L’édition 2016 des Kleverdays, perturbée par les mouvements de grèves, a tout de même réuni plus d’une vingtaine d’utilisateurs. Elle a permis de mettre en avant l’importance d’une part d’élaborer une charte dans les entreprises, et d’autre part de déployer des systèmes de séparation des tâches ou SoD associé à des solutions de gestion de rôle.
Bertrand Augé
En préambule Bertrand Augé a remercié chaleureusement les personnes présentes malgré les mouvements qui perturbent très fortement l’activité économique… Il a rappelé que Kleverware vient de recevoir le Label France Cybersecurity. Puis il a lancé les débats.
Frédéric Connes
La charte informatique : une réponse au problème de vie privée au travail
Frédéric Connes, directeur juridique d’HSC by Deloitte a fait un point sur l’accès aux données des salariés. L’avènement de la mobilité, du BYOD, des générations Y… augmentent la porosité entre la vie professionnelle et la vie privée. A ce phénomène, il faut rajouter le concept de droit à la déconnexion qui se fait jour.
Pour ce qui concerne l’accès par l’employeur aux données des salariés, aucun texte de portée générale n’impose à l’employeur de surveiller l’activité de ses salariés… Toutefois, la surveillance est un droit de l’employeur bien sûr pendant le temps de travail. Il faut noter qu’il y a une suppression du concept de lieu de travail. Ainsi la cours européenne considère qu’il n’est pas abusif que l’employeur puisse surveiller l’activité d’un salarié en dehors de l’entreprise. Il y a trois grands principe qui prévalent : la proportionnalité, la transparence et la licité. Ainsi, il faut informer les salariés qu’ils peuvent être surveillés.
En France le législateur et les juges ont reconnu la possibilité de préserver la vie privée au travail, concept qui n’existe pas aux Etats-Unis. Ceci découle du fameux arrêt Nikon. Par rapport à ces règles les enjeux pour l’employeur sont nombreux. Par exemple, s’il ne respecte pas ces règles, les sanctions prises contre un employé pourrait être désavouées et conduire à des pénalités fixées par les juges. De plus, il pourrait avoir des sanctions pénales avec un an d’emprisonnement voir jusqu’à cinq ans d’emprisonnement et jusqu’à cinq millions d’euros pour une personne morale.
La problématique des mails
Pour ce qui concerne les mails, les courriers adressés et reçus dans la boîte professionnelle sont présumés professionnels sauf à les signaler comme personnel. Ceci prévaut sauf à le mentionner dans la charte informatique. Pour identifier les mails personnels, il faut que le salarié ait créé un dossier personnel. Par contre, une messagerie personnelle est présumée personnelle. De ce fait, l’employeur ne peut avoir accès à ces messages sans autorisation explicite de l’employé même s’il n’y a pas de mot de passe pour accéder à la messagerie. Cependant, ceci ne veut pas dire quel employeur ne puisse jamais accéder à cet espace personnel. Il peut y avoir accéder si il prévient l’employé et/ou s’il est présent sans donc avoir recours au service d’un huissier. Il en va de même pour les SMS. Par contre, comme il est difficile de stocker les SMS avec un tag personnel. En ce qui concerne les fichiers stockés, s’ils sont chiffrés sans aucune possibilité d’accès, l’employer peut être licencié pour faute grave. Par ailleurs, l’employeur ayant accès à un fichier personnel, sans autorisation, ne pourra pas sans servir comme élément de preuve. Toutefois un dossier tagger « JM » ou « mes documents » ou « un disque dur entier tagger avec le mot personnel » ne sera pas considéré comme relevant de la vie privé au motif pour les premiers que le tag est trop vague et pour le second que la part dans la vie privée dans l’exercice d’une fonction doit être résiduelle. Par contre, la navigation internet est présumée est intégralement professionnelle. Il y a donc un droit d’accès pour l’employeur. Toutefois, ces accès doivent respecter les principes fondamentaux de la surveillance, le cadre juridique « informatique et libertés » et la vie privée du salarié.
Pour l’interception SSL, il y a un droit de l’employeur à les déchiffrer et à les re-chiffrer. En revanche, il faut que les salariés aient été informés au préalable par exemple en le notifiant dans la charte informatique qui est une recommandation de la CNIL et de l’ANS-SI. Cependant, si le déploiement n’est pas strictement encadré, il peut conduire l’employeur à engager sa responsabilité ! Il a donc recommandé de :
Consulter les instances représentatives du personnel
Informer les salariés de l’installation du dispositif et de ses finalités Idéalement, dans la charte informatique
Respecter les principes de transparence et de loyauté à l’égard des salariés lors de la collecte de données les concernant
Respecter le cadre juridique « informatique et aux libertés »
Dans le cas de l’interception téléphonique elle est considérée comme légale sauf pour les représentants syndicaux. Pour le matériel mis à disposition par l’entreprise, le salarié doit transmettre à l’employeur les mots de passe. Pour les matériels personnels s’ils sont connectés à un matériel professionnel, ils deviennent professionnels et l’employeur a le droit de l’analyser.
L’accès par des collègues
Le CIL ou le DPO n’a pas plus d’accès aujourd’hui que l’employeur. Par contre, avec le règlement européen applicable en 2018, le DPO pourra accéder à l’ensemble des données des salariés. Si l’employeur ne respecte pas cette règle il pourrait encourir une amende supérieure à dix millions d’euros ou 2% du CA annuel. Les administrateurs système pourront eux aussi accéder au mail personnel pour des motifs de maintenance, bien-sûr sous réserve du secret professionnel. En cas de non-respect de la règle de confidentialité, il pourra être sanctionné par une amende.
Le salarié lui-même peut accéder aux informations personnelles détenues sur son compte par son employeur. En cas du départ du salarié volontaire ou non, il faut prévoir une procédure pour encadrer ce départ et la récupération des données à caractères personnels. Ceci se fera dans la charte informatique avec une mention du délais de récupération avant effacement des données. Dans le cas du décès du salaires en poste, un projet de loi en cours d’élaboration permettra de prévoir le cas de récupération par les héritiers de récupérer ces données.
L’accès aux donnés des salariés par des tiers
Un certain nombre d’organismes publics ou encore de tiers sous-traitants comme les prestataires de paie peuvent d’avoir un accès aux données personnelles. Toutefois un recensement de ces organismes doit être fait sous peine de sanction pénale. Dans le cadre de procédure judiciaire il est possible avec l’autorisation d’un juge et en présence d’un huissier d’avoir accès à des données personnelles.
Dans tous les cas la charte informatique comme la PSSI sont des éléments clés pour encadrer ces accès.
Rémi Fournier
La SoD pour remédier à la fraude
Rémi Fournier, Directeur Technique de Synetis a présenté sa vision de la fraude. Il a rappelé les grandes tendances dans ce domaine tirées de l’enquête PwC : 68% des entreprises seraient victimes de fraude interne. Les salariés concernés seraient plutôt des hommes âgés de 30 à 40 ans. Ces fraudes proviendraient le plus souvent du manque de séparation des tâches, d’où l’intérêt de mettre en place des dispositifs de séparation des tâches. D’ailleurs les commissaires aux comptes recommandent de plus en plus de mettre de la séparation des tâches sur l’en-semble des processus métier. De ce fait, il recommande aussi de les associer à des solutions gestion de rôles. Elles permettent de visualiser rapidement les incompatibilités entre les différents accès.
Pour déployer des systèmes de séparation des tâches ou SoD (Segregation of Duties) il faut tout d’abord nommer un responsable de la gouvernance. Généralement on pense que la DSI doit prendre en charge ce dossier. Pour débuter le processus il faut faire de l’inter-applicatif et dans certains cas du détectif mais aussi du préventif. Puis, il faut définir les périmètres incompatibles pour cloisonner les accès. Il faut aussi définir les droits applicatif souvent peu documenter et les processus métiers.
