Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

IAM : la gouvernance des identités s’impose

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

Commentaires Commentaires fermés sur IAM : la gouvernance des identités s’impose

Thème central des cinquièmes Rencontres de l’Identity & Access Management, la gouvernance des identités annonce la fin du modèle RBAC, jugé trop tourné vers une vision IT du monde et pas assez proche des métiers.

Sale temps pour le modèle RBAC (Role Based Access Control) : cette vision purement IT de la définition des rôles semble ne plus suffire. C’est en tout cas le sentiment qui émerge de trois jours passés à côtoyer les RSSI, consultants et fournisseurs spécialistes de l’IAM venus confronter leurs attentes et leurs stratégies en la matière. Tous se réunissaient pour la cinquième année consécutive à St-Tropez, à l’invitation d'[Atheos | http://www.atheos.fr/].

RBAC, donc, est mort. Il n’y a pourtant pas si longtemps le marché présentait la création de rôles comme la solution à tous les maux de la gestion des identités et des accès. Grâce à une bonne définition des rôles au sein de l’entreprise il devenait soudain possible de simplifier les processus de création et de révocation de comptes utilisateurs et maîtriser enfin la bête.

Oui mais voilà, encore fallait-il s’entendre sur ce qu’est exactement un rôle. Et c’est la vision IT de la chose qui l’a emporté dans un premier temps : un rôle se limitait alors à une série d’accès aux ressources techniques nécessaires à l’exécution de tel ou tel poste au sein de l’entreprise. Il n’y a dans cette vision aucune orientation métier passée la définition initiale du rôle. Et surtout la IT est systématiquement impliquée dans la création des nouveaux profils.

Or, les équipes IT ne sont pas toujours celles qui connaissent le mieux les métiers. « Nous avons une équipe de certification qui s’arrache les cheveux chaque fois qu’elle reçoit une demande de provisionning ! Et on finit le plus souvent par copier le rôle d’un collaborateur similaire », reconnaît le RSSI d’un grand groupe entre deux présentations. Et un autre d’ajouter, plus loin, « Nous en sommes au point où nous sommes parfois incapables de savoir exactement quels accès sont inclus dans un rôle donné ».

C’est ce focus sur les systèmes IT et non sur les métiers, ainsi que le manque de visibilité, qui semble désormais excéder les RSSI. « Cela fait cinq ans que nous (les RSSI présents aux RIAM, ndlr) intéressons à l’IAM et nous ne sommes toujours pas capables de dire simplement qui accède à quoi. C’est qu’il y a vraiment un souci ! », tempête un autre RSSI entre deux sessions de présentation.

Le souci, semble-t-il, tient au fait que les rôles purement techniques de type RBAC sont trop atomiques pour refléter correctement la complexité du business. Et surtout ils ne peuvent prendre en compte les processus métiers. Aussi séduisant que soit le role mining (on observe qui se connecte à quoi et on regroupe tout ça en des rôles communs) il ne peut intégrer de règles métiers. Ajoutons à cela le manque d’implication du business dans la création, l’attribution et la gestion des rôles, et l’on commence à saisir l’origine du désamour des RSSI pour RBAC.

C’est là qu’intervient le nouveau terme à la mode du jour : la gourvernance des identités. Son objectif est double : d’abord associer la description d’un métier à des règles qui permettront d’adapter dynamiquement les ressources accessibles à l’utilisateur en fonction de règles business ou d’événements. Et ensuite – surtout – de laisser aux métiers une autonomie totale dans l’attribution et la gestion de ces rôles.

« Ce dernier point est hélas mission impossible dans l’état actuel des choses. Nous avons déployé la solution de gestion des identités d’un grand fournisseur. Cela fonctionne et ça provisionne bien. Mais son interface la rend totalement inadaptée aux métiers. Même après l’avoir customisée au maximum de ses capacités, cela reste un outil d’ingénieur pour des ingénieurs. Impossible de l’adapter pour à une utilisation par le business, et surtout il n’y a surtout aucune notion de processus métiers », fulmine un RSSI présent, membre de SecurityVibes.

De là à en déduire qu’il manque à l’IAM une couche d’abstraction supplémentaire destinée à cacher les rôles RBAC et capable d’intégrer des règles métiers, il n’y a qu’un pas. Qui semble avoir été franchi cette année.

« Cela fait cinq ans que j’essaie de sortir le processus d’attribution des rôles du giron de la IT pour le donner aux métiers. Et ce n’est qu’aujourd’hui que je commence à voir des solutions suffisamment mûres pour cela », explique le chef de projet d’un grand groupe venu aux RIAM avec une réalisation à l’étude.

Ces outils, ils étaient représentés durant cette édition des RIAM par des éditeurs tels Aveksa , SailPoint et même Microsoft. Les deux premiers sont de pure-players de l’Identity Governance : leurs solutions offrent une vision des identités « au dessus » des rôles RBAC (sur lesquels ils peuvent d’ailleurs s’appuyer). Ils ajoutent une couche de gestion indépendante des outils de provisionning et de gestion purement IT des rôles. Une couche entièrement tournée vers les métiers et leur « consommation » des identités. Microsoft, de son côté, propose avec Forefront Identity Manager un outil plus générique en mesure de coller plus précisément aux workflows d’habilitation de l’entreprise, mais au prix d’un développement spécifique.

