Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Humanités
  2. Communication
  3. Marketing

Gestion du changement et de la complexité grâce à la

publicité 
LIVRE BLANC
Gestion du changement et de la
complexité grâce à la gouvernance
des identités et des accès
Rien n’est permanent, sauf le changement. Cette ancienne maxime est encore
plus vraie de nos jours. Les entreprises doivent gérer leurs systèmes alors que les
complexités évoluent et augmentent constamment. Il est essentiel de mettre en
oeuvre un environnement de gouvernance des identités et des accès (IAG - Identity
and Access Governance) afin de gérer de manière efficace les changements
continuels.
Dans quelle mesure les facteurs de changement et de complexité vous incitentils à repenser votre approche des identités, de la sécurité et de la gouvernance ?
Disposez-vous des outils nécessaires pour relever ces défis ? Avez-vous mis en
place les processus permettant à votre entreprise de s’épanouir dans l’écosystème
extrêmement dynamique qui s’annonce ?
Plusieurs considérations sont à prendre en compte pour planifier l’avenir. Il peut
vous sembler que les solutions IAG vous sont imposées par les impératifs de plus
en plus complexes de réglementations et de conformité et, de ce fait, qu’elles
représentent une charge. Cependant, si vous les utilisez correctement, ces solutions
peuvent vous permettre de relever les défis d’un contexte structurel complexe et en
constante mutation. La conformité aux réglementations est une initiative importante
pour les entreprises, car la complexité et le poids de l’environnement réglementaire
ne cessent d’augmenter. De plus, en raison de l’augmentation du nombre de
cyberattaques et de menaces internes, les entreprises souhaitent adopter une
approche plus efficace, durable et évolutive, de manière à atteindre leurs objectifs
de conformité tout en optimisant la sécurité globale de leur structure.
Dans le présent livre blanc, nous examinerons certains des défis auxquels
sont confrontées les entreprises modernes dans le cadre de leurs efforts de
développement et d’adaptation d’un programme de conformité capable de répondre
aux besoins actuels et de prendre en charge les nouvelles exigences futures.
LIVRE BLANC
Table des matières
Introduction............................................................................................................................................................... 1
Gestion du changement........................................................................................................................................... 1
Définitions................................................................................................................................................................. 1
Gestion des identités............................................................................................................................................ 1
Gouvernance des accès....................................................................................................................................... 2
Gouvernance des identités et des accès (IAG).................................................................................................... 2
Objectifs en termes d’identité et de sécurité......................................................................................................... 2
Facteurs externes de changement et de complexité................................................................................................ 2
Attaques et violations de sécurité......................................................................................................................... 2
Dans quelle mesure la gouvernance des identités et des accès peut-elle aider ?............................................... 3
Informatique en nuage (cloud computing)............................................................................................................ 3
Dans quelle mesure la gouvernance des identités et des accès peut-elle aider ?............................................... 3
Adoption d’un système mobile.............................................................................................................................. 4
Dans quelle mesure la gouvernance des identités et des accès peut-elle aider ?............................................... 4
Contraintes budgétaires....................................................................................................................................... 4
Dans quelle mesure la gouvernance des identités et des accès peut-elle aider ?............................................... 4
Changement, complexité et IAG.............................................................................................................................. 4
À propos de NetIQ.................................................................................................................................................... 5
LIVRE BLANC : Gestion du changement et de la complexité grâce à la gouvernance des identités et des accès |
Introduction
La gouvernance des identités et des accès (IAG - Identity and Access Governance) est fondamentale pour toutes
les entreprises car, d’une part, les institutions publiques et privées réalisent de plus en plus d’audits et, d’autre part,
les contrôles internes sont devenus monnaie courante. Les facteurs identifiant les besoins en IAG sont presque
toujours externes à l’entreprise. Dans le contexte économique actuel, les responsables informatiques et les chefs
d’entreprise doivent réagir à un certain nombre de pressions, notamment le changement et la complexité, les impératifs
de sécurité, le développement technologique et l’augmentation des problèmes liés à la réglementation et à la
conformité. La contradiction est criante : les pressions et les besoins augmentent alors que les budgets diminuent.