En premier lieu, Rémi Fournier recommande de commencer par la gouvernance de la SoD en définissant clairement un responsable, puis de déterminer des scénarios de fraudes à l’aide d’une matrice. Puis de maintenir cette matrice en prenant en compte tous les droits applicatifs. Il est donc important de mettre en place de l’analyse de risque. Il faut sans arrêt entretenir la matrice de permission à l’ensemble des applicatifs en fonction de l’évolution du SI. Il est nécessaire bien sûr de suivre les plans d’actions et les dérogations nécessaires au bon déroulement du business. Ce processus implique un travail entre plusieurs acteurs la DSI, métiers, l’audit… Il faut donc construire cette matrice de SoD mais aussi définir l’exécution des contrôles. Par la suite, une étape de validation des processus avec les métiers afin d’identifier les éventuels écarts doit être réalisée. Ce processus n’est pas évident car il faut mobiliser et coordonner les différents services. Pour Rémi Fournier, laisser, la SoD à la DSI est insuffisant car le projet risque de ne pas avancer. La SoD est pour lui donc un investissement sur le long terme . Le périmètre de la SoD doit être défini dans le cadre d’une analyse de risque afin de déterminer les points sensibles importants à analyser régulièrement et les autres. Il préconise de déployer un système de gestion de rôle pour simplifier tous ces processus.
En ce qui concerne les entités à intégrer dans la SoD, la DSI doit travailler avec les risques managers. Pour les personnes de l’IT, le chef de projet déterminera leur système de contrôle en justifiant les motifs de leur contrôle spécifique. Dans tous les cas, il faut montrer aux auditeurs un plan d’action réaliste sur le moyen terme. Il est aussi nécessaire de démonter qu’un processus d’amélioration continu est prévu. Pour lui un pré requis est de déployer un outil de gestion de rôle.
Arnaud Fléchard
Arnaud Fléchard a rapidement présente la solution Kleverware IAG qui permet de faire de la gouvernance et de la gestion des accès. Cette solution répond à la question du “qui a le droit à quoi sur le système d’information ? ” Elle repose sur quatre piliers le Contrôle des accès, l’identité Lifecycle c’est à dire la création, la suppression des droits lors des départs, les changements de fonction,…..
Cette solution n’adresse donc pas directement l’IAM traditionnel, mais doit être plutôt considérer comme une aide au contrôle des accès donnés aux sous-traitants, à l’accès aux applications hors du périmètre de l’IAM, des comptes techniques…
Ainsi, Kleverware va contrôler et remedier aux problèmes des processus générique de l’IAM. Cette solution contrôle sans agents, va corréler les règles d’accès… Il n’y a pas de base de données figées mais s’adapter aux sources données. Il y a deux versions Quick start pour faire des contrôles ponctuels ou récurrentes et une version entreprise pour industrialiser les contrôles.
Kleverware IAG : pour des contrôles simplifiés
Puis un RSSI a fait un retour d’expérience de son utilisation de Kleverware IAG. Dans ce groupe fort de plusieurs milliers de collaborateurs issus de la fusion de nombreuses entreprises, le SI est très hétérogène avec plus de 300 applicatifs. Dans cette société le processus de gestion des habilitations standards avec un réseau d’administrateurs délégués. Ce dernier s’occupe de la gestion des demandes, fait des contrôles périodiques pour consolider les mobilités, les départs, les arrivés… La société a aussi déployé un SSO pour simplifier les accès des collaborateurs. Dans le passé les contrôles étaient difficiles à réaliser, coûteux et au final incomplet. De plus, les contrôles externes par les auditeurs étant de plus en plus nombreux, il a fallu pour cette entreprise passe à un outil plus industriel que la feuille Excel. De plus, Il lui fallait faire face au risque de fraude, répondre au besoin des contrôles internes financiers, disposer d’un stock d’habilitation et répondre aux besoins d’audit. La société s’est donc tourner vers Kleverware des 2012. Les équipes IT ont commencé par exporter les données des feuilles Excel. En 2013 un portail de consultation, d’analyse et de révision des droits a été conçu. En 