Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog

Sécurité : mettre en oeuvre un projet de gestion des identités

27 Mars 2008 , Rédigé par Sandrine Publié dans #high tech

Thierry Lévy-Abégnoli, publié le 26 mars 2008 dans ZDNet

Technolog

ie - La gestion des identités réduit les coûts et améliore la sécurité et le confort des utilisateurs. Elle se justifie à partir d'un niveau de complexité qui est mesurable. À défaut, un outil maison sera préféré aux solutions des éditeurs. Tour d’horizon.

Qui, dans une entreprise, possède les droits d'accès d'une application ? Sont-ils révoqués ou modifiés lorsqu'un employé s'en va ou change de fonction ? Qui est habilité à attribuer ces droits et selon quels processus ? Telles sont les questions auxquelles doit répondre un projet de gestion des identités. Outre une sécurité accrue, il doit apporter une baisse des coûts et une amélioration du confort et de la productivité des utilisateurs.

« On estime que ceux-ci passent quinze minutes par jour à se connecter ou se déconnecter. Il est possible de réduire ce temps de 25 à 30 % », affirme Eric de Bernouis, chargé d'affaires conseil chez Telindus. Un gain comparable découle du temps gagné par les personnels gérant l'attribution des droits. Enfin, une allocation très précise de ces derniers permet d'ajuster le nombre de licences, donc d'éviter de payer pour des logiciels non utilisés.

Un seuil de complexité justifiant une gestion des identités

Avant de se lancer, il s'agit de déterminer si une telle démarche se justifie. La complexité de la problématique peut être mesurée par le nombre d'utilisateurs et de comptes applicatifs par utilisateur. « Si le produit de ces deux variables dépasse 5000, par exemple 1000 utilisateurs et 5 applications, alors le seuil d'utilité est atteint », affirme Eric de Bernouis. Même sous ce seuil, l'hétérogénéité des utilisateurs constitue une troisième variable déterminante, mesurée par le nombre de profils différents. Au-dessus de 50 à 100 profils, un projet peut être bénéfique.

Le volet technique d'un tel projet démarre par la construction d'un méta-annuaire qui centralise les profils des utilisateurs et leurs droits, avant de les envoyer vers les différentes bases, via un moteur de synchronisation s'appuyant sur des connecteurs. Pour des raisons historiques, chaque application intègre en effet sa propre base d'utilisateurs. Dans un monde parfait, elles s'appuieraient toutes sur un seul annuaire, par exemple Active Directory. « On peut déjà supprimer une partie de ces bases en adossant directement les nouvelles applications sur AD », affirme Anthony Moillic, directeur technique chez Quest Software, qui fournit pour cela des connecteurs entre AD et des applications et systèmes hétérogènes.

Une difficulté essentiellement organisationnelle

La plus grande difficulté n'est pas technique, mais réside dans l'attribution des droits. Ce processus peut être partiellement automatisé par un moteur de provisioning qui s'appuie sur des profils types et des rôles hiérarchiques. Cela suppose en amont une description, manuelle et fastidieuse, de l'organisation de l'entreprise. Les nombreux cas particuliers seront traités par des processus manuels, basés sur des workflows. Il faudra donc désigner les validateurs.

Enfin, le déploiement d'un portail permet aux utilisateurs d'émettre, en self-service, des requêtes liées aux droits d'accès - demandes de droits, mots de passe oublié, cartes à puce perdues. « Avec la prochaine version de notre solution de gestion des identités, il sera possible de supprimer ce portail en intégrant ses fonctions dans chaque application à laquelle l'utilisateur cherchera à accéder », signale Bernard Ourghanlian, directeur technique et sécurité chez Microsoft.

A ce stade du projet, toute demande passe par un circuit de validation, et chaque utilisateur bénéficie des bons droits. Mais il doit toujours s'identifier auprès de chaque ressource. Une seule procédure d'authentification suffira, si l'on complète le projet par une solution de SSO (signature unique). Mieux encore, le couple identifiant/mot de passe peut être remplacé par une carte à puce ou un système d'authentification forte.

Solution globale ou outil maison

Une solution complète comprend donc un méta-annuaire, des moteurs de synchronisation et de provisioning, un portail de self service et des solutions SSO et d'authentification à carte à puce. De telles offres sont proposées par BMC, CA, Entrust, Evidian, IBM, Oracle, Sun, Siemens ou RSA Security. Microsoft est récemment venu s'ajouter à cette liste.

Ces solutions sont devenues plus abordables et plus simples à déployer mais ne sont pas encore à la portée de toutes les PME. « Les grands comptes veulent une automatisation la plus complète possible. Certaines PME préfèrent développer leur propre outil, en PHP/SQL ou sous Access », affirme Eric de Bernouis.

Le seul automatisme se limite alors à l'envoi d'e-mails demandant aux administrateurs de modifier les droits dans chaque base, sans possibilité de contrôle a posteriori. « Les limites des procédures manuelles seront compensées par une organisation rigoureuse. On fera notamment passer toutes les demandes par une seule personne », conseille Eric de Bernouis.

Brique
Description
Méta-annuaire Référentiel centralisant les profils et droits d'accès.
Connecteurs Interfaces entre le méta-annuaire et les bases d'utilisateurs des systèmes et applications.
Moteur de synchronisation Synchronisation, via les connecteurs, entre le méta-annuaire et les bases d'utilisateurs (ainsi qu'avec le SSO et l'authentification forte).
Moteur de provisioning Portail permettant aux utilisateurs d'émettre des demandes liées aux droits.
Portail orienté self-service SugarCRM
Solution de signature unique (SSO) Solution qui évite à l'utilisateur de s'identifier à nouveau à chaque fois qu'il accède à une application autorisée.
Solution d'authentification (authentification forte, carte à puce...) Solution qui remplace le couple identifiant/mot de passe tout en offrant plus de sécurité.

De nombreuses applications encore : un marché en pleine ébullition qui va voir apparaitre des challengers puis des regroupements...

Partager cet article
Repost0
Pour être informé des derniers articles, inscrivez vous :
Commenter cet article