Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Kleverdays 2017 : sous le signe du RGPD

juin 2017 par Marc Jacob

Pour cette 10ème édition des Kleverdays, Kleverware proposait une session riche en contenu avec les présentations de Jean-Yves Mathieu, Head of Information Security Department de Aubay Luxembourg, de Philippe Trouchaud, Associé chez PWC et bien sûr la présentation des nouveautés et de la roadmap de Kleverware IAG par Arnaud Fléchard, le directeru technique de Kleverware.

Bertrand Augé le CEO de Kleverware a débuté son intervention en rappelant que pour la première fois les Kleverdays se sont déroulées avec succès à Luxembourg. Pour cette 10ème édition, française l’accent a été mis sur le RGPD et les compréhensions de la cybersécurité par les dirigeants.

Arnaud Fléchard, directeur technique de Kleverware a présenté sa solution de gouvernance des identités et des accès Kleverware IAG. Cette solution répond à la fameuse question du qui a accès à quoi ? sur le SI.

Cette problématique adresse le respect des processus : l’identité Life Circle Management qui prend en compte toute la gestion des changements dans la carrière des personnels avec le changement des droits après un nouveau type de fonction dans l’entreprise mais aussi la cohérence des droits et enfin la maîtrise des risques et de la conformité afin de supprimer les comptes dormants en fonction des règles de la PSSI.

Arnaud Fléchard rappelle que sa solution est bien complémentaire des solutions d’IAM traditionnels qui permettent un provisionnement plus rapide des comptes. Par contre, autour de ces solutions, il faut s’assurer de la légitimité des comptes créés en particulier pour la gestion des prestataires. De plus, des applications ne sont pas couvertes par l’IAM et d’autres doivent être faits manuellement. Sans compter la gestion de tous les comptes orphelins et clandestins qui n’est pas pris en compte par l’IAM. En outre, l’IAM ne gère pas les SOD, les comptes génériques créés pour des besoins propres avec souvent des droits à privilège. C’est à tous ces problèmes que répond Kleverware IAG. Cette solution est alimentée par le référentiel des identités en homogénéisant toutes ces sources. À partir de cette première étape la solution permet de renforcer la conformité en supprimant toutes les incohérences en matière de droit d’accès. La solution à des extracteurs entre autre pour Sharepoint, les serveurs Windows...à partir de toutes ses données une homogénéisation est faite avec un reporting. Ceci permet en plus de faire des revues des comptes qui est une demande expresse des auditeurs. La solution utilise directement le langage et la complexité de chaque client afin de s’adapter.

Kleverware IAG contient plusieurs modules qui permettent de couvrir la plus part des besoins en matière des GRC. Pour débuter la mise en place d’une telle solution, la première étape est de collecter toutes les données en provenance de l’infrastructure à commencer par celles de l’Active Directory. Pour lui, il ne faut pas négliger l’approche projet pour récupérer toutes ces informations. Puis, un premier module d’homogénéisation est utilisé pour obtenir des données uniformes. Lorsqu’il n’y pas d’identification unique un rapprochement est réalisé soit de façon automatique soit en cas de doute de façon manuel. Avec K Mapping cela peut être le moment de penser à créer des comptes uniques par personne. Par la suite, un modèle est créé sur mesure pour chaque entreprise. Ce dernier permet aux auditeurs de mieux comprendre les différents accès de l’ensemble des collaborateurs. Quant aux comptes dormants, suite à la création de règles de destruction, une gestion automatique est réalisée. En outre, la solution fournit des indicateurs de conformité qui permettent aisément de se benchmarker. Bien sûr, des rapports très visuels sont fournis. À cette étape, qui correspond au déploiement de la solution Quick Start d’ IAG, il faut mettre en place un client lourd et serveur. L’entreprise peut par la suite passer à la seconde étape, la mise en place du portail d’administration qui automatise les processus en permettant une visualisation aisée des droits d’accès de façon synthétique et détaillée. Ceci offre possibilité de voir très facilement toutes les anomalies, de réaliser de la révision des droits en vue de pouvoir tracer toutes les campagnes de révision de droits. Cette solution mémorise les évolutions des droits ce qui simplifie le travail pour les nouvelles campagnes.

Jean-Yves Mathieu

Le RGPD sous le prisme de la GRC

Jean-Yves Mathieu, responsable du département Sécurité d’Aubay Luxembourg a fait le point sur le RGPD. Cette société de consulting a créé un département RSSI à la demande qui offre des services de gestion de risque, avec un focus sur le RGPD, la sensibilisation, l’aide à la création d’un poste de RSSI. En outre, Aubay intègre la solution Klerverware IAG.

Le RGPD implique des contraintes avec entre autre la création d’un DPO, la tenue d’un registre des traitements, la responsabilité des traitements, la cartographie des données, la finalité de la collectes des données, leurs destructions, leurs modifications... les mesures de Sécurité techniques comme le chiffrement des données. Jean-Yves Mathieu rappelle que le DPO est obligatoire pour toutes les entreprises qui traitent des données de façon automatisées mais aussi les collectivités locales, les organismes de santé. Le DPO doit être facilement joignable, il peut être mutualisé en fonction de la taille des structures. Des mesures techniques proportionnées aux risques doivent être mise en œuvre. Les entreprises doivent s’assurer que les outils techniques utilisés soient bien à l’état de l’art. Le RGPD recommande de faire de la pseudonymisation. En cas de violation, le DPO a 72 heures pour prévenir l’autorité de contrôle (le samedi dimanche inclus).

Dans ce contexte l’outil Kleverware permet de savoir qui a accès à quoi, de restreindre les accès et d’éviter donc les risques et les coûts.

Il rappelle que l’amende de 4% ne sera effective que SI une entreprise n’a rien fait en matière de protection des données. C’est pour cela qu’une démarche doit être entreprise sans tarder à commencer par la cartographie des données, la nomination d’un DPO, la mise en place d’un système de suppression ou la rectification des données de façon rapide en cas de demande. Il sera nécessaire de mieux contrôler les accès ce que permet les outils de Kleverware. Il rappelle que ce règlement demande à mieux contrôler les périphériques voir de restreindre ou d’interdire leur utilisation. Il insiste en outre sur l’obligation de tenir un registre des traitements à jour et sur la notion de consentement compréhensible.

Clin d’œil sur les nouveautés de Kleverware IAG

Arnaud Fléchard a présenté dans un second temps les nouveautés de Kleverware IAG V15 dont la sortie est prévue en juin 2017. Il rappelle en préambule que lorsque l’on utilise Kleverware IAG des données personnelles sont utilisées. Ainsi, lorsqu’une personne quitte l’entreprise la question se pose de la purge de données. Ce sujet sera adressé dans les semaines à venir par Kleverware afin de permettre des purges faciles.

Quant à la nouvelle version de Kleverware IAG V15 elle inclut dorénavant des améliorations sur l’Identity Life Circle Management. L’enjeu est la destruction des droits après que la personne est quittée l’entreprise et la réduction des délais de recouvrement de droits lors du changement de fonction. L’alimentation de la base est l’identité et la base d’habilitation. Le premier point pour Kleverware est la détection de ces changements en cas de disparition dans les flux, ou de modification des flux. L’autre moyen qui existe est l’injection de fichiers des mouvements par l’entreprise. Ainsi, une activité d’arrivée, de mobilité et de départ est créée et automatisée, ce qui permet un Workflow de contrôle. Au niveau de l’interface graphique, on retrouve les activités de chaque collaborateur avec un historique de chaque activité sur toutes les variations de droits...au niveau du suivi des améliorations sont aussi apportées concernant les délais de traitements des droits, des indicateurs de qualité des re-certifications des droits ont été créés. Une amélioration de la gestion des mouvements a été aussi réalisée qui permet de fluidifier les campagnes de certification des droits. Par exemple en cas d’absence mouvement interne les droits sont automatiquement certifiés ce qui permet des gains de temps.

Sur les campagnes de re-certification de nouveaux graphiques pour suivre leur avancement a été inclus dans la v15. La gestion des demandes de suppression a été aussi enrichie dans cette version afin qu’elle soit plus interactive. Dès la création de la demande un routage vers un système de ticketing qui s’intègre dans les solutions d’IAM comme celle de ÇA ou d’Oracle. Une fois le ticket clos, Kleverware IAG vérifie la validité de cette clôture de façon automatique.

En outre, cette nouvelle version couvre327 itération fonctionnelle qui va d’une simplement colonne dans une page à la création de nouvelles pages.

Pour la prochaine release une recertification par les propriétaires des ressources sera effectuée. Ainsi, on aura une double approbation des droits. Un nouveau module au niveau du « Role Mining » sera proposé qui permettra de rationalisation la gestion des droits, par une aide à la construction des rôles. Ce module va permettre de simplifier les campagnes de certifications. Les Workflows de remédiation seront aussi améliorés...

Philippe Trouchaud

La cybersécurité préoccupation des dirigeants

En conclusion, Philippe Trouchaud, Partenaire chez PWC France a présenté les résultats de la dernière enquête sur la préoccupation des dirigeants. La première priorité est l’investissement dans le digital, la deuxième c’est les données, la troisième préoccupation est la Cybersécurité devant PME une exposition de la zone Euros. Par contre, les CEO sont à peine 25% à être investi dans ces problèmes, en particulier car on leur part surtout de technologie et non en termes de risques. Pour lui, on a un gros déficit de pédagogie. Par contre, des changements apparaissent les mentalités en partie grâce aux administrateurs qui ont appris à gérer les risques au fil du temps. De plus, les Agences de Notation vont sans doute aussi influer sur la prise en compte de la Cybersécurité. Il a cité l’exemple de l’opérateur britannique qui s’est vole sa base de données et à vue son cour de bourse perdu soixante pour-cent de sa valeur boursière. Ainsi, depuis les agences de notation prennent en compte dans leur note le risque Cyber. De même les régulateurs boursiers ont intégrer aussi les risques cyber dans leur système d’évaluation des cours de bourse. Ceci selon lui va induire une sur régulation comme le montre la publication du RGPD, de la LPM, de NIS... pour Philippe Trouchaud, citant des chercheurs d’Oxford, montre qu’une entreprise qui sait gérer un risque Cyber permet une valorisation de 7% dans le cas contraire la perte serait de 15% de la valorisation boursière.

Quant au budget sécurité nécessaire à moins de 3% de la dépense informatique l’entreprise est très exposée au risque Cyber. À partir de 8% du budget informatique l’entreprise serait relativement bien protégée. Par contre, lors de la mise en place d’un processus de digitalisation de l’entreprise, il faudrait prévoir un budget sécurité de l’ordre de 15%.

La Cyber délinquance vise aujourd’hui à voler des actifs (innovation, données…), à influencer sur les courts de bourses... avec peu de moyens humains et peu de risques juridiques. Les nouveaux enjeux de Cybersécurité concernent la protection des systèmes industriels, des objets connectés... pour lui, le premier problème de la Cybersécurité est le manque de ressources humaines.

En conclusion, tous les incidents de Sécurité coûtent de l’argent et surtout crée de la peur et de la défiance des consommateurs.


Voir les articles précédents

    

Voir les articles suivants