LIVRE BLANC Gestion du changement et de la complexité grâce à la gouvernance des identités et des accès Rien n’est permanent, sauf le changement. Cette ancienne maxime est encore plus vraie de nos jours. Les entreprises doivent gérer leurs systèmes alors que les complexités évoluent et augmentent constamment. Il est essentiel de mettre en oeuvre un environnement de gouvernance des identités et des accès (IAG - Identity and Access Governance) afin de gérer de manière efficace les changements continuels. Dans quelle mesure les facteurs de changement et de complexité vous incitentils à repenser votre approche des identités, de la sécurité et de la gouvernance ? Disposez-vous des outils nécessaires pour relever ces défis ? Avez-vous mis en place les processus permettant à votre entreprise de s’épanouir dans l’écosystème extrêmement dynamique qui s’annonce ? Plusieurs considérations sont à prendre en compte pour planifier l’avenir. Il peut vous sembler que les solutions IAG vous sont imposées par les impératifs de plus en plus complexes de réglementations et de conformité et, de ce fait, qu’elles représentent une charge. Cependant, si vous les utilisez correctement, ces solutions peuvent vous permettre de relever les défis d’un contexte structurel complexe et en constante mutation. La conformité aux réglementations est une initiative importante pour les entreprises, car la complexité et le poids de l’environnement réglementaire ne cessent d’augmenter. De plus, en raison de l’augmentation du nombre de cyberattaques et de menaces internes, les entreprises souhaitent adopter une approche plus efficace, durable et évolutive, de manière à atteindre leurs objectifs de conformité tout en optimisant la sécurité globale de leur structure. Dans le présent livre blanc, nous examinerons certains des défis auxquels sont confrontées les entreprises modernes dans le cadre de leurs efforts de développement et d’adaptation d’un programme de conformité capable de répondre aux besoins actuels et de prendre en charge les nouvelles exigences futures. LIVRE BLANC Table des matières Introduction............................................................................................................................................................... 1 Gestion du changement........................................................................................................................................... 1 Définitions................................................................................................................................................................. 1 Gestion des identités............................................................................................................................................ 1 Gouvernance des accès....................................................................................................................................... 2 Gouvernance des identités et des accès (IAG).................................................................................................... 2 Objectifs en termes d’identité et de sécurité......................................................................................................... 2 Facteurs externes de changement et de complexité................................................................................................ 2 Attaques et violations de sécurité......................................................................................................................... 2 Dans quelle mesure la gouvernance des identités et des accès peut-elle aider ?............................................... 3 Informatique en nuage (cloud computing)............................................................................................................ 3 Dans quelle mesure la gouvernance des identités et des accès peut-elle aider ?............................................... 3 Adoption d’un système mobile.............................................................................................................................. 4 Dans quelle mesure la gouvernance des identités et des accès peut-elle aider ?............................................... 4 Contraintes budgétaires....................................................................................................................................... 4 Dans quelle mesure la gouvernance des identités et des accès peut-elle aider ?............................................... 4 Changement, complexité et IAG.............................................................................................................................. 4 À propos de NetIQ.................................................................................................................................................... 5 LIVRE BLANC : Gestion du changement et de la complexité grâce à la gouvernance des identités et des accès | Introduction La gouvernance des identités et des accès (IAG - Identity and Access Governance) est fondamentale pour toutes les entreprises car, d’une part, les institutions publiques et privées réalisent de plus en plus d’audits et, d’autre part, les contrôles internes sont devenus monnaie courante. Les facteurs identifiant les besoins en IAG sont presque toujours externes à l’entreprise. Dans le contexte économique actuel, les responsables informatiques et les chefs d’entreprise doivent réagir à un certain nombre de pressions, notamment le changement et la complexité, les impératifs de sécurité, le développement technologique et l’augmentation des problèmes liés à la réglementation et à la conformité. La contradiction est criante : les pressions et les besoins augmentent alors que les budgets diminuent. La gestion des changements et de la complexité grâce à la gouvernance peut s’avérer une opportunité en or, si elle est correctement mise en oeuvre. Pour répondre à ces besoins croissants, il est essentiel de disposer des outils et des processus appropriés. Gestion du changement Tout d’abord, pour gérer le changement, il faut absolument le comprendre. Le changement n’est pas un événement ponctuel, mais un processus constant. En cas de nécessité de changement, la tendance naturelle de tout un chacun est d’y résister le plus longtemps possible. Le changement est finalement mis en oeuvre quand il devient absolument impossible de faire autrement. C’est alors qu’un processus rigoureux et dynamique est véritablement mis en place. Le changement est enfin mis en oeuvre, puis les structures de l’entreprise peuvent reprendre leur routine habituelle. Cela dit, il ne faut pas oublier que le changement est constant, et qu’un nouveau besoin se fera forcément ressentir sous peu. La force d’inertie qu’il faut développer pour faire adopter de nouveaux environnements à une entreprise est très importante et très coûteuse... et à chaque fois qu’un nouveau changement s’impose, le même scénario pénible se rejoue. Une fois un changement totalement mis en oeuvre, il est possible qu’un autre changement s’avère nécessaire immédiatement pour qu’une entreprise puisse évoluer adéquatement au sein de son secteur. Afin de gérer de manière efficace les complexités et les changements qui viennent constamment assombrir leur horizon, les entreprises doivent se rendre compte que le changement d’un processus n’est pas une fin en soi... le changement EST le processus. Le changement doit être planifié, désiré, préparé et intégré dans le tissu normal de la culture de l’entreprise. Outre la flexibilité nécessaire pour gérer le changement et la complexité, une entreprise doit absolument disposer d’outils efficaces afin de répondre aux exigences de l’environnement économique actuel, voire de les dépasser. Les systèmes doivent permettre aux responsables informatiques et aux responsables de l’entreprise de visualiser aisément les systèmes complexes, de surveiller les aspects problématiques ou les potentiels de risque, et d’engager les mesures appropriées si les stratégies, les procédures ou les exigences atteignent les limites établies dans le cadre de considérations stratégiques spécifiques. Concernant votre entreprise, dans quelle mesure le changement et la complexité vous incitent-ils à repenser votre stratégie en termes d’identité, de sécurité et de gouvernance ? Le présent document abordera un certain nombre de problématiques et montrera comment l’IAG peut procurer des solutions efficaces. Définitions Avant d’approfondir les éléments déclencheurs de changement et de complexité, voici quelques définitions. Gestion des identités La gestion des identités est une problématique au coeur des structures informatiques. Il s’agit d’assurer le provisioning de matériel et de logiciels, et de gérer les identités des personnes utilisant les ressources de l’entreprise, ainsi que les identités des ressources et des périphériques eux-mêmes. L’identité d’une personne peut comprendre les attributs suivants : • Qui est-elle ? – nom, situation géographique, coordonnées de contact, etc. • Rôles – titre, responsable, etc. • Relations – employé, contractant, fournisseur, etc. Une fois une identité établie, il convient de déterminer la portée appropriée de l’accès de chaque intervenant en créant des relations avec les ressources. Il s’agit en l’occurrence des applications, systèmes, données, groupes, sites physiques et autres ressources de l’entreprise. LIVRE BLANC : Gestion du changement et de la complexité grâce à la gouvernance des identités et des accès | 1 Gouvernance des accès La clé de la gouvernance est de bien comprendre les tenants et aboutissants des accès. La gouvernance relève plus de la responsabilité de l’équipe de direction opérationnelle de l’entreprise que du service informatique. Les outils dans ce domaine sont conçus pour répondre aux besoins de l’entreprise. En effet, ils sont caractérisés par des interfaces simples et conviviales, à l’usage des utilisateurs maîtrisant assez peu les nouvelles technologies. Les problématiques sont les suivantes : Qui a accès ? • Quel est le niveau et le type d’accès ? • Qui a fourni l’accès ? • L’accès a-t-il fait l’objet d’une validation, et est-il approprié pour toutes les identités ? L’accès est-il sécurisé ? • Puis-je surveiller l’utilisation de l’accès ? • Quel risque y a-t-il à accorder l’accès ? Y a-t-il une validation flexible de l’accès ? • Puis-je assurer le provisioning de l’accès au sein des environnements physiques et en nuage ? • Puis-je assigner des accès privilégiés et délégués ? Comment puis-je obtenir l’accès ? • Puis-je donner la possibilité de se loguer à partir de tout périphérique, de n’importe où et pour tous les utilisateurs ? • L’accès peut-il être fédéré ? Gouvernance des identités et des accès (IAG) L’IAG est la convergence de la gestion des identités et de la gouvernance des accès. Des solutions IAG efficaces doivent intégrer de manière transparente les deux systèmes afin de répondre aux objectifs globaux de l’entreprise. Objectifs en termes d’identités et de sécurité Il existe des objectifs communs à toutes les entreprises concernant leurs solutions IAG. En voici quelques exemples : 1. Contrôle des risques et défis liés à l’informatique dans divers environnements (systèmes d’exploitation, matériel, périphériques mobiles et cloud). 2. Les utilisateurs doivent disposer d’un accès approprié et pertinent aux services informatiques pour pouvoir faire leur travail. 3. L’informatique doit être sécurisée et conforme aux stratégies, procédures et réglementations pertinentes, même pour utiliser des périphériques mobiles. Facteurs externes de changement et de complexité Attaques et violations de sécurité Les attaques internes et externes sont de plus en plus nombreuses. Les violations de sécurité constituent un problème majeur dans le monde actuel des entreprises. L’objectif de tous les services marketing est que le nom de l’entreprise figure dans la presse. Par contre, il est essentiel que cette même presse n’ait vent d’aucun cas de violation de sécurité, car l’existence même de l’entreprise en serait menacée. Rien ne nuit plus à la confiance des clients et des régulateurs qu’une violation d’informations sensibles, qu’il s’agisse d’une fuite ou d’un vol de la propriété intellectuelle d’un client. Verizon a indiqué que 58 % de toutes les violations sont imputables à des criminels ou des groupes d’activistes, souvent appelés les « hacktivistes ».1 La plupart des cyber-attaques sont pourtant évitables. Bien souvent, l’entreprise en question disposant de l’information aurait pu éviter l’attaque si elle avait été vigilante et si des procédures préventives avaient été mises en place et appliquées. Il ne suffit pas d’avoir un pare-feu pour empêcher les attaques. Une étude sur la sécurité des entreprises a récemment publié la conclusion suivante : « Une entreprise peut souvent en apprendre plus sur la sécurité de son réseau non pas par les refus d’accès mais par ce qui a été autorisé à y pénétrer. »2 Le nombre d’attaques de la part d’employés internes augmente également. LIVRE BLANC : Gestion du changement et de la complexité grâce à la gouvernance des identités et des accès | 2 Le risque grandissant de violations de sécurité et de données falsifiées ou frauduleuses s’infiltrant dans les systèmes d’entreprises a eu pour conséquence la mise en application de nombreuses lois et réglementations dans le monde des entreprises. En voici quelques-unes : •PCI-DSS •Sarbanes-Oxley •NERC-CIP •FISMA •GLBA •HIPAA •BÂLE III •J-SOX •Solvency ll Dans quelle mesure la gouvernance des identités et des accès peut-elle aider ? Un système IAG performant tel que NetIQ® Access Governance Suite 6, associé à Identity Manager, offre aux responsables d’entreprises un contrôle et des systèmes permettant d’être au fait de tous les accès, et de savoir si ceux-ci sont appropriés. Sur un seul tableau de bord, il est possible d’accéder au profil de chaque utilisateur, ou « cube d’identité », afin d’assurer que la définition de chaque personne contient les rôles et les accès corrects. Les problèmes d’accès accordés initialement et conservés pour de nouvelles missions, même s’ils ne sont plus nécessaires, peuvent être éliminés par le biais d’une certification régulière. Ainsi, les utilisateurs ne reçoivent que l’accès nécessaire pour effectuer leur travail actuel. Il existe un autre problème devant être éliminé : les comptes orphelins. Quand des employés, contractants et fournisseurs ne travaillent plus avec une entreprise, il convient de mettre en place des systèmes pour supprimer automatiquement tout accès à ses ressources. Ces fonctions caractéristiques d’une solution IAG performante (et il en existe beaucoup d’autres) assurent que l’accès est limité aux personnes en ayant véritablement besoin. La surveillance de toutes les données peut être une tâche des plus ardues. Une solution IAG peut traiter de manière efficace les processus de score de risque potentiel, la gestion et la limitation des risques. Des systèmes ont été mis en place pour avertir les responsables d’entreprise concernant les problèmes potentiels et leur permettre de réaliser un suivi efficace des éléments essentiels. Informatique en nuage (cloud computing) Le cloud a fait naître de nouvelles problématiques. Le cloud peut avoir de nombreuses significations, mais le NIST (National Institute of Standards and Technology) le définit comme suit : « la mise à disposition de l’informatique sous forme de service plutôt que de produit, permettant d’alimenter