La gestion des changements et de la complexité grâce à la gouvernance peut s’avérer une opportunité en or, si elle
est correctement mise en oeuvre. Pour répondre à ces besoins croissants, il est essentiel de disposer des outils et
des processus appropriés.
Gestion du changement
Tout d’abord, pour gérer le changement, il faut absolument le comprendre. Le changement n’est pas un événement
ponctuel, mais un processus constant. En cas de nécessité de changement, la tendance naturelle de tout un chacun
est d’y résister le plus longtemps possible. Le changement est finalement mis en oeuvre quand il devient absolument
impossible de faire autrement. C’est alors qu’un processus rigoureux et dynamique est véritablement mis en place.
Le changement est enfin mis en oeuvre, puis les structures de l’entreprise peuvent reprendre leur routine habituelle.
Cela dit, il ne faut pas oublier que le changement est constant, et qu’un nouveau besoin se fera forcément ressentir
sous peu. La force d’inertie qu’il faut développer pour faire adopter de nouveaux environnements à une entreprise est
très importante et très coûteuse... et à chaque fois qu’un nouveau changement s’impose, le même scénario pénible se
rejoue. Une fois un changement totalement mis en oeuvre, il est possible qu’un autre changement s’avère nécessaire
immédiatement pour qu’une entreprise puisse évoluer adéquatement au sein de son secteur. Afin de gérer de manière
efficace les complexités et les changements qui viennent constamment assombrir leur horizon, les entreprises doivent
se rendre compte que le changement d’un processus n’est pas une fin en soi... le changement EST le processus.
Le changement doit être planifié, désiré, préparé et intégré dans le tissu normal de la culture de l’entreprise.
Outre la flexibilité nécessaire pour gérer le changement et la complexité, une entreprise doit absolument disposer
d’outils efficaces afin de répondre aux exigences de l’environnement économique actuel, voire de les dépasser.
Les systèmes doivent permettre aux responsables informatiques et aux responsables de l’entreprise de visualiser
aisément les systèmes complexes, de surveiller les aspects problématiques ou les potentiels de risque, et d’engager
les mesures appropriées si les stratégies, les procédures ou les exigences atteignent les limites établies dans le
cadre de considérations stratégiques spécifiques.
Concernant votre entreprise, dans quelle mesure le changement et la complexité vous incitent-ils à repenser votre
stratégie en termes d’identité, de sécurité et de gouvernance ? Le présent document abordera un certain nombre de
problématiques et montrera comment l’IAG peut procurer des solutions efficaces.
Définitions
Avant d’approfondir les éléments déclencheurs de changement et de complexité, voici quelques définitions.
Gestion des identités
La gestion des identités est une problématique au coeur des structures informatiques. Il s’agit d’assurer le
provisioning de matériel et de logiciels, et de gérer les identités des personnes utilisant les ressources de l’entreprise,
ainsi que les identités des ressources et des périphériques eux-mêmes.
L’identité d’une personne peut comprendre les attributs suivants :
• Qui est-elle ? – nom, situation géographique, coordonnées de contact, etc.
• Rôles – titre, responsable, etc.
• Relations – employé, contractant, fournisseur, etc.
Une fois une identité établie, il convient de déterminer la portée appropriée de l’accès de chaque intervenant en
créant des relations avec les ressources. Il s’agit en l’occurrence des applications, systèmes, données, groupes,
sites physiques et autres ressources de l’entreprise.
LIVRE BLANC : Gestion du changement et de la complexité grâce à la gouvernance des identités et des accès | 1
Gouvernance des accès
La clé de la gouvernance est de bien comprendre les tenants et aboutissants des accès. La gouvernance relève plus
de la responsabilité de l’équipe de direction opérationnelle de l’entreprise que du service informatique. Les outils dans
ce domaine sont conçus pour répondre aux besoins de l’entreprise. En effet, ils sont caractérisés par des interfaces
simples et conviviales, à l’usage des utilisateurs maîtrisant assez peu les nouvelles technologies. Les problématiques
sont les suivantes :
Qui a accès ?
• Quel est le niveau et le type d’accès ?
• Qui a fourni l’accès ?
• L’accès a-t-il fait l’objet d’une validation, et est-il approprié pour toutes les identités ?
L’accès est-il sécurisé ?
• Puis-je surveiller l’utilisation de l’accès ?
• Quel risque y a-t-il à accorder l’accès ?
Y a-t-il une validation flexible de l’accès ?
• Puis-je assurer le provisioning de l’accès au sein des environnements physiques et en nuage ?
• Puis-je assigner des accès privilégiés et délégués ?
Comment puis-je obtenir l’accès ?
• Puis-je donner la possibilité de se loguer à partir de tout périphérique, de n’importe où et pour tous les
utilisateurs ?
• L’accès peut-il être fédéré ?
Gouvernance des identités et des accès (IAG)
L’IAG est la convergence de la gestion des identités et de la gouvernance des accès. Des solutions IAG efficaces
doivent intégrer de manière transparente les deux systèmes afin de répondre aux objectifs globaux de l’entreprise.
Objectifs en termes d’identités et de sécurité
Il existe des objectifs communs à toutes les entreprises concernant leurs solutions IAG. En voici quelques exemples :
1. Contrôle des risques et défis liés à l’informatique dans divers environnements (systèmes d’exploitation,
matériel, périphériques mobiles et cloud).
2. Les utilisateurs doivent disposer d’un accès approprié et pertinent aux services informatiques pour pouvoir
faire leur travail.
3. L’informatique doit être sécurisée et conforme aux stratégies, procédures et réglementations pertinentes,
même pour utiliser des périphériques mobiles.
Facteurs externes de changement et de complexité
Attaques et violations de sécurité
Les attaques internes et externes sont de plus en plus nombreuses. Les violations de sécurité constituent un
problème majeur dans le monde actuel des entreprises. L’objectif de tous les services marketing est que le nom de
l’entreprise figure dans la presse. Par contre, il est essentiel que cette même presse n’ait vent d’aucun cas de violation
de sécurité, car l’existence même de l’entreprise en serait menacée. Rien ne nuit plus à la confiance des clients et des
régulateurs qu’une violation d’informations sensibles, qu’il s’agisse d’une fuite ou d’un vol de la propriété intellectuelle
d’un client.
Verizon a indiqué que 58 % de toutes les violations sont imputables à des criminels ou des groupes d’activistes,
souvent appelés les « hacktivistes ».1 La plupart des cyber-attaques sont pourtant évitables. Bien souvent, l’entreprise
en question disposant de l’information aurait pu éviter l’attaque si elle avait été vigilante et si des procédures
préventives avaient été mises en place et appliquées. Il ne suffit pas d’avoir un pare-feu pour empêcher les attaques.
Une étude sur la sécurité des entreprises a récemment publié la conclusion suivante : « Une entreprise peut souvent
en apprendre plus sur la sécurité de son réseau non pas par les refus d’accès mais par ce qui a été autorisé à y
pénétrer. »2 Le nombre d’attaques de la part d’employés internes augmente également.
LIVRE BLANC : Gestion du changement et de la complexité grâce à la gouvernance des identités et des accès | 2
Le risque grandissant de violations de sécurité et de données falsifiées ou frauduleuses s’infiltrant dans les systèmes
d’entreprises a eu pour conséquence la mise en application de nombreuses lois et réglementations dans le monde
des entreprises. En voici quelques-unes :
•PCI-DSS
•Sarbanes-Oxley
•NERC-CIP
•FISMA
•GLBA
•HIPAA
•BÂLE III
•J-SOX
•Solvency ll
Dans quelle mesure la gouvernance des identités et des accès peut-elle aider ?
Un système IAG performant tel que NetIQ® Access Governance Suite 6, associé à Identity Manager, offre aux responsables
d’entreprises un contrôle et des systèmes permettant d’être au fait de tous les accès, et de savoir si ceux-ci sont appropriés.
