Le cahier des charges "Conformité des accès : Identités, annuaire, SSO" a été rédigé par des experts indépendants.
653 critères technologiques sont répertoriés pour vous aider à analyser, comprendre et modéliser vos besoins. Ce guide constitue une excellente base pour la prise en main de votre projet et préparer votre cahier des charges.
TÉLÉCHARGER CE CAHIER DES CHARGES
Sommaire du cahier des charges "conformité des accès : identités, annuaire, sso"
1 – Politique de gouvernance des accès : 114 critères
1.1. Gestion des rôles
1.2. Contrôle et traçabilité
1.3. Reporting
2 – Annuaires : 218 critères
2.1. Le support des standards
2.2. La sécurité
2.3. La gestion des referrals
2.4. La gestion des mots de passe
2.5. La gestion des groupes et des rôles
2.6. La disponibilité et monté en charge
2.7. L’administration et l’exploitation
3 – Méta-annuaire : 223 critères
3.1. Les connecteurs
3.2. L’extensibilité des connecteurs
3.3. La jointure
3.4. Le langage de script
3.5. La disponibilité et montée en charger
3.6. L’administration et l’exploitation
4 – Gestion des mots de passe : 98 critères
4.1. Mécanismes de synchronisation des mots de passe
4.2. Connecteurs
4.3. Administration et exploitation
TÉLÉCHARGER CE CAHIER DES CHARGES
Qu'est-ce que la gouvernance des accès ?
La gestion des identités consiste à gérer le cycle de vie des personnes au sein d’une organisation et les impacts induits sur le système d’information :
- allocation des ressources propres (espaces disques, comptes applicatifs, messageries, etc.),
- gestion des niveaux de sécurité et des droits d’accès,
- personnalisation des services.
La gouvernance des accès couvre l’ensemble des aspects technologiques liés à la gestion des identités tels que la gestion des annuaires, des mots de passe, de la sécurité des applications… dans une démarche globale ayant pour objectifs de :
- Définir et mettre en œuvre des processus métier et des stratégies de sécurité.
- Etre capable de prouver que ces stratégies de sécurité sont appliquées tel que défini par le management.
TÉLÉCHARGER CE CAHIER DES CHARGES
Introduction du cahier des charges "conformité des accès : identités, annuaire, sso"
La plupart des applications informatiques nécessitent une gestion des utilisateurs à des fins d’allocation des ressources propres à chacune d’elles (espaces disques, comptes applicatifs, etc.), de sécurité et de droits d’accès, ainsi que de personnalisation des services en fonction des profils et des rôles des individus.
Ainsi, que ce soit pour gérer les utilisateurs d’un réseau local d’entreprise, les prospects ou clients d’un site de commerce électronique, les extranets, les portails collaboratifs ou d’entreprise, les progiciels de gestion intégrés (PGI), les progiciels de gestion de la relation client (CRM), les applications décisionnelles, ou encore les solutions d’authentification forte à l’aide de PKI, il est nécessaire de disposer d’une base d’utilisateurs et d’un service de gestion des comptes applicatifs.
Mais la multitude des applications, des référentiels utilisateurs sous-jacents, et des outils d’administration associés, nuit à la sécurité du système d’information, à l’efficacité des opérations d’administration, ainsi qu’à l’accès rapide aux informations et aux services propres au rôle d’un utilisateur dans l’entreprise.
En effet, le retour d’expérience de ces dernières années a mis en évidence de nouveaux enjeux, qui sont devenus majeurs pour l’entreprise :
- La sécurité dont les menaces ont été favorisées par la prolifération des services en ligne et les réseaux de télécommunications mondiaux
- L’efficacité des opérations dont la complexité augmente considérablement avec le nombre d’utilisateurs et de services Gains de performances liés à un meilleur usage de l’information
- L’accessibilité à l’information gage d’adoption de la multitude de services offerts par l’entreprise, et ceci de façon ciblée par rapport aux attentes de chacun
Pour tous ces aspects, il est apparu durant ces dernières années des technologies, des standards et des outils qui apportent des solutions à l’ensemble des questions posées.
Qu’est ce que la gestion des identités
Lorsqu’on parle de « gestion des identités », on entend par là celle des utilisateurs d’un système d’information. Il ne s’agit donc pas de l’identité d’un individu au sens large, mais de celle nécessaire au fonctionnement des applications informatiques auxquelles il accède. Bien entendu, ces applications sont diverses et concernent aussi bien l’individu en tant qu’employé d’une entreprise, que client d’une autre ou citoyen. Un même individu pourra donc avoir plusieurs identités en fonction du rôle qu’il joue.
