Search
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

5è édition des RIAM : l’IAM en temps de crise ?

mai 2009 par Emmanuelle Lamandé

A l’occasion de l’ouverture de la 5ème édition des RIAM, Alain Bouillé, Président du Bureau des RIAM, est revenu sur les tournants marquants de l’événement. Pour lui, la durée moyenne d’un projet d’Identity & Access Management est d’environ 5 ans. Cette édition apparaît donc stratégique pour faire le point sur l’avancée des différents projets en la matière. Il a rappelé la nécessité d’être armé pour mener un tel projet et a souligné l’importance de ces rencontres pour partager et échanger sur ce qui se fait de mieux dans le domaine.

Michel Van Den Berghe, Fondateur des RIAM et Président d’Athéos

Après avoir salué les partenaires des 5è RIAM (Sun Microsystems, IBM, Microsoft, Aveksa, Cyber-Ark, SailPoint, Passlogix, Avencis, Trend Micro, Utimaco, OpenTrust), Michel Van Den Berghe, Fondateur des RIAM et Président d’Athéos, a rappelé qu’à l’époque les préoccupations étaient principalement techniques. Par où doit-on commencer ? Quel type de solution choisir ? Comment gérer les coûts d’un tel projet ? L’approche conseil est ensuite venue s’ajouter à la technique, à travers le modèle RBAC notamment. C’est plus tard que la problématique métier est entrée en ligne de jeu, partant du constat nécessaire de redonner la main aux métiers. C’est ainsi qu’il a fallu composé, entre autres, avec le profiling, le respect des réglementations et la traçabilité. Dans un projet d’IAM, les questions de synchronisation, de processus métier et de workflows apparaissent aujourd’hui fondamentales.

Quid de l’IAM en période de crise ?

Les systèmes d’information doivent s’ouvrir vers l’extérieur pour accompagner les initiatives métiers, ce tout en gardant un niveau de sécurité élevé. Le modèle « rempart » n’est plus valable aujourd’hui, il faut s’appuyer, selon lui, sur un modèle « aéroportuaire ». L’accès doit rester ouvert à tous (interne et externe). Ce modèle se doit d’être de confiance, avec des niveaux de contrôle inhérents à chaque zone, une gestion adaptée à la volumétrie, une mise en quarantaine si nécessaire, du provisioning, … Ce modèle doit répondre à des enjeux organisationnels et commerciaux. Dans un premier temps, pour répondre aux problématiques actuelles (télétravail, filiales, fusions, nomades, pandémies) et, dans un second temps, pour répondre aux exigences des partenaires, services en ligne, …

Deux chantiers importants doivent être mis en œuvre :
- l’authentification et le contrôle d’accès
- la protection de l’information en fonction des enjeux métier, la gestion des habilitations, la protection contre la fuite d’informations, la sécurité des applications et des serveurs.

L’IAM est au cœur d’alternances technologiques majeures, telles que la dépérimétrisation, l’externalisation et la virtualisation

Avec son regard d’analyste, Eric Domage, Directeur des Etudes, IDC France, a soulevé les principaux défis qui se posent en 2009 : l’investissement en temps de crise, l’externalisation, le Cloud Computing et la virtualisation.

La question de l’externalisation se pose, en effet, aussi dans le domaine de l’IAM. Est-ce que je le fais moi-même ou est-ce que je le fais faire ? Un certain nombre de domaines de l’IAM arrivent aujourd’hui sous forme de services. Vous pouvez externaliser tout ou partie de la gestion, et garder la gouvernance en interne.

Selon IDC, pour la première fois en 10 ans, la priorité absolue des DSI repose sur le contrôle et la réduction des coûts, et non plus la sécurité. Cette dernière arrive, néanmoins, en deuxième position, tandis que la compliance recule à la 9è place. Cela ne signifie que cet aspect n’est plus à prendre en compte, mais que les DSI estiment avoir fait suffisamment d’investissements, pour le moment du moins, dans le domaine.
Qu’en est-il de l’IAM en temps de crise ? Ce domaine sera marqué par la recherche de l’efficacité financière : le calcul de RoI, l’expression de besoins réalistes (est-il nécessaire que tous les utilisateurs bénéficient d’authentification forte ?), le lien entre les différents projets (DLP, Insider Threat Mitigation). Cependant, au niveau de la sécurité, il est quasi impossible de réduire le budget. Dans ce contexte, le principal défi pour les RSSI sera de limiter la réduction des budgets et donc le gel des projets, car les attaques elles ne connaissent pas la crise. L’objectif est donc de limiter la casse.

Au niveau du Cloud Computing, il insiste sur le fait qu’il existe plusieurs niveaux dans le « cloud », donc les niveaux de contrôle sont très variables. La gestion des identités n’est pas à intégrer systématiquement dans les projets cloud, certains n’ont pas besoin d’IAM. Pour IDC, une solution semble s’imposer pour traverser les « nuages » en gardant le contrôle des accès, des rôles et d’assurer la conformité dans un univers dicté par les lois économiques : la fédération d’identités.

Selon lui, la virtualisation (stockage, serveurs, poste de travail, …) génère un phénomène d’ « Information Spawl », c’est-à-dire une gestion anarchique de l’information. Il faut faire face à l’accroissement du nombre d’informations, d’utilisateurs, de points d’accès, de profils… Pour pallier ce phénomène, il faut mettre en œuvre une gestion plus fine des identités, anticiper les conséquences de la virtualisation, collaborer avec des univers logiciels non IAM (style DLP). L’objectif est donc d’anticiper afin de garder le contrôle des flux.

L’IAM est au cœur d’alternances technologiques majeures, telles que la dépérimétrisation, l’externalisation et la virtualisation. L’alternance technologique tend vers un management centralisé (SIEM), un plus grand nombre de politiques globales, de contrôles aux bordures physiques, logiques et légales. De plus, une crise économique oblige à mieux dépenser. « Une seule règle : anticiper » conclut-il.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants