Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Les bénéfices de l’IAM chez Sofinco, deux ans après

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

Commentaires Commentaires fermés sur Les bénéfices de l’IAM chez Sofinco, deux ans après

Que peut-on espérer d’un projet de gestion des identités et des accès ? Stéphane Aubert, le RSSI de Sofinco, est passé par là et nous offre le bilan de son projet d’IAM.

Souvent perçu comme un projet long et complexe, exigeant une défense permanente auprès de la direction comme des utilisateurs, l’IAM a de quoi effrayer les entreprises. Mais après deux ans de déploiement et d’exploitation, Sofinco dresse toutefois un bilan positif de son projet. Intervenant à l’occasion des Rencontres de l’Identity and Access Management (RIAM), organisée par Atheos, le RSSI du groupe expose les cinq bénéfices majeurs amenés par l’IAM.

Un référentiel à jour des personnes, des structures et des droits. « Nous avons désormais un ensemble de workflow qui met le référentiel à jour. Ensuite nous faisons profiter de ce service tous ceux qui en ont besoin (le provisionning, mais aussi les d’audits) », explique Stéphane Aubert, le RSSI de Sofinco. Pour constituer son référentiel, l’établissement s’est appuyé sur toutes les sources de données dont il dispose (listes de prestataires, d’utilisateurs, etc…). C’est long, mais indispensable.

Un modèle unique pour gérer les habilitations de manière industrialisée. L’établissement dispose désormais d’un modèle d’habilitation à 3 niveaux : l’un lié à la technique, où les habilitations systèmes sont la norme, l’autre faisant office de pivot, et un dernier enfin lié aux métiers, où les tâches concrètes de l’entreprise sont représentées. Le niveau « pivot » est essentiel à la souplesse de l’ensemble, afin de permettre aux deux mondes de communiquer. « Nous nous sommes rendus compte que les modèles à deux étages ne fonctionnent pas », estime le RSSI.

Des processus de gestion du personnel renforcés. « J’ai été obligé de représenter qui fait quoi lors de l’arrivée ou du départ d’un prestataire. Et j’ai du le faire valider à très haut niveau; cela n’a rien à voir avec l’outil IAM mais c’est un bénéfice notable du projet », explique Stéphane Aubert.

Une validation officielle des droits. Mieux que la simple rationalisation, la validation assure que quelqu’un va s’engager sur le fait que tel ou tel droit est bien nécessaire dans le cadre de telle ou telle mission. Mais attention : un profil métier est un sac opaque qui contient des clés (les droits). La description du sac (le rôle) doit impérativement représenter finement son contenu. « Il nous a fallu prendre le temps de demander aux directions métiers de passer en revue les rôles qui dépendent d’elles afin de valider son contenu. C’est une étape longue, mais indispensable pour découvrir les droits inutiles », poursuit le RSSI.

L’audit et le contrôle sont de nouveau possible. « Avant notre projet d’IAM, j’avais qualifié notre gestion des habilitations d’inauditable : nous avions essayé d’extraire l’ensemble des droits de cinq personnes à peine, et nous en avions été incapables. Désormais, nous sommes en mesure non seulement de reconstituer tous les droits de nos collaborateurs, mais aussi leur historique (y compris pour ceux qui ont quitté la société, dont on conserve le matricule) », conclue Stéphane Aubert.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.