Le « Lean Management » appliqué à la gouvernance des ...€¦ · Kleverware IAG: le Lean...
Transcript of Le « Lean Management » appliqué à la gouvernance des ...€¦ · Kleverware IAG: le Lean...
Livre blanc KuppingerCole Kleverware IAG: le Lean Management appliqué à la gouvernance des identités et des accès Rapport n° : 80048
Le « Lean Management » appliqué à la gouvernance des identités et des accès
La gouvernance des identités et des accès est un incontournable pour chaque entreprise. Malheureusement, la façon dont elle est mise en œuvre aujourd'hui est à la fois pesante et souvent inefficace. Il est temps de revoir les approches de gouvernance des identités et des accès et de mettre en œuvre des concepts allégés qui aident les entreprises à se conformer efficacement, tout en atténuant les risques provenant de droits excessifs. Kleverware IAG est une solution qui se concentre sur cette approche rationalisée ou Lean Management.
par Martin Kuppinger
mai 2019
Commandé par Kleverware
Rapport KuppingerCole
LIVRE BLANC par Martin Kuppinger | mai 2019
Page 2 sur 16
Livre blanc KuppingerCole Kleverware IAG: le Lean Management appliqué à la gouvernance des identités et des accès Rapport n° : 80048
Table des matières
1 Introduction ................................................................................................................................. 3
2 Points clés .................................................................................................................................... 4
3 Gouvernance des Identités et des accès : Un incontournable pour les entreprises .......................... 4
4 Les écueils de l'approche actuelle en matière de gouvernance des identités et des accès ............... 6
5 La solution : Passer à une démarche Lean ...................................................................................... 8
6 La démarche de Kleverware en matière de gouvernance Lean des identités et des accès .............. 10
7 Plan d'action pour la mise en œuvre de la gouvernance Lean des identités et des accès ............... 13
8 Droits d’auteurs .......................................................................................................................... 15
Liste des illustrations
Image 1 : Kleverware IAG applique le Lean Management pour la mise en œuvre de la gouvernance des identités et des accès . 11
Travaux de recherche connexes
Executive View : Kleverware IAG - 80042
Note consultative : Redéfinir la gouvernance des accès - Au-delà de la nouvelle certification annuelle -
72529
Note consultative : Travailler pour l'entreprise et non pour les vérificateurs - 70865
Page 3 sur 16
Livre blanc KuppingerCole Kleverware IAG: le Lean Management appliqué à la gouvernance des identités et des accès Rapport n° : 80048
Depuis plus d’une décennie, les architectures de gouvernance des identités et des accès (IAG) sont
complétées par des concepts et des architectures qui lui sont propres.
L’IAG est à la fois inclus dans le marché de la GRC (gouvernance, risques et conformité) et le marché
de l’IAM (Identity & Access Management). L’IAG englobe la gouvernance des identités et des accès
(par exemple en évitant les comptes orphelins) ainsi que les contrôles d'accès dans les systèmes
informatiques.
La mise en place d'un système approprié de renouvellement de certification est une condition sine qua
non pour répondre aux exigences réglementaires. Les preuves attestant que les cycles de
renouvellement de certification requis ont été menés à terme et documentés sont essentielles pour
démontrer la conformité aux auditeurs internes ou externes. Cependant, le défi consiste à trouver
l'équilibre entre ce que vous devez faire pour les audits et ce que l'organisation est capable de faire.
C'est là que la plupart des approches utilisés échouent.
Malheureusement, les approches qui mettent l'accent sur le renouvellement de la certification ainsi
que l'examen complexe et fastidieux des accès échouent dans les faits. De nombreuses entreprises
n’ont tout simplement pas mis en œuvre une telle approche, et pratiquement toutes celles qui l'ont
fait se plaignent de la lourdeur de ces processus. Le concept de recertification comporte plusieurs
« défauts de conception », tels que l'absence d’une approche axée sur le risque ou l'absence de
traduction des droits techniques dans un langage compréhensible par les métiers.
Ces raisons (et plusieurs autres) tendent à rendre les exercices traditionnels de recertification
fastidieux, longs, inefficaces et - dans le pire des cas - propices aux erreurs. Certains de ces challenges
s'appliquent également à d'autres pans de l’IAM impliquant une expertise ‘métier’ ou
organisationnelle.