Le nouveau mot-clé introduit par les éditeurs de ces outils est « claim based », ou à la demande. Cette approche de l’identité prône la délégation aux responsables métiers la tâche de d’attribuer les ressources dont leurs collaborateurs ont besoin. Voire laisser les utilisateurs eux-mêmes s’attribuer les ressources qu’ils souhaitent. Ces demandes (« claims ») sont ensuite validées – toujours côté métiers – selon un processus défini par l’entreprise. Une fois acceptées, l’opération de provisionning traditionnelle peut-être lancée indépendamment de cette nouvelle couche, via la solution de gestion des identités existante.

« Finalement, la philosophie derrière cette approche tient en une question : pourquoi impliquer systématiquement la IT quand c’est au métiers de faire le travail, et qu’ils le feront mieux ? », précise Bernard Ourghanlian, Directeur Technique et Sécurité pour Microsoft France.

Mais la gouvernance des identités ne s’arrête pas aux interfaces simplifiées à destination des métiers, ni même à la modélisation d’un workflow d’habilitation. C’est d’ailleurs là que diffèrent les solutions d’Aveksa et Sailpoint de celle de Microsoft. Les deux spécialistes introduisent aussi des notions de conformité réglementaires dans leur gestion des identités (certification automatique des accès, visibilité spécifique sur les systèmes SOX, etc). Et surtout ils reconnaissent qu’une identité est dynamique et que les ressources qui lui sont associées peuvent varier en fonction de divers paramètres extérieurs, voire du contexte.

« C’est un scénario qui m’a séduit avec ces solutions. Si je créé un rôle « Finance » par exemple, je vais lui donner accès à SAP. Mais les réglementations sont très différentes entre les différents pays et je vais être obligé de créer en réalité un rôle « Finance – France » ou « Finance – Allemagne », par exemple. Alors qu’avec une telle solution il n’y aura qu’un seul rôle, dont les ressources associées changeront automatiquement en fonctions de règles, dès que le titulaire du rôle sera muté par exemple de France en Allemagne », détaille un RSSI.

Mieux encore, la gouvernance propose d’introduire la notion de gestion du risque dans l’identité. Car toutes ne sont pas nées égales face au risque. « Distinguer les identités à risque faible, parce que les systèmes auxquels ces utilisateurs ont accès ne sont pas critiques, de celles à risque moyen ou fort, permet de leur appliquer des politiques très différentes », observe Darran Rolls, CTO de SailPoint. Ainsi, l’enregistrement automatique à une ressource donnée pourra n’être autorisé que pour les utilisateurs jugés à risque faible. Tandis que les identités à risque fort seront re-certifiées chaque semaine et leurs actions pourront faire l’objet d’une journalisation particulière. Et bien entendu l’aspect dynamique de la chose permet de ré-évaluer immédiatement le niveau de risque d’une identité dès lors que l’accès à un système jugé critique est ajouté à ses droits.

Tout n’est pas rose au pays de la gouvernance des identités toutefois. « Il y a une vraie résistance à déléguer leur gestion aux métiers. Car l’identité est perçue comme un enjeu politique dans l’entreprise. Qui contrôle l’annuaire estime contrôler l’entreprise. Et aujourd’hui nous constatons que la IT n’est pas toujours disposée à laisser filer ce pouvoir », reconnaît Bernard Ourghanlian, de Microsoft.

Sur le terrain de la technique, aussi, les choses ne sont pas aussi simple. « Certes, les interfaces c’est bien beau mais au final il faut toujours un outil de provisionning solide pour faire le travail. Et lorsqu’on parle de grands comptes avec plusieurs centaines de milliers d’identités, la priorité est souvent donnée à l’outil de provisionning – le moteur – plutôt qu’à l’interface qui va faciliter la vie des métiers. Les RSSI qui tentent aujourd’hui de faire basculer la gestion des identités vers les métiers se sentent souvent encore isolés », commente Alexandre Garret, Directeur Technique d’Atheos.

Et puis il y a la nature humaine, tout simplement : « L’approche claims based est à la mode, mais il faut se méfier : on se rend compte que les utilisateurs ont tendance à choisir tout et n’importe quoi, ce qui déclenche derrière un grand nombre de processus de provisionning pas toujours justifiés. Outre la validation par le management, nous préconisons aussi de réduire la sélection de services disponibles en fonction de la position de l’utilisateur dans l’entreprise. Et là, on en revient à une approche bottom-up partielle avant de pouvoir tirer les bénéfices d’une approche claims-based », met en garde Michel Van Den Berghe, fondateur d’Atheos et organisateur des RIAM.

Alors RBAC est-il réellement mort ? Pas exactement. Les rôles RBAC sont désormais appelés à demeurer cachés aux métiers. Mais ils seront toujours présents sous le capot. « Les rôles sont très importants, mais pas dans le cadre de la gestion des accès : ils permettent en revanche au niveau technique de réellement faciliter les choses, en favorisant une meilleure organisation. Seulement, cela doit rester au niveau technique », nuance Darran Rolls, de SailPoint.

RBAC, donc, n’est pas mort mais seulement enterré sous une couche métiers. Tandis que la gouvernance des identités, elle, ne demande qu’à occuper le devant de la scène.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.