2014 cette base a été enrichie. Puis en 2015, les versions suivantes ont commencé à être déployées. Pour le moment, il reconnaît que les mobilités des salariés, en particulier lors des périodes de transitions, sont encore un peu difficiles à gérer, de même que lors de l’intégration de nouveaux salariés. Pour lui, cette solution répond au plus près à ses besoins, il y a eu une adhésion des administrateurs délégués, mais aussi des gains de productivité sont constatés. Puis un utilisateur, un administrateur délégué de la même société est intervenu afin de donner son point de vue. Pour lui un administrateur délégué est un rempart contre la malveillance et à le pouvoir de refuser certains types d’accès en cas de problème d’habilitation. Depuis l’automne 2012 des ateliers sur les utilisations de Kleverware ont été organisés dans les lesquels il y avait des représentants de la SSI et des administrateurs. Il apprécie les possibilités d’exports, les accès aisés au portail. Il est satisfait de la possibilité d’avoir très facilement une vision très simple des droits d’accès de chaque collaborateur et de les comparer aux autres collaborateurs d’un même service de façon très fine. La révision qui a lieu tous les ans est aussi simplifiée. Il apprécie aussi le système de code couleur qui informe des droits à réviser avec en plus des statistiques de progression qui sont souvent demandées par la SSI. Il attend les évolutions de la solution en particulier pour la gestion des mobilités, la possibilité d’obtenir plus de requêtes comme l’extraction des donnés sur les droits des collaborateurs entre les services. Il pense qu’il faudrait aussi améliorer quelques fonctionnalités de l’outil.
Kleverware IAG : vers une gestion toujours plus fine de la gestion des rôles
Arnaud Fléchard a présenté la roadmap futur d’IAG. Au deuxième semestre une nouvelle version de Kleveware IAG est prévue. Elle inclura un monitoring des demandes de suppressions des droits. Il sera possible de voir les avancés sur les demandes de suppression jusqu’à son traitement final. Elles pourront être vues par les utilisateurs eux-mêmes en temps réel. L’utilisateur pourra même annuler une demande en cas d’erreur. La gestion des mouvements sera mieux prise en compte. L’outil sera paramétrable pour s’adapter au besoin de chaque client. Il permettra de vérifier la légitimité des identités créées dans l’IAM. Il pourra s’assurer que les droits d’une personne sont bien supprimés lors des départs de l’entreprise. Il prendra en compte la gestion des mobilités, afin de rectifier les droits post mobilité.
Aujourd’hui Klerware IAG va détecter tous les mouvements soit en recevant les flux RH et plus seulement les informations de l’AD. Dès lors qu’une information venant du flux RH sera intégrée un re-certification des droits de la personne qui est intégrée ou qui a changée d’activité sera réalisée de façon automatique.
Par ailleurs, des interfaces collaborateurs vont être mise en place avec des interfaces ergonomiques avec des codes couleurs seront intégrées dans l’outil. Des fonctionnalités de gestion des mouvements seront améliorées afin de fluidifier les campagnes de re-certification récurrentes. Des révisions au fil de l’eau seront aussi intégrées. Toutes ces nouvelles fonctionnalités sont en cours de validation avec certains clients de Kleverware.
Dans le futur, Kleverware va proposer des re-certifications à la fois par les propriétaires des ressources et par le manager organisationnel par service, par département… De plus, les fonctionnalités de « role mining » déjà existantes seront améliorées. Aujourd’hui la construction des rôles est piloter surtout par les réglementations et les métiers, toutefois il faut aussi prendre en compte l’existant. Il est donc nécessaire de combiner les deux approches. Des processus de réconciliation automatique ont été conçus par l’éditeur. Ces derniers font l’objet de brevets déposés. Kleverware est aujourd’hui capable de réaliser des algorithmes pour réconcilier les droits donnés en fonction de leur réelle utilité par rapport aux fonctions des salariés. Dans le portail Kleverware veut s’attacher à améliorer la révision régulière des rôles.
Source: GSMAG