Sur un seul tableau de bord, il est possible d’accéder au profil de chaque utilisateur, ou « cube d’identité », afin d’assurer
que la définition de chaque personne contient les rôles et les accès corrects. Les problèmes d’accès accordés initialement
et conservés pour de nouvelles missions, même s’ils ne sont plus nécessaires, peuvent être éliminés par le biais d’une
certification régulière. Ainsi, les utilisateurs ne reçoivent que l’accès nécessaire pour effectuer leur travail actuel.
Il existe un autre problème devant être éliminé : les comptes orphelins. Quand des employés, contractants et
fournisseurs ne travaillent plus avec une entreprise, il convient de mettre en place des systèmes pour supprimer
automatiquement tout accès à ses ressources. Ces fonctions caractéristiques d’une solution IAG performante
(et il en existe beaucoup d’autres) assurent que l’accès est limité aux personnes en ayant véritablement besoin.
La surveillance de toutes les données peut être une tâche des plus ardues. Une solution IAG peut traiter de manière
efficace les processus de score de risque potentiel, la gestion et la limitation des risques. Des systèmes ont été mis
en place pour avertir les responsables d’entreprise concernant les problèmes potentiels et leur permettre de réaliser
un suivi efficace des éléments essentiels.
Informatique en nuage (cloud computing)
Le cloud a fait naître de nouvelles problématiques. Le cloud peut avoir de nombreuses significations, mais le NIST
(National Institute of Standards and Technology) le définit comme suit : « la mise à disposition de l’informatique
sous forme de service plutôt que de produit, permettant d’alimenter des ordinateurs et d’autres périphériques en
ressources, logiciels et informations partagés au titre de service public (comme l’électricité) opérant via un réseau
(généralement, Internet) ».3 Puisque les applications logicielles sont livrées au sein d’un modèle SaaS (Softwareas-a-Service), la sécurisation des données des entreprises est un problème de plus en plus épineux. Comment les
données sont-elles sécurisées dans le cloud ? Comment les entreprises assurent-elles que les informations sensibles
ne sont pas consultées par des personnes ne disposant pas des authentifications ou autorisations adéquates ?
Dans quelle mesure la gouvernance des identités et des accès peut-elle aider ?
Une solution IAG efficace contrôle l’accès à toutes les ressources d’une entreprise, y compris celles qui se situent
dans le cloud. Même si les ressources du cloud sont hors site, elles n’en sont pas pour autant oubliées. Le cloud
procure aux entreprises une exceptionnelle évolutivité, car il est offre l’accès à des ressources supplémentaires le
cas échéant. Cela dit, pour bénéficier de cet accès, les clients doivent payer des frais supplémentaires. Une solution
IAG surveille l’accès et l’utilisation appropriés des ressources basées sur le cloud. Elle assure également que seules
les ressources nécessaires sont utilisées, ce qui limite les frais d’utilisation au minimum et permet d’exercer un
véritable contrôle.
______________________
« Verizon data breach report 2011: Attackers refining their targets. » Searchsecurity.techtarget.com
Robert Westervelt, News Director. Date de publication : 19 avril 2011.
2
« Firewall logging: Telling valid traffic from network ‘allows’ threats. » Searchsecurity.techtarget.com Anand Sastry, Contributor, novembre 2010.
3
Site Web du National Institute of Standards and Technology. http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf
1
LIVRE BLANC : Gestion du changement et de la complexité grâce à la gouvernance des identités et des accès | 3
Adoption d’un système mobile
Accès en tout lieu et sur tout type de périphérique. Avec l’avènement des ordinateurs portables, des smartphones
et des tablettes, les utilisateurs peuvent accéder aux ressources de l’entreprise même quand ils ne sont pas assis à
leur bureau. Ils veulent accéder aux données alors qu’ils sont hors site. Il peut être compliqué de fournir l’accès de
manière sécurisée, surtout si les données doivent être consultées hors ligne. Une entreprise doit-elle permettre ce
type d’accès ? Si elle le permet, est-elle toujours en conformité ? Que se passe-t-il si une équipe décide de contourner
le système et d’obtenir ce qu’elle souhaite de manière non conforme ?
Dans quelle mesure la gouvernance des identités et des accès peut-elle aider ?