Le référentiel des identités
Tout d’abord, il est nécessaire de constituer un référentiel qui va contenir l’ensemble des informations partagées entre différentes applications. Ces informations vont être associées à un individu et vont contenir un ou plusieurs identifiants qui serviront d’index pour y accéder. La constitution de ce référentiel nécessite généralement un annuaire, basé sur la technologie LDAP.
Le référentiel des identités est généralement accompagné d’outils, comme les méta-annuaires, permettant de synchroniser l’ensemble des informations concernant les utilisateurs entre l’annuaire central (ou le référentiel) et celles qui se trouvent éparpillées dans le système d’information de l’entreprise. Ces outils permettent, soit de synchroniser les données avec un référentiel centralisé (par exemple, Microsoft MIIS, Novell Identity Manager, etc.), soit de rediriger en temps réel les requêtes vers la bonne source de données, constituant ainsi une sorte de référentiel virtuel (par exemple, Maxware Virtual Directory, Radiant Logic Virtual Directory Server, etc.). On parle alors d’annuaire ou de méta-annuaire « virtuel ».
La gestion du contenu du référentiel des identités
Ce référentiel doit être accompagné d’outils qui vont permettre aux utilisateurs de consulter eux-mêmes les données qui les concernent et de les mettre à jour si nécessaire, en respectant les processus organisationnel de l’entreprise. Ces outils offrent des interfaces de saisie et de consultation des données de l’annuaire, à l’aide de formulaires qu’il est possible de créer et de modifier via des fichiers de paramétrage, voire d’une interface d’administration de l’outil.
Ils outils savent généralement prendre en compte les règles de confidentialité de l’annuaire afin de protéger les données personnelles des utilisateurs lors de la consultation et de la saisie, et s’adaptent aux contraintes organisationnelles de l’entreprise, nécessitant l’intervention de plusieurs acteurs ou administrateurs, le cas échéant, pour mettre à jour ces données. Ils offrent, pour cela, des mécanismes de workflow permettant d’associer chaque étape d’un processus à un ensemble d’acteurs. Par exemple, la mise à jour du mot de passe peut se faire par l’utilisateur lui-même, mais celle du nom de son responsable hiérarchique ou de sa fonction doit être validée par une personne faisant partie des Ressources Humaines.
L’identification et l’authentification électronique
Ce service est l’un des principaux usages de la gestion des identités. En effet, il constitue le premier niveau de sécurité à mettre en place afin de contrôler l’accès aux ressources de l’entreprise dont les applications informatiques.
L’identification permet de reconnaître l’utilisateur à partir d’un identifiant, généralement court et simple à retenir. L’authentification consiste à s’assurer de l’identité de l’utilisateur à l’aide d’un mot de passe, mais aussi à l’aide d’autres moyens plus sécurisés, comme un certificat électronique, une carte à puce ou encore une signature biométrique (empreinte digitale, forme du visage, etc.).
La gestion des mots de passe
La perte d’un mot de passe par un utilisateur peut s’avérer coûteuse pour les administrateurs s’ils gèrent des milliers de personnes, et si le système d’information est constitué de centaines d’applications. La solution passe par des outils qui d’une part vont permettre de réduire le nombre de mots de passe, voire de les synchroniser automatiquement entre différentes applications, et d’autre part de permettre la réinitialisation du mot de passe par l’utilisateur luimême et ceci à l’aide d’informations complémentaires qu’il devra fournir pour prouver son identité.
L’allocation et la dés-allocation automatisées de ressources
Pour tout nouvel arrivant dans une entreprise, qu’il soit client ou employé, il sera nécessaire d’activer des comptes dans les différentes applications et services auxquels il aura accès. Par exemple, il sera nécessaire de lui créer un compte de messagerie, un compte sur le serveur de fichiers et d’impression de l’entreprise, lui donner accès au portail documentaire sur l’intranet, etc. De plus, la création, suppression et modification des comptes doivent être conforme aux processus organisationnels de l’entreprise. En effet, une filiale d’un groupe pourra gérer de façon autonome ses utilisateurs.
Ou encore, la création d’un nouvel employé dans le système de messagerie, doit normalement commencer par la création de celui-ci dans le système des ressources humaines.
De part la multiplicité des applicatifs et la complexité des processus organisationnel, la gestion de comptes applicatifs peut s’avérer fastidieuse dans les entreprises. Pour cela, il est utile de mettre en place des outils facilitant la création, modification et suppression de ces comptes et ceci de façon centralisée. On désigne aussi cette fonction par « e-provisionning ».
La gestion des droits d’accès aux applications
Il s’agit d’un part de décrire les droits d’accès des utilisateurs aux différentes applications de l’entreprise et d’autre part de contrôler l’accès à celles-ci en respectant ces règles.