des ordinateurs et d’autres périphériques en ressources, logiciels et informations partagés au titre de service public (comme l’électricité) opérant via un réseau (généralement, Internet) ».3 Puisque les applications logicielles sont livrées au sein d’un modèle SaaS (Softwareas-a-Service), la sécurisation des données des entreprises est un problème de plus en plus épineux. Comment les données sont-elles sécurisées dans le cloud ? Comment les entreprises assurent-elles que les informations sensibles ne sont pas consultées par des personnes ne disposant pas des authentifications ou autorisations adéquates ? Dans quelle mesure la gouvernance des identités et des accès peut-elle aider ? Une solution IAG efficace contrôle l’accès à toutes les ressources d’une entreprise, y compris celles qui se situent dans le cloud. Même si les ressources du cloud sont hors site, elles n’en sont pas pour autant oubliées. Le cloud procure aux entreprises une exceptionnelle évolutivité, car il est offre l’accès à des ressources supplémentaires le cas échéant. Cela dit, pour bénéficier de cet accès, les clients doivent payer des frais supplémentaires. Une solution IAG surveille l’accès et l’utilisation appropriés des ressources basées sur le cloud. Elle assure également que seules les ressources nécessaires sont utilisées, ce qui limite les frais d’utilisation au minimum et permet d’exercer un véritable contrôle. ______________________ « Verizon data breach report 2011: Attackers refining their targets. » Searchsecurity.techtarget.com Robert Westervelt, News Director. Date de publication : 19 avril 2011. 2 « Firewall logging: Telling valid traffic from network ‘allows’ threats. » Searchsecurity.techtarget.com Anand Sastry, Contributor, novembre 2010. 3 Site Web du National Institute of Standards and Technology. http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf 1 LIVRE BLANC : Gestion du changement et de la complexité grâce à la gouvernance des identités et des accès | 3 Adoption d’un système mobile Accès en tout lieu et sur tout type de périphérique. Avec l’avènement des ordinateurs portables, des smartphones et des tablettes, les utilisateurs peuvent accéder aux ressources de l’entreprise même quand ils ne sont pas assis à leur bureau. Ils veulent accéder aux données alors qu’ils sont hors site. Il peut être compliqué de fournir l’accès de manière sécurisée, surtout si les données doivent être consultées hors ligne. Une entreprise doit-elle permettre ce type d’accès ? Si elle le permet, est-elle toujours en conformité ? Que se passe-t-il si une équipe décide de contourner le système et d’obtenir ce qu’elle souhaite de manière non conforme ? Dans quelle mesure la gouvernance des identités et des accès peut-elle aider ? Une solution IAG peut définir des paramètres d’accès en fonction de nombreux critères. Outre le rôle ou le titre, l’accès peut être déterminé également par le périphérique. Les utilisateurs peuvent accéder à des données moins stratégiques par des moyens plus généralistes, mais il est probable que les documents hautement confidentiels devront être contrôlés afin de répondre aux exigences de conformité. Si les utilisateurs nécessitent un accès mobile, il peut leur être accordé et la sécurité des mots de passe peut être contrôlée au niveau de la solution IAG grâce à une technologie révolutionnaire. Ainsi, même si des personnes non autorisées parviennent à voir quel est le mot de passe en « regardant par-dessus l’épaule » de l’utilisateur légitime, elles n’arriveront pas pour autant à obtenir l’accès sur leurs propres périphériques. De nombreux défis existent dans le monde de l’informatique mobile, et les technologies IAG peuvent fournir une solution sécurisée. Contraintes budgétaires La demande augmente alors que les budgets diminuent. Dans le climat économique actuel, les budgets s’amenuisent alors que les besoins et les exigences en matière de gestion des identités et de sécurité augmentent. Les utilisateurs moyens d’ordinateurs maîtrisent de mieux en mieux la technologie, et leurs besoins augmentent en conséquence, alors que la vitesse de diffusion et l’accès deviennent de plus en plus problématiques. Par exemple, les responsables du recrutement ne veulent plus envoyer une demande au service d’assistance et attendre que l’accès soit accordé au nouvel employé. D’autre part, à mesure que des projets se terminent et que d’autres commencent, l’accès des membres des équipes peut très vite changer. La gestion des identités et de la sécurité doit suivre le rythme des activités de l’entreprise, même si les mises à jour et les mises à niveau des systèmes se traduisent par une augmentation de la charge de travail pour l’équipe informatique. Dans quelle mesure la gouvernance des identités et des accès peut-elle aider ? Les systèmes IAG sont essentiels pour assurer correctement le provisioning et pour gérer l’accès aux ressources de l’entreprise. Bien souvent, les processus sont routiniers et répétitifs. Aussi, avec une automatisation efficace, les entreprises peuvent éliminer les interventions régulières et coûteuses en temps du service informatique. Par exemple, le processus de configuration d’une nouvelle recrue peut être déterminé par le rôle du nouvel employé. Une fois les systèmes en place, les membres du service des ressources humaines peuvent saisir les profils des nouveaux employés en attribuant les accès appropriés, en fonction des tâches qu’ils vont réaliser. Quand un employé quitte l’entreprise, le service des RH peut également se reposer sur le processus d’accès automatisé pour assurer la suppression des comptes orphelins. Ni le service informatique ni le responsable opérationnel n’ont à s’impliquer dans une fonction aussi répétitive. Les processus simples tels que l’authentification et le changement de mot de passe peuvent également être gérés facilement grâce à une solution IAG. De plus, à mesure que les systèmes deviennent de plus en plus complexes, un système IAG permet d’identifier et d’éviter les risques de sécurité. En préférant l’approche de gestion des risques proactive à la méthode réactive, les entreprises peuvent concentrer leurs efforts de sécurité sur les aspects et les employés représentant le risque de sécurité le plus élevé. Puisque les budgets rétrécissent, il est souvent nécessaire de se focaliser sur des aspects absolument essentiels, et des protocoles système doivent être mis en place pour assurer une mise en conformité à moindre coût. Changement, complexité et IAG La capacité à gérer le changement et la complexité devient une qualité de plus en plus cruciale. Une solution efficace de gouvernance des identités et des accès permet dans une grande mesure de réaliser cet objectif. Une solution IAG permet de disposer de systèmes automatisés faciles à utiliser, capables de prendre en charge les objectifs de l’entreprise dans un environnement sécurisé. La gouvernance des identités et des accès assure la conformité des entreprises, et bien plus encore. Dans un climat économique complexe et imprévisible, cette solution permet de protéger les ressources les plus précieuses d’une entreprise, notamment la propriété intellectuelle, les données sensibles et surtout, la confiance de ses clients. LIVRE BLANC : Gestion du changement et de la complexité grâce à la gouvernance des identités et des accès | 4 À propos de NetIQ NetIQ est un fournisseur international de logiciels informatiques d’entreprise dont les efforts sont constamment axés sur la réussite de ses clients. NetIQ comble, à moindres frais, les besoins de ses clients et partenaires en matière de protection des informations. De plus, notre société gère les aspects complexes des environnements d’applications dynamiques hautement distribués. Notre portefeuille comprend des solutions automatisées et évolutives, spécialisées dans la gestion des identités, de la sécurité et de la gouvernance, ainsi que des opérations informatiques. Les entreprises sont ainsi en mesure de fournir, mesurer et gérer en toute sécurité des services informatiques à l’échelle de leurs environnements physiques, virtuels et en nuage. Associées à notre approche pratique et orientée client de la résolution des problèmes informatiques récurrents, ces solutions aident les entreprises à réduire les coûts, la complexité et les risques. Pour en savoir plus sur nos solutions logicielles reconnues par les professionnels du secteur, visitez le site www.netiq.com. Ce document est susceptible d’inclure des inexactitudes techniques et des erreurs typographiques. Ces informations subissent périodiquement des modifications. De telles modifications peuvent être intégrées aux nouvelles versions de ce document. NetIQ Corporation est susceptible de modifier ou d’améliorer à tout moment les logiciels décrits dans ce document. Copyright © 2012 NetIQ Corporation et ses affiliés. Tous droits réservés. 562-FR1005-001 DS 07/12 ActiveAudit, ActiveView, Aegis, AppManager, Change Administrator, Change Guardian, Compliance Suite, le logo en forme de cube, Directory and Resource Administrator, Directory Security Administrator, Domain Migration Administrator, Exchange Administrator, File Security Administrator, Group Policy Administrator, Group Policy Guardian, Group Policy Suite, IntelliPolicy, Knowledge Scripts, NetConnect, NetIQ, le logo NetIQ, PSAudit, PSDetect, PSPasswordManager, PSSecure, Secure Configuration Manager, Security Administration Suite, Security Manager, Server Consolidator, VigilEnt et Vivinet sont des marques commerciales ou des marques déposées de NetIQ Corporation ou de ses filiales aux États-Unis. Tous les autres noms de produits et d’entreprises mentionnés sont utilisés à des fins d’identification uniquement et sont susceptibles d’être des marques commerciales ou des marques déposées de leur société respective. France Tour Franklin 100/101, Quartier Boieldieu 92042 Paris la Défense Cedex France Tel: +01 55 62 50 00 Fax: +01 55 62 51 99 Email : [email protected] [email protected] www.netiq.com http://community.netiq.com Pour obtenir la liste complète de nos bureaux d’Amérique du Nord, d’Europe, du Moyen-Orient, d’Afrique, d’Asie-Pacifique et d’Amérique latine, visitez la page : www.netiq.com/ contacts. Suivez-nous : LIVRE BLANC : Gestion du changement et de la complexité grâce à la gouvernance des identités et des accès | 5