatique) et de ses habilitations, qui sont généralement liés à son rôle dans lentreprise (notion de rôle métier) ;
la gestion des modifications de périmètre de responsabilités dans lapplicatif, par un suivi détaillé
de laffectation des habilitations (« qui a le droit de déléguer quoi », « qui a délégué quoi à qui ») ;
le suivi des mouvements dun utilisateur : la révocation dhabilitations lors du départ ou de la mutation dune personne, plus communément appelé le « de-provisioning » des utilisateurs ;
laugmentation du niveau de service rendu aux utilisateurs.
Ainsi, le système dinformation est équipé dun référentiel mutualisé, garant dune identité de qualité, de sa traçabilité et de son auditabilité.
Un enjeu majeur : le respect des contraintes réglementaires
Les récents scandales financiers (Enron, Andersen, Worldcom ou Parmalat) ont fait apparaître un manque de contrôle dans les grandes organisations. Cest pour garantir ce contrôle que différentes réglementations nationales et internationales ont été créées avec pour objectif de réformer profondément la gouvernance dentreprise. Quil sagisse de Sarbanes-Oxley, de Basel II ou de la LSF, tout est organisé par le législateur pour assurer la transparence totale de lactivité financière de lentreprise, ainsi que la responsabilisation des dirigeants. Les audits (internes et externes) sont devenus un laissez-passer obligatoire pour la réussite économique.
Cest dans ce contexte fortement règlementé que la traçabilité et lauditabilité prennent tout leur sens. Au-delà dune documentation fine des processus métiers de lentreprise, il est avant tout nécessaire  dêtre capable didentifier quelles personnes au sein dune organisation ont tenté daccéder à des données sensibles non autorisées. Face à ce constat, il est ensuite important de comprendre pourquoi ces tentatives daccès sont en infraction au regard de la politique de gouvernance ou des contraintes réglementaires en vigueur.
Sans une vue détaillée de lactivité et du comportement de chaque personne, lentreprise risque un usage frauduleux de son SI (détournement dinformations sensibles, destruction de documents, ) qui peut aboutir à des pertes financières significatives ou linterruption de son activité économique.

De ce fait, lentreprise doit monitorer toute lactivité de son SI pour identifier et investiguer sur toutes violations volontaires ou accidentelles des règles en vigueur, dans lobjectif final dêtre conforme aux contraintes réglementaires.
Les infrastructures de gestion des droits daccès et des habilitations apportent quelques éléments essentiels pour lobtention de cette conformité. En sassurant de lintégrité des référentiels utilisateurs, il devient plus facile de contrôler les accès (provisioning et dé provisioning des comptes) et daugmenter le niveau global de sécurité. Par ladoption dun modèle dhabilitation métier, limplémentation des règles de séparation de responsabilités requises devient réalisable au niveau du système dinformation.

Il devient ainsi possible dêtre partie prenante dans un audit, en fournissant, par exemple, des rapports formatés à lusage des auditeurs

Lorganisation de lentreprise au coeur de la problématique
La démarche de mise en place, bien que complexe, se heurte le plus souvent à des contraintes liées à lorganisation de lentreprise : il sagit dimpliquer chaque acteur du système dans la sécurité par la description de processus génériques de gestion des habilitations et la description de rôles métiers.
Lapproche méthodologique nécessaire à lélaboration dune telle infrastructure de gestion des habilitations, et notamment des éléments relatifs aux rôles métiers, nécessite une approche pragmatique par itération qui vise à améliorer sans cesse la qualité du système.

Il sagit ici dun modèle d'amélioration continue connu sous le nom de « Roue de Deming » (ou modèle PDCA). Après la définition des objectifs, des actions sont entreprises pour les atteindre. Ensuite, on vérifie la bonne qualité des résultats, puis on se fixe de nouveaux objectifs pour être toujours totalement efficace.

Un projet de gestion didentité est donc avant tout un projet « métier » fortement lié à lorganisation de lentreprise dont la réussite est intimement lié à la motivation de chaque acteur. Mené en bonne intelligence avec tous les responsables impliqués dans la conformité aux contraintes réglementaires, il devient un facteur clé de succès des projets de gouvernance dentreprise.

Contacts Agence IT, Groupe Business & Decision
Jean-Luc Rizk Directeur dAgence
Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. Tél : +33 0(1) 56 21 21 21
Fax : +33 0(1) 56 21 21 22
Jérôme Chagnoux Business Developer IAM
Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.
 

A propos de Business & Decision :
Créé en 1992, Business & Decision est un Groupe international de conseil et dintégration de systèmes spécialisé en Business Intelligence, Gestion de la Relation Client (CRM) et e-Business. Business & Decision accompagne les entreprises dans la mise en oeuvre de systèmes informatiques pour le pilotage des structures et de la performance (reporting, tableaux de bord, consolidation, etc.) ; la connaissance et la gestion du client (outils pour les forces de vente, centres d'appels, gestion de campagnes, CRM analytique) ; et la relation via le Web (portails collaboratifs ou d'entreprises, annuaires et méta-annuaires, e-commerce, knowledge management, Open source).

Avec plus de 1 800 personnes (en France et dans le Monde) qui développent une approche « projet complet » allant du conseil à la réalisation informatique, Business & Decision est reconnu pour son expertise fonctionnelle et technologique par les plus grands éditeurs de logiciels du marché avec lesquels elle a noué des partenariats. Business & Decision compte aujourdhui plus de 1 200 clients.
Coté sur Euronext Paris depuis février 2001 (compartiment C / code Isin : FR 00000 7895 8 / mnémonique : BND), Business & Decision fait partie du segment NextEconomy et participe à lindice IT-Cac (valeurs technologiques).
Pour plus dinformations, consultez les sites Internet : www.businessdecision.com & www.businessdecision.fr
 

Contact presse :
Isabelle Serra
Responsable communication
Business & Decision
Tél : 01 56 21 21 25
Fax : 01 56 21 21 22
E-mail : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.



logo communique presse footer

Suivez-nous !

Suivez communique-de-presse.com sur Twitter afin d'être informé de toutes les actualités.Retrouvez tous les communiqués de presse diffusés et nos actualités sur notre page facebook.Rejoignez communique-de-presse.com sur LinkedInFlux RSS de toutes les catégories de communique-de-presse.com