La description des droits d’accès peut s’avérer complexe, car elle peut dépendre de plusieurs paramètres comme le rôle ou la fonction de l’individu, voire sa localisation géographique (accès de l’intérieur ou de l’extérieur de l’entreprise), le type de réseau qu’il utilise (l’Internet ou l’Intranet), ou encore le groupe de travail auquel il appartient, etc. Par exemple, il ne pourra accéder aux applications de veille concurrentielle que s’il fait partie de la Direction Marketing, ou encore aux applications financières de l’entreprise que s’il fait partie de la Direction Financière. Le contrôle d’accès aux applications doit par la suite être effectué au moment où l’utilisateur demande l’accès à une application ou à un service donné, et ceci quel que soit le canal de communication utilisé (Internet, intranet, PC ou téléphone mobile).
La fédération des identités
Toutefois, dans certaines situations, il sera utopique de centraliser la gestion des identités. Les cas les plus évidents sont relatifs à des partenaires et fournisseurs. Mettre en place un annuaire partagé entre une entreprise, ses partenaires et fournisseurs, est complexe et ne présente pas toujours beaucoup d’intérêt. Cela pose de nombreux problèmes, comme la définition d’un modèle de données commun et d’un identifiant unique, la synchronisation des données de l’annuaire avec les applications existantes, la maintenance et l’évolutivité de la solution pour répondre à de nouveaux besoins, etc.
La solution passe alors par un réseau de systèmes de gestion des identités, gérant chacun un sous-ensemble des données ou des services, et possédant des interfaces d’échanges standards et ouverts. On parle alors de fédération des identités.
Plusieurs technologies et standards permettent aujourd’hui de réaliser des services de fédération des identités. Ceux-ci s’appuient essentiellement sur les technologies issues de l’Internet comme les Web services et XML. Il s’agit de SAML, Liberty Alliance et WSFederation.
Ces standards offrent les fonctionnalités suivantes :
- Identification et authentification croisée, permettant à un utilisateur d’accéder à un service via une authentification réalisée sur un autre service
- Echange d’attributs, permettant de transmettre d’un service à l’autre un ensemble d’attributs décrivant l’identité de l’utilisateur, comme par exemple son adresse de messagerie, sa langue ou encore son adresse postale ou une adresse de facturation
- Echange de règles d’habilitation, permettant de transmettre d’un service à l’autre une déclaration décrivant les droits de l’utilisateur sur une ou plusieurs ressources. Par exemple, il peut s’agir d’un droit de lecture sur une URL comme ftp://www.domaine.com/dossier
- Fédération de l’identifiant d’un utilisateur, permettant de signaler tout changement d’identifiant à l’ensemble des fournisseurs de services afin d’être en mesure de reconnaître l’utilisateur avec son nouvel identifiant, ainsi que d’associer différentes valeurs à celui-ci en fonction du service auquel il accède
- Gestion des sessions de bout en bout, permettant de déconnecter automatiquement un utilisateur de l’ensemble des sites auxquels il s’est connecté
- Gestion des pseudonymes, permettant de ne pas publier un nom et prénom lors des échanges entre sites afin de conserver l’anonymat à propos de l’utilisateur
Gouvernance des accès et gestion des risques
Les éléments techniques décrits ci-dessus doivent servir un approche plus globale dénommée « gouvernance des accès ».
La gouvernance des accès intègre l’ensemble des aspects technologiques liés à la gestion des identités tels que la gestion des annuaires, des mots de passe, de la sécurité des applications… dans une démarche globale ayant pour objectifs de :
- Définir des processus métier et des stratégies de sécurité
- Mettre en oeuvre ces stratégies de sécurité
- Etre capable de prouver que ces stratégies de sécurité sont appliquées tel que défini par le management
Techniquement mis en oeuvre par les équipes informatiques, la gestion de la gouvernance des accès bascule vers un processus conjoint mené par les équipes informatiques et les cadres fonctionnels. Il s’agit alors en première étape de définir des rôles métiers compréhensibles par les utilisateurs puis d’établir des processus de certification des droits d’accès par les managers fonctionnels.
Par exemple, un responsable comptable devra définir et valider dans les temps les autorisations d’accès détaillées des membres de son équipe. L’automatisation peut ensuite être mise en place. Enfin, une traçabilité complète associée aux différents modèles d’habilitation et aux usages est centrale pour une gouvernance complète des accès.
La mise en oeuvre d’une politique et de processus de gouvernance des accès associe trois populations au sein de l’entreprise :
- Les équipes IT
- Les managers fonctionnels
- Les cadres en charge du risque, de l’audit et de la conformité
Il s’agit d’un projet d’entreprise pour collecter, rationaliser mettre en place processus dont les sponsors sont la plupart du temps la direction générale ou la direction des ressources humaines…