| IGA
PAROLE D’EXPERT : l’IGA n’aura plus de secret pour vous
Peux-tu te présenter en quelques lignes ? Peux-tu nous en dire plus sur ton rôle chez Synetis ?
Oui, ça fait bientôt 7 ans que j’évolue dans le domaine des projets informatiques. J’ai tout d’abord passé 5 ans dans la réalisation de projets d’intégration de progiciels bancaires. J’accompagnais mes clients sur des projets d’architecture technique au niveau des SI – en Recherche & Développement et CEXP, mais également sur des projets d’intégration technique de nouvelles fonctionnalités dans des progiciels.
Intéressé par les sujets de sécurité, j’ai finalement rejoint le monde de la cybersécurité et Synetis, il y a aujourd’hui 1,5 ans en me spécialisant en Identity Governance & Administration (IGA). Je suis donc, depuis, consultant confirmé en cybersécurité, référent technique sur la solution SaaS IdentityNow de SailPoint.
Ce qui diffère de mes précédentes expériences – et que je trouve passionnant, c’est que je me positionne sur toutes les phases d’un projet : de la conception à la mise en production, en passant bien évidemment par la réalisation de celui-ci.
Comment décrirais-tu le contexte cyber actuel ?
La cybersécurité est, pour moi, depuis toujours comme un sprint constant. Un long chemin, comprenant de nombreux risques et périls, qui évolue bien plus rapidement que n’importe quel autre secteur… Ces dernières années ont vu, par exemple, le développement de la gestion des identités (remplaçant la gestion des comptes eux-mêmes), la naissance du RGPD ou encore la complexification des systèmes d’information (SI) des entreprises. Une complexité qu’il faut pouvoir adresser !
Toutefois, plus notre société évolue, plus les entreprises et organisations placent leurs données sur des SI. Ces SI se transforment, jour après jour, en de véritables mines d’or pour les attaquants. Les enjeux de sécurité sont alors, eux, de plus en plus forts. Ces entreprises, conscientes du risque, tentent le déploiement de défenses robustes mais plus les défenses déployées sont robustes, plus les attaquants deviennent – logiquement – malins ! En effet, l’attaque et la défense évoluent toujours de concert : plus les défenses sont complexes et plus les attaquants deviendront agiles.
De mon point de vue, la cybersécurité se fait également rattraper par le digital grand public et ce avec le développement à grande échelle des tablettes et smartphones. Effectivement, le digital grand public a créé de nouveaux besoins, vendant une facilité d’utilisation que l’on ne peut plus oublier.
L’informatique a changé en devenant user orienté. Pour toute création, l’utilisateur first est de sorti : le parcours de l’utilisateur et son bon déplacement dans l’application ou sur le site de e-commerce sont pensés en priorité. « La sécurité d’abord » n’existe plus – même si elle reste un élément essentiel dans la conscience des entreprises – et qu’il s’agit d’un des axes du RGPD avec la notion de « sécurité by design » ! Et cela complexifie le cadre d’avancement des projets cyber. Même si de nombreuses entreprises prennent conscience des manquements, failles et vulnérabilités de leurs SI, et tentent d’y remédier. Ces entreprises souhaitent d’ailleurs, dorénavant, obtenir les certifications de sécurité telles que l’ISO 27001. C’est un très beau pas en avant pour la sécurisation des données.
Besoin de conseils pour sécuriser votre entreprise ?
Comment accompagnes-tu tes clients dans leur mise en conformité aux règles de sécurité qui ne cessent d’évoluer ?
Lorsqu’une organisation souhaite se mettre en conformité vis-à-vis des règles de sécurité, il est important de déterminer quel sera le meilleur produit IGA, quelle sera la solution la plus adaptée à leur maturité, au besoin et à la complexité de leurs cas d’usage. Synetis accompagne ces organisations en ce sens !
Les missions de cadrage permettent d’analyser leurs cas d’usage, leurs architectures et leurs besoins au travers d’ateliers techniques et fonctionnels – que mes collègues du Conseil transcrivent par la suite en spécifications fonctionnelles.
Personnellement, mon entrée sur les projets se fait après cette première phase sur la partie « socle technique ». Effectivement, après le choix de la solution – qui sera pour ma part la solution IdentityNow de SailPoint – nous travaillons l’interfaçage de la solution et fournissons les pré-requis pour expliquer à nos clients le fonctionnement technique de l’outil et, ainsi, répondre à toutes leurs questions relatives à l’architecture qui sera mise en place ou aux complexités techniques de celle-ci. Nous adressons tout cela à travers des ateliers d’architecture, de mise en place de connecteurs (Active Directory, source RH, etc.).
Nous proposons vraiment du sur-mesure à nos clients. Nous adaptons toujours la solution choisie et nos méthodes de travail au plus près du contexte et du fonctionnement client. Nous veillons toujours à nous inscrire dans l’état de l’art IAM et conseillons nos clients pour parfaire leurs process – afin d’obtenir le meilleur fonctionnement de l’outil lui-même.
Nous modélisons à la suite de ces ateliers des spécifications fonctionnelles, toute la documentation technique, puis la suite du projet prend vie : la réalisation, les tests UAT (unitaire et de recette), la mise en production, ainsi que la formation utilisateur de l’outil, la conception et, pour finir, l’intégration de la solution répondant à leur cas d’usage et de sécurité.
La gestion de la qualité des données ainsi que la conduite du changement sont également deux phases importantes pour la réussite de ce type de projet.
Grâce à ce travail global, nous aidons nos clients dans leurs parcours d’obtention de la certification ISO 27001 – tant désirée aujourd’hui. Toutefois, toutes ces étapes sont changeantes car la solution Sailpoint – IdentityNow est en constante évolution pour rester au plus près des enjeux cyber mouvants !
On dit souvent que l’objectif de la gouvernance des identités et des habilitations tient en une simple expression « le bon droit, à la bonne personne, au bon moment », qu’en penses-tu ?
C’est une vision un peu trop simpliste à mon goût. C’est une très bonne maxime, à ceci près que la complexité émerge de ce qu’est « le bon droit » et de qui est « la bonne personne » pour servir quel « processus » ! Une identité numérique peut représenter autre chose qu’une identité physique, cela peut être un bateau, un produit de luxe, un bot… la bonne personne à plusieurs facettes.
Mais l’idée est là : fournir le bon niveau de droits aux comptes d’une identité, suivant un cycle de vie et des fonctionnalités respectant les besoins métiers et fournissant le confort « sécurisé » maximal à l’utilisateur final.
Le respect de l’utilisateur final est désormais primordial ! Effectivement, avec la démocratisation des usages digitaux, il nous est dorénavant impossible de proposer des processus trop complexes. Il faut penser à l’expérience « utilisateur ».
Parfois, nous avons également des utilisateurs privilégiés d’une entreprise à prendre en compte. Ceux-ci ne souhaitent souvent, par exemple, pas être intégrés au référentiel RH. Il faut alors trouver des solutions de contournement. Ces particularités rendent le travail légèrement plus complexe !
Quels sont les atouts des solutions cloud IGA ?
Les solutions cloud présentent de nombreux atouts ! Les entreprises peuvent ainsi contractualiser avec un service de qualité, garanti par des éditeurs dont la sécurité est le métier. Même si ce n’est pas indispensable, cela permet de confier la gestion de certaines parties du SI à des entreprises et des experts qualifiés.
Un autre avantage est celui de s’affranchir de la couche infrastructure / système qui demande beaucoup de maintenance, et qui est un vecteur de failles constant. Mais elles permettent aussi d’« isoler » les points sensibles de son SI. La solution IdentityNow de SailPoint permet effectivement de contrôler au quotidien les accès des utilisateurs, de respecter le principe du moindre privilège afin d’éviter tout acte malveillant avec des droits d’administration trop élevés ou non nécessaires. Les solutions cloud permettent également de réduire les coûts d’infrastructures relatifs à la gestion du SI. De fait, tant un SI que les serveurs ou les experts nécessaires à leur bonne sécurisation ont un coût.
La solution IGA IdentityNow de SailPoint a l’avantage d’être bien référencée et configurable facilement aux environnements complexes de chaque entreprise – pour s’y adapter parfaitement. Elle offre également de nombreuses fonctionnalités et sécurise de manière efficace les SI.
Attention cependant, le cloud est une technologie qui facilite la vie mais, à mon sens, tout le monde ne peut pas s’y résoudre. Certaines organisations, telles que les banques et organismes publics, devraient attendre que des solutions Cloud souveraines fassent leurs apparitions – pour des raisons évidentes de contrôle et de gestion de données critiques. Malgré une sécurisation de qualité, les données confidentielles ou sensibles se doivent d’être conservées et protégées dans et par l’organisation elle-même. Tout dépend donc de l’environnement, de l’organisation et de sa fonction !
Pour toi, quel est le top 3 des conseils à donner à une entreprise pour assurer le succès d’un projet IAM ?
Mon premier conseil serait : clarifiez vos besoins en termes de sécurité. Il est important de se poser les bonnes questions, « Où veut-on aller ? Comment veut-on y aller ? Sous quelle contrainte ? », pour ainsi définir ses objectifs et opter pour l’outil le plus adapté à son environnement et son contexte.
Mon second conseil serait : appréhendez vos processus RH, métiers, applicatifs, pour les transcrire lors de la phase de conception. Effectivement, quand on démarre un projet d’IAM – la couche la plus fonctionnelle des piliers de la cybersécurité, il est important de faire entrer les métiers dans l’ensemble des échanges et discussions car on s’adresse à eux, in fine. On se doit de représenter l’idée qu’ils ont de leurs processus. Pour ce faire, les entreprises doivent bien comprendre et connaître leurs cycles et fondamentaux – tels que l’onboarding, le suivi des changements d’emploi, changements de situation géographique… cela permet de comprendre si des comptes sont à révoquer. Aussi, il est important, si possible, de simplifier au maximum les interactions entre les composants du SI et faire le tri entre ce qui est nécessaire et ce qui est plutôt une « habitude » d’utilisation.
Pour finir, je conseillerai aux entreprises de faire attention à la qualité des données des composants de leur SI. Effectivement, il arrive très fréquemment qu’une règle connue, mise en place, testée puis déployée crée des effets de bords en production pour des raisons de qualité des données, de « rectification des données manuellement », etc.
Dans la même dynamique, des données éparses, lacunaires ou incohérentes ne permettent pas d’exploiter correctement les informations des pistes d’audit et les interactions au sein du SI entre la solution IAM et les composants cibles. Cela peut conduire à des failles de sécurité ou des manquements au RGPD – dans le pire des cas.
Mais mon conseil – le plus important – reste tout de même d’accepter de se faire accompagner sur l’ensemble de ces points, que ce soit en interne ou en externe, par des experts dont la sécurité est le métier. Et de, bien entendu, former et faire appliquer les règles de sécurité auprès des utilisateurs de leur SI au sens général, car la première vulnérabilité d’un SI est et restera l’humain.
L’Intelligence Artificielle semble faire son entrée au sein des solutions d’IAM, quels en sont les atouts ?
L’IA est un outil fabuleux d’aide à la décision. Elle fait des débuts prometteurs au sein des solutions d’IAM, offrant aux utilisateurs la possibilité d’être conseillés sur, par exemple, la révocation de droit, la remontée de données anormales, lors des re-certifications, etc. Elle permet à tout un chacun de comprendre et interpréter rapidement des données parfois complexes en termes de recoupement et d’interaction.
L’intelligence artificielle offre donc :
- Une vérification efficiente des données du SI, des comptes et identités, en temps réel ;
- Des conseils qualifiés sur la re-certification des comptes et droits des utilisateurs ;
- Des recommandations sur le catalogue de droit (pour l’utilisateur final) ;
- Un traitement performant des données permettant de remonter, en temps réel, les éléments cruciaux pour les équipes sécurités ;
- Une compréhension plus rapide et simplifiée des données des référentiels, ainsi qu’une analyse complète de celles-ci, des faits et usages des utilisateurs – réalisée grâce à une concaténation des droits octroyés dans la solution IGA avec l’analyse réelle de l’utilisation de ces droits au travers des logs applicatifs, par exemple.