De notre point de vue, il est grand temps de réévaluer les approches établies et d'envisager d’autres
types de solutions. La gouvernance des identités et des accès doit stimuler les directions métiers au lieu
d'être simplement un fardeau. Il s'agit d’œuvrer pour l'entreprise plutôt que de travailler pour les
auditeurs – respecter les exigences de conformité, sans pénaliser l'entreprise.
Kleverware IAG est une solution qui vise à résoudre rapidement les défis de la gouvernance des accès
auxquels les entreprises sont confrontées aujourd'hui. Kleverware IAG s’attache à permettre à ses
clients la mise en œuvre de la gouvernance pour les comptes à privilèges (comptes administrateurs) et
le séparation des tâches (SoD) dans un environnement informatique hétérogène et ainsi satisfaire aux
exigences réglementaires. Le fournisseur met l'accent sur une solution ciblée et rapide à déployer, qui
peut exister de façon autonome ou en convergence avec d'autres solutions mises en place par le
client.
1 Introduction
Livre blanc KuppingerCole La GIA Kleverware : Une démarche « Lean » (approche rationalisée ou sans gaspillage) appliquée à la gestion des identités et des accès
Rapport n° : 80048 Page 5 sur 16
La nécessité d'une gouvernance des identités et des accès et les éléments essentiels de ces approches
Les pièges communs des approches typiques actuelles de gouvernance des identités et des accès
Approches visant à accroître l'efficience et l'efficacité de la gouvernance des identités et des accès
dans une approche de type Lean Management
La solution de Kleverware sur la gouvernance des identités et des accès en tant qu'exemple permettant d’accroître l'efficacité
Plan d'action et recommandation pour passer à une approche lean management de la gouvernance
des identités et des accès
Chaque entreprise doit disposer d'une gouvernance efficace des identités et des accès, non seulement pour
se conformer aux réglementations toujours plus strictes, mais aussi pour atténuer les risques commerciaux
provenant des risques d'accès dus à des droits excessifs.
Depuis plus d’une décennie, les architectures de gouvernance des identités et des accès sont
complétées par des concepts et des architectures propres à la gouvernance des identités et des accès
(IAG).
L’IAG est à la fois inclus dans le marché de la GRC (gouvernance, gouvernance des risques et conformité)
et le marché de l’IAM. L’IAG englobe la gouvernance et la gouvernance des identités (par exemple en
évitant les comptes orphelins) ainsi que les contrôles d'accès dans les systèmes informatiques. Dès lors,
de nombreuses organisations ont mis en place des architectures de gouvernance des identités et des
accès en tant qu’outils pour se conformer aux exigences réglementaires et vérifier régulièrement les
risques liés aux accès. Il s'agit notamment de la gouvernance des demandes d'accès, des mécanismes de
recertification des accès et des violations de la « séparation des tâches » (SoD).
Les contrôles manuels réalisés à partir des processus de déclaration et de recertification sont des éléments
importants de la gouvernance des accès de l'entreprise, mais ils doivent rester ‘Lean’.
Les raisons de cette évolution sont évidentes : Veiller à ce que les bonnes personnes bénéficient de
l’accès approprié au bon moment, tout en protégeant les actifs vitaux d'une entreprise contre un accès
non autorisé, est une exigence fondamentale. Utiliser la gouvernance des identités pour s'assurer qu'il
n'existe que des comptes et des identités nécessaires et pertinents fait partie de cet exercice. La
gouvernance des accès en tant qu'approche orchestrée est généralement la combinaison d'un ensemble
de composants essentiels qui soutiennent une entreprise dans les processus de
Modélisation et conception des concepts d'accès,
Demande, approbation, nouvelle approbation et révocation de l'accès.
