Thierry Durand (Phorcys)
"Le RSSI organise avec la DG la gestion des identités"

Problématique de la gestion des identités, rôle du RSSI et regard objectif sur les solutions du marché : l'avis d'un expert de la sécurité, impliqué dans un vaste projet d'IAM au sein d'AG2R et La Mondiale.

Un projet de gestion des identités est-il viable ?

Certains disent que la gestion des identités coûte cher et ne rapporte rien, et que si les entreprises s'y mettent, c'est uniquement par contraintes règlementaires ou exigeances de leurs partenaires. Je pense que ce n'est pas faux, mais c'est une situation limitée à quelques grands comptes internationaux.

Dans l'immense majorité des cas, le contexte est tout autre et les entreprises ne visent pas une compliance Sarbanes-Oxley, le respect de la LSF ou la certification ISO. Dans la pratique, ces sociétés de taille plus modeste disposent d'un Active Directory. Dans cette architecture, elles sont amenées à gérer des identités, ou plus précisément des comptes, quoique la messagerie les amène progressivement à devoir gérer des identités.

En complément de cet Active Directory s'ajoute un deuxième système qui amène un besoin de gestion des comptes utilisateurs, type PeopleSoft. Cela coûte cher et impose de faire une double gestion, une fois dans l'Active Directory, puis dans le deuxième système. Un troisième système complexifiera encore plus ce volet.

La solution peut alors être de type meta-annuaire pour consolider l'ensemble ou de type gestion des identités pour essayer de ne gérer qu'une seule fois et propager les décisions de gestion vers l'ensemble des cibles. Cela fait, l'entreprise a réglé la difficulté introduite par la coexistence des trois systèmes, tout en étant capable d'en accueillir quatre, cinq, six, etc. Le vrai besoin de la gestion des identités se situe là.      

Dans l'expression de besoins, quelles sont vos attentes à l'égard des produits de gestion d'identité ?

La suite logicielle d'IAM doit être capable de proposer une délégation complète à l'intérieur de l'entreprise et de son management de manière à ne pas être centralisée uniquement au sein de l'informatique, mais aussi de recevoir en amont les résultats des travaux menés dans des référentiels. Je pense par exemple, parce que c'est le plus communément reconnu, au référentiel des identités du personnel, probablement la base RH, ou encore le référentiel des prestataires, fournisseurs, etc.

	Thierry Durand, PDG de Phorcys. ©  C. Auffray - JDN Solutions

Il faut après que la suite soit apte à prendre en compte une gestion des droits, pour l'essentiel appuyée sur les rôles de chacune des personnes, mais néanmoins ouverte à la possibilité de trouver ponctuellement des utilisateurs ayant besoin de droits complémentaires indépendamment de leur rôle.

A ce niveau, il faut faire attention à ce que ce Role Based Access Management ne repose pas uniquement sur l'organisation hiérarchique de l'entreprise, ce qui est malheureusement répandu. Si c'est le cas, cela sous-entend que l'affectation d'un individu à une cellule organisationnelle traduit ce que l'entreprise attend de celui-ci et donc ce qu'elle doit lui ouvrir comme droits.

Or ce n'est jamais le cas. Aujourd'hui, l'organisation hiérarchique est essentiellement là pour la gestion des personnes et de leurs carrières. Celui qui justifie des droits dont l'utilisateur a besoin, c'est de moins en moins le supérieur. Le système peut géométriquement être représenté comme une multitude d'axes, avec un axe affectation hiérarchique, mais aussi un axe métier, projets, budgétaire, compétences, historique, etc.

Comment jugez-vous les produits du marché ?

Il n'y a pas de mauvais système aujourd'hui. Si je regarde très concrètement les offres, je relève des différences importantes. Selon la manière dont l'entreprise appréhende son besoin, la réponse sera plutôt vers un éditeur ou un autre.

Si je devais faire des grandes familles, je dirais, il me semble, qu'IBM est très tiré par les données. Avec son pragmatisme habituel, IBM est organisé autour de la donnée qui va permettre à un moment d'arriver à exprimer un droit d'accès et de le contrôler.

Novell est plutôt orienté vers la notion d'intégration autour d'un annuaire d'entreprise et que de ce fait a une architecture certainement très à même de fonctionner pour des moyennes entreprises, mais probablement plus difficile à mettre en œuvre auprès de très grands comptes. La difficulté sera de faire la différence entre la base d'authentification opérationnelle soumise à des contraintes et qui est directement une clef de la disponibilité des systèmes, et d'un autre côté la base à partir de laquelle on édicte le droit. En administration courante, le risque est de pénaliser la production.

L'offre de Sun est elle très médiane et s'oriente vers une démarche processus qui me semble tout à fait intéressante. Mais il y a encore beaucoup d'autres offres sur le marché. Il y en a d'ailleurs une que j'ai largement creusé ces dernières semaines et qui m'apparaît digne d'intérêt, à savoir celle de Courion.

Dans un projet d'IAM quel est le rôle du RSSI ?

Le RSSI, quand il est à l'extérieur de la DSI, ou du moins dispose d'un champ d'action externe à la DSI, va organiser avec la direction générale la façon dont l'entreprise va exploiter l'IAM comme un outil de gouvernance.

Le RSSI participe aussi au choix des solutions techniques, mais non avec une casquette de technicien, mais de fonctionnel afin de vérifier que l'offre technique qui lui est présentée peut effectivement satisfaire le besoin fonctionnel décrit à partir de la manière dont il envisageait l'inscription de cette application dans la gouvernance de l'entreprise.

Vous êtes intervenu en tant qu'AMOA chez AG2R LA MONDIALE pour un projet de gestion des identités et des accès. Quelle était la problématique ?

AG2R et La Mondiale se sont rapprochées pour constituer un groupe offrant une gamme complète de produits en santé, prévoyance, épargne, retraite, dépendance et de services. Les deux entreprises, organisés de longue date pour répondre séparément à leur besoin de SSI, ont été conduites à devoir harmoniser leurs approches.

C'est dans ce contexte que je suis intervenu en employant la méthodologie mise eu point par Phorcys. Alors que des réflexions avaient déjà été engagées de chaque coté, avant rapprochement, pour évaluer les réponses qu'apporterait le référentiel ISO2700x et son SMSI, y compris concernant la gestion des identités et des accès logiques, les organisations en place divergeaient. Les premières analyses ont rapidement conclu à l'intérêt de retenir une des deux organisations comme base à partir de laquelle une réponse unifiée pourra être présentée aux besoins de chacune des deux entités.

La difficulté c'est que, dans la pratique, comme d'ailleurs dans un grand nombre d'entreprises ayant mis en place une gestion centralisée des habilitations dès les années 80, les principes de gestion et les organisations mises en place alors n'ont pas pu évoluer au rythme des bouleversements technologiques de cette fin de 20e siècle et des restructurations de l'entreprise.

Il s'est très vite avéré impossible d'étendre 'simplement' l'une des organisations et ses outils à l'autre entité. Avec le RSSI d'AG2R LA MONDIALE fraîchement en charge de cette problématique, nous sommes convenus que seul un véritable SMSI permettra de s'adapter et maintenir sous contrôle de telles évolutions.

Sur la base de ce constat, quelles décisions ont été prises ?

Il fallait revoir les choses, pas seulement en termes d'outils techniques mais bien plus d'organisation interne. Mon action a été de rencontrer les acteurs de l'organisation actuelle pour essayer de voir comment ils situaient leur propre mission par rapport à cette problématique de sécurité, et d'essayer de faire des propositions pour une évolution sensible tenant compte à la fois de la nécessité de s'orienter vers une ouverture plus grande sur les systèmes de management tels que décrits par la norme ISO27001, et en même temps de mettre en évidence tous les aspects positifs que les hommes de l'organisation actuelle pouvaient continuer d'apporter demain.

Dans cette organisation rénovée, il n'était pour autant pas question de remettre en cause leurs fondamentaux ou d'être obligé de passer plusieurs années de formation complémentaires. Enfin, cette première étape visait aussi à proposer au RSSI du nouvel ensemble un argumentaire lui permettant d'expliquer ces nécessaires évolutions à la DG.

Où en est à présent le projet amorcé chez AG2R ?

Pour pouvoir engager le projet dessiné, présenté à la Direction Générale et accepté, il faut maintenant que soit désigné un chef de projet. Comme pour tout projet à 'forte connotation métier', ce choix est critique et l'indisponibilité du profil requis au sein de l'entreprise peut conduire à retarder l'engagement du projet ou à recourir à un recrutement externe.

Quels sont les bénéfices attendus ?

C'est d'abord de renforcer la sécurité du système de droits d'accès, en renforçant le service aux utilisateurs :

  Solution cohérente sur le périmètre du groupe,

  Prise en compte des évolutions organisationnelles,

  Rendre ce système facilement évolutif pour préparer les changements d'organisation à venir

  Responsabiliser les acteurs métiers du processus

  Etre à même d'identifier "Qui a accès à quoi"

J'ai constaté que des strates demeurent après d'anciennes restructurations ou d'anciens rapprochements. Alors que la politique de l'Entreprise ouvrait la responsabilité d'une même personne au périmètre mutualisé de plusieurs secteurs régionaux par exemple, les outils de gestion des habilitations, qui intégraient déjà les principes modernes de la " segregation of duties ", ne permettaient alors pas d'ouvrir l'ensemble des droits correspondant au même 'identifiant' ...

La volonté de l'entreprise de réorganiser les périmètres de responsabilité individuelle se heurte au manque de souplesse des anciens outils de gestion des habilitations. Je n'ai pas évalué le coût de cette 'non-mutualisation', mais je pense qu'il est important et qu'une économie forte peut être réalisée.

L'existence d'un SMSI aurait permis de mettre en évidence très tôt ces limites et de définir des plans d'actions pour éviter que d'autres situations comparables ne se produisent. Nul doute que la Direction Générale aura été sensible à ces arguments.