Une solution IAG peut définir des paramètres d’accès en fonction de nombreux critères. Outre le rôle ou le titre,
l’accès peut être déterminé également par le périphérique. Les utilisateurs peuvent accéder à des données moins
stratégiques par des moyens plus généralistes, mais il est probable que les documents hautement confidentiels
devront être contrôlés afin de répondre aux exigences de conformité. Si les utilisateurs nécessitent un accès mobile,
il peut leur être accordé et la sécurité des mots de passe peut être contrôlée au niveau de la solution IAG grâce à une
technologie révolutionnaire. Ainsi, même si des personnes non autorisées parviennent à voir quel est le mot de passe
en « regardant par-dessus l’épaule » de l’utilisateur légitime, elles n’arriveront pas pour autant à obtenir l’accès sur
leurs propres périphériques. De nombreux défis existent dans le monde de l’informatique mobile, et les technologies
IAG peuvent fournir une solution sécurisée.
Contraintes budgétaires
La demande augmente alors que les budgets diminuent. Dans le climat économique actuel, les budgets s’amenuisent
alors que les besoins et les exigences en matière de gestion des identités et de sécurité augmentent. Les utilisateurs
moyens d’ordinateurs maîtrisent de mieux en mieux la technologie, et leurs besoins augmentent en conséquence,
alors que la vitesse de diffusion et l’accès deviennent de plus en plus problématiques. Par exemple, les responsables
du recrutement ne veulent plus envoyer une demande au service d’assistance et attendre que l’accès soit accordé
au nouvel employé. D’autre part, à mesure que des projets se terminent et que d’autres commencent, l’accès
des membres des équipes peut très vite changer. La gestion des identités et de la sécurité doit suivre le rythme
des activités de l’entreprise, même si les mises à jour et les mises à niveau des systèmes se traduisent par une
augmentation de la charge de travail pour l’équipe informatique.
Dans quelle mesure la gouvernance des identités et des accès peut-elle aider ?
Les systèmes IAG sont essentiels pour assurer correctement le provisioning et pour gérer l’accès aux ressources
de l’entreprise. Bien souvent, les processus sont routiniers et répétitifs. Aussi, avec une automatisation efficace, les
entreprises peuvent éliminer les interventions régulières et coûteuses en temps du service informatique. Par exemple,
le processus de configuration d’une nouvelle recrue peut être déterminé par le rôle du nouvel employé. Une fois
les systèmes en place, les membres du service des ressources humaines peuvent saisir les profils des nouveaux
employés en attribuant les accès appropriés, en fonction des tâches qu’ils vont réaliser. Quand un employé quitte
l’entreprise, le service des RH peut également se reposer sur le processus d’accès automatisé pour assurer la
suppression des comptes orphelins. Ni le service informatique ni le responsable opérationnel n’ont à s’impliquer dans
une fonction aussi répétitive. Les processus simples tels que l’authentification et le changement de mot de passe
peuvent également être gérés facilement grâce à une solution IAG.
De plus, à mesure que les systèmes deviennent de plus en plus complexes, un système IAG permet d’identifier
et d’éviter les risques de sécurité. En préférant l’approche de gestion des risques proactive à la méthode réactive,
les entreprises peuvent concentrer leurs efforts de sécurité sur les aspects et les employés représentant le risque
de sécurité le plus élevé. Puisque les budgets rétrécissent, il est souvent nécessaire de se focaliser sur des aspects
absolument essentiels, et des protocoles système doivent être mis en place pour assurer une mise en conformité à
moindre coût.
Changement, complexité et IAG
La capacité à gérer le changement et la complexité devient une qualité de plus en plus cruciale. Une solution efficace
de gouvernance des identités et des accès permet dans une grande mesure de réaliser cet objectif. Une solution
IAG permet de disposer de systèmes automatisés faciles à utiliser, capables de prendre en charge les objectifs
de l’entreprise dans un environnement sécurisé. La gouvernance des identités et des accès assure la conformité
des entreprises, et bien plus encore. Dans un climat économique complexe et imprévisible, cette solution permet
de protéger les ressources les plus précieuses d’une entreprise, notamment la propriété intellectuelle, les données
sensibles et surtout, la confiance de ses clients.
LIVRE BLANC : Gestion du changement et de la complexité grâce à la gouvernance des identités et des accès | 4
À propos de NetIQ
NetIQ est un fournisseur international de logiciels informatiques d’entreprise dont les efforts sont constamment axés
sur la réussite de ses clients. NetIQ comble, à moindres frais, les besoins de ses clients et partenaires en matière de
protection des informations. De plus, notre société gère les aspects complexes des environnements d’applications
dynamiques hautement distribués.
Notre portefeuille comprend des solutions automatisées et évolutives, spécialisées dans la gestion des identités,
de la sécurité et de la gouvernance, ainsi que des opérations informatiques. Les entreprises sont ainsi en mesure
de fournir, mesurer et gérer en toute sécurité des services informatiques à l’échelle de leurs environnements
physiques, virtuels et en nuage. Associées à notre approche pratique et orientée client de la résolution des problèmes
informatiques récurrents, ces solutions aident les entreprises à réduire les coûts, la complexité et les risques.
Pour en savoir plus sur nos solutions logicielles reconnues par les professionnels du secteur, visitez le site
www.netiq.com.
Ce document est susceptible d’inclure des inexactitudes techniques et des erreurs typographiques. Ces informations subissent périodiquement des modifications. De telles modifications peuvent
être intégrées aux nouvelles versions de ce document. NetIQ Corporation est susceptible de modifier ou d’améliorer à tout moment les logiciels décrits dans ce document.
Copyright © 2012 NetIQ Corporation et ses affiliés. Tous droits réservés.
562-FR1005-001 DS 07/12
ActiveAudit, ActiveView, Aegis, AppManager, Change Administrator, Change Guardian, Compliance Suite, le logo en forme de cube, Directory and Resource Administrator, Directory Security
Administrator, Domain Migration Administrator, Exchange Administrator, File Security Administrator, Group Policy Administrator, Group Policy Guardian, Group Policy Suite, IntelliPolicy, Knowledge
Scripts, NetConnect, NetIQ, le logo NetIQ, PSAudit, PSDetect, PSPasswordManager, PSSecure, Secure Configuration Manager, Security Administration Suite, Security Manager, Server Consolidator,
VigilEnt et Vivinet sont des marques commerciales ou des marques déposées de NetIQ Corporation ou de ses filiales aux États-Unis. Tous les autres noms de produits et d’entreprises mentionnés
sont utilisés à des fins d’identification uniquement et sont susceptibles d’être des marques commerciales ou des marques déposées de leur société respective.
France
Tour Franklin
100/101, Quartier Boieldieu
92042 Paris la Défense Cedex
France
Tel: +01 55 62 50 00
Fax: +01 55 62 51 99
Email : [email protected]
[email protected]
www.netiq.com
http://community.netiq.com
Pour obtenir la liste complète de
nos bureaux d’Amérique du Nord,
d’Europe, du Moyen-Orient, d’Afrique,
d’Asie-Pacifique et d’Amérique latine,
visitez la page : www.netiq.com/
contacts.
Suivez-nous :
LIVRE BLANC : Gestion du changement et de la complexité grâce à la gouvernance des identités et des accès | 5
Documents connexes
Identités remarquables
Identités remarquables
Hospitalisation A faire pour tous les enfants hospitalisés 1/1
Hospitalisation A faire pour tous les enfants hospitalisés 1/1
S ti ti i é d
S ti ti i é d
Proclamation et Preuve d`identité dans le monde grec
Proclamation et Preuve d`identité dans le monde grec
Dessin Photographie Tennis / Volley Société de Jeunesse Gestion d
Dessin Photographie Tennis / Volley Société de Jeunesse Gestion d
Les sept facteurs de compétitivité par l`«identité numérique
Les sept facteurs de compétitivité par l`«identité numérique
Chronique 7 Troubles de santé mentale que l`on connait moins
Chronique 7 Troubles de santé mentale que l`on connait moins
Titre de l`itinéraire
Titre de l`itinéraire
Calendrier des devoirs surveillés N°1
Calendrier des devoirs surveillés N°1
Téléchargement
publicité