Contrôle et restriction des accès à différents niveaux
2 Points clés
3 Gouvernance des identités et des accès : Un incontournable pour les entreprises
Livre blanc KuppingerCole La GIA Kleverware : Une démarche « Lean » (approche rationalisée ou sans gaspillage) appliquée à la gestion des identités et des accès
Rapport n° : 80048 Page 6 sur 16
Les contrôles manuels fondés sur les processus de déclaration et de recertification sont d'importants
éléments du système de gouvernance des accès de l'entreprise. Ils constituent une part importante du
processus de gouvernance du cycle de vie des accès. En revanche, la gouvernance des identités est plus
automatisée, par exemple pour ce qui est de l'identification des comptes orphelins ou inutilisés. Les
processus les plus pertinents pour la gouvernance des accès sont les suivants :
La gouvernance des demandes d'accès : La demande initiale d'accès par les employés gérée
via un portail en libre-service ou par leurs supérieurs hiérarchiques.
La recertification des accès: Une fois l'accès accordé à un employé, la validité de cet accès
doit être confirmée régulièrement. Pour ce faire, on procède normalement à des campagnes
de recertification, au cours desquels les supérieurs hiérarchiques, les propriétaires des
systèmes ou des services sont contactés pour vérifier les droits des utilisateurs existants, afin
de les approuver, les modifier ou les révoquer.
Ces contrôles impliquent le recours à des employés qualifiés pour vérifier et comprendre un (sous-)
ensemble de droits (rôles et droits d'accès) attribués à des utilisateurs individuels. En fonction de
l’expertise individuelle des intéressés, il faut décider si les attributions de droits sont valides ou
nécessitent des modifications. Cet exercice faisant partie des processus nécessaires pour prouver la
conformité à de nombreux types d'exigences réglementaires à l'égard de différentes autorités internes
et externes (audit, régulateurs), une documentation appropriée est requise en tant que preuve. Les
mises en œuvre actuelles des systèmes de gouvernance d'accès fournissent des approches durables et
stables qui déploient des systèmes de workflow de recertification, par exemple des portails, où les
campagnes de certification sont soutenues par des outils. Ces outils aident à analyser les droits
attribués individuellement et automatisent l'approbation, la modification ou la révocation des droits
dans une plus ou moins grande mesure.
Le défi consiste à trouver l'équilibre entre ce que vous devez faire pour les audits et ce que
l'organisation est capable de faire.
La mise en place d'un système de recertification approprié est une condition sine qua non pour
répondre aux exigences réglementaires. Les preuves attestant que les campagnes de recertification
requises ont été menées à terme et documentées sont essentielles pour démontrer la conformité aux
auditeurs internes ou externes. Cependant, le défi consiste à trouver l'équilibre entre ce que vous devez
faire pour les vérifications et ce que l'organisation est capable de faire. C'est là que la plupart des
approches usuelles échouent.
Livre blanc KuppingerCole La GIA Kleverware : Une démarche « Lean » (approche rationalisée ou sans gaspillage) appliquée à la gestion des identités et des accès
Rapport n° : 80048 Page 7 sur 16
La plupart des entreprises éprouvent des difficultés avec la façon dont la gouvernance des identités et
des accès est communément mise en œuvre aujourd'hui. L'approche la plus courante entraîne une
charge de travail excessive dans de nombreuses organisations, tout en ne produisant pas les résultats
efficaces susceptibles d’aider les entreprises à réellement atténuer les risques essentiels en matière
d'accès.
Malheureusement, l'approche usuelle qui met l'accent sur la recertification impliquant un examen
complexe et fastidieux des accès échoue dans les faits. Beaucoup d’entreprises n’ont tout simplement
pas mis en œuvre une telle approche, et pratiquement toutes celles qui l'ont fait se plaignent de la
lourdeur de ces processus. Il existe plusieurs « défauts de conception » dans ce concept :
Analyse ex post
La base de l'exercice régulier des recertifications consiste en la collecte des données actuelles sur les
droits et les utilisateurs dans l'ensemble des systèmes informatiques. Sur la base de ce processus de
compilation, les informations sont ensuite examinées par les personnes dédiées à la recertification pour
approuver ou révoquer le ou les accès. Cette démarche ajoute un nouveau niveau de transparence et
permet un processus de recertification approfondie. Mais par conception, et par nécessité, cet accès est
toujours déjà attribué. Jusqu'au moment de la campagne de certification, des droits attribués sont
généralement actifs et utilisés. Les contrôles qu'un processus de recertification met en œuvre sont
toujours le fruit d’un travail de détection.
Calendrier de recertification et charge de travail supplémentaire
Visant principalement à répondre aux exigences réglementaires, l'exercice de recertification est
souvent considéré comme une obligation pro forma par les responsables hiérarchiques, les exploitants
d’un système ou les exploitants d'une prestation de service. À l'approche de la clôture de l'exercice
fiscale, par exemple, cette tâche - qui peut représenter un travail considérable - est de nouveau à
l'ordre du jour de la personne en charge de la recertification. La tâche peut être encore plus difficile à
accomplir lorsqu'il s'agit de la première campagne de recertification et que l'expertise et la pratique
nécessaires font défaut.
Priorisation de la tâche de recertification
La question de la planification dans le temps va de pair avec un problème de priorisation tout à fait
commun. En raison de la date d'échéance obligatoire définie pour le processus de recertification et de
son importance évidente, cette tâche est hautement prioritaire. Mais en l'absence d'un plan de travail
global ou d'un plan de projet adéquat, elle finit néanmoins par concurrencer constamment les tâches
de recertification des « activités métiers réelles ».
4 Les écueils de l'approche actuelle en matière de gouvernance des identités et des accès
Livre blanc KuppingerCole La GIA Kleverware : Une démarche « Lean » (approche rationalisée ou sans gaspillage) appliquée à la gestion des identités et des accès
Rapport n° : 80048 Page 8 sur 16
Les connaissances nécessaires
La responsabilité de la recertification des utilisateurs et de leur accès associé est généralement
déléguée à des experts métiers ou IT, comme les responsables d’équipes, les responsables
d’applications ou les responsables métiers. Selon la structure de l'organisation, il se peut qu'ils n'aient
pas nécessairement un panorama complet de l'accès à recertifier. Cela peut inclure : le rôle du titulaire
de l'accès, qui est nécessaire pour répondre à la question du « besoin d'avoir » ; les changements
récents apportés aux définitions complexes du rôle de l'entreprise, qui sont nécessaires pour répondre
à la question du « moindre accès » ; et l’importance globale de l'accès accordé. Sans un concept de
rôle global effectivement mis en place, il est difficile de comprendre pleinement l'incidence d'un
ensemble de rôles et de droits potentiellement conflictuels.
Si les personnes impliquées dans la gouvernance des identités et des accès ne possèdent pas les
connaissances requises pour mettre en place ces processus, ceux-ci échoueront.
L’impact des changements organisationnels en cours
L'évolution des besoins de l'entreprise ou la nécessité de mesures globales de restructuration, par
exemple lors de fusions et/ou acquisitions, nécessitent des modifications des structures
organisationnelles. Avec l’augmentation de la taille d'une organisation, les probabilités de
changements organisationnels, de modification des profils de poste ou de modification des schémas
de désignation des postes sont particulièrement importantes au cours de la campagne de
recertification en cours. La connaissance de ces changements est indispensable lors de la
recertification des accès aux systèmes d’importance critique. Les mouvements habituels d’effectifs,
surtout lorsque les employés changent de poste au sein d'une organisation, ajoutent un autre niveau
de complexité.
Les changements au personnel chargé du renouvellement des certifications
Le processus habituel de promotions et des changements de poste entraîne par la suite des
changements réguliers dans l'attribution du rôle de la personne chargée des certifications, à savoir
quel employé sera responsable de la prochaine campagne de recertification. Toutes les connaissances
reliées à l’histoire de l’organisation qui ne sont pas bien documentées ont généralement tendance à
disparaître. Dans le cas de longues campagnes de recertifications et lorsqu'une organisation est en
constante évolution, les personnes chargées de la tâche pourraient avoir hérité de cette
responsabilité, sans pour autant posséder l'expertise nécessaire pour mener réellement l'exercice avec
la diligence et le niveau de qualité appropriés.
Ces raisons (et plusieurs autres) tendent à rendre les exercices traditionnels de renouvellement de
certification fastidieux, longs, inefficaces et - dans le pire des cas - propices aux erreurs. Certaines de
ces questions s'appliquent également à d'autres tâches de l’IAM faisant appel à une expertise métier
ou organisationnelle.
Livre blanc KuppingerCole La GIA Kleverware : Une démarche « Lean » (approche rationalisée ou sans gaspillage) appliquée à la gestion des identités et des accès
Rapport n° : 80048 Page 9 sur 16
La gouvernance des identités et des accès peut être mise en œuvre dans le cadre d’une approche
« Lean », en se concentrant sur les risques, en traduisant les droits techniques en langage métier, en
soumettant à un examen uniquement les éléments gérés manuellement, mais non les droits
automatisés.
Compte tenu des premières étapes déjà franchies dans de nombreuses organisations, les questions
suivantes nécessitent des réponses appropriées pour transformer les approches actuelles de
gouvernance des accès en un élément vital, agile et efficace d'une stratégie globale de gouvernance :
Est-il suffisant d’être « en conformité » une fois par an pour chaque accès pris séparément ?
Pourquoi ne pas se fixer comme objectif d’être toujours conformes ? Pouvons-nous être préparés en permanence à quelque vérification que ce soit ?
Comment pouvons-nous réduire ou équilibrer la charge de travail des personnes affectées au renouvellement et à l’approbation des certifications ?
Quelles est la part des contrôles et vérifications de gouvernance des accès pouvant être automatisée ?
Pourquoi ne pas traiter les accès à risque élevé différemment des accès à faible risque ?
Pourquoi ne pas appliquer un processus d'analyse continue pour accéder aux données et aux données d'activité en temps réel ?
Pouvons-nous combler l’écart de compétences grâce à l'automatisation et à l'intelligence ?
Tous les droits ne partagent pas le même niveau d’importance critique. Comprendre ce qui est
vraiment indispensable et décider de la façon de prioriser l’utilisation du temps.
Lorsqu’il existe un nombre croissant d'applications au sein d'une organisation mettant en œuvre tous
les types de processus métier, le nombre de rôles et de droits augmente également. L’ensemble des
droits qui sont stockés dans un entrepôt de données dédié à la gouvernance dans une organisation qui
compte essentiellement sur l’IT peut souvent atteindre une somme de cinq ou six chiffres. Le fait de
disposer de critères appropriés pour décider de l'accès sur lequel se concentrer peut contribuer à
réduire l'effort global et à améliorer la qualité des résultats en matière de gouvernance des accès.
Tous les droits ne présentent pas le même niveau d’importance critique. Des droits d'accès différents
imposent des niveaux de risque différents lorsqu'ils sont attribués de manière inappropriée aux
utilisateurs jusqu'à la fin du cycle de recertification en cours. Bien que cela puisse être acceptable dans
certains cas, ce n'est certainement pas le cas pour les droits comportant un niveau d'importance élevé.
Quelques semaines seulement, voire quelques jours de mise à disposition de ce type de droit entre de
mauvaises mains, doivent être considérés comme étant des situations inacceptables. Cela nous amène
à la conclusion que la durée des cycles de recertification des droits, selon les différentes catégories de
risque, doit également être différenciée selon le niveau de risque.
5 La solution : Passer à une démarche Lean
Livre blanc KuppingerCole La GIA Kleverware : Une démarche « Lean » (approche rationalisée ou sans gaspillage) appliquée à la gestion des identités et des accès
Rapport n° : 80048 Page 10 sur
16
Pour les droits à faible risque, il pourrait être approprié de procéder à une nouvelle certification qu'une
ou deux fois par an. Mais lorsqu'il s'agit de postes hautement sensibles et présentant un fort potentiel de
perte ou de fraude, la mise en place de stratégies dynamiques de recertification en continu est
essentielle. En particulier lorsque la période de renouvellement de certification par défaut tend à être
longue, des mesures supplémentaires de protection appliquées portant sur des catégories sensibles de
risques individuels sont obligatoires.
L'adoption d'une approche « Lean » en matière de gouvernance des identités et des accès s'appuie sur un certain nombre de changements :
Passez en revue les processus et les exigences organisationnelles – faites en sorte de
comprendre qui peut apporter quoi en temps de travail et en connaissances.
Traduisez les termes techniques en langage métier, afin que les collaborateurs affectés à
l’activité commerciale de l’entreprise comprennent ce qu'ils font.
Minimisez le poids des revues, en vous concentrant sur les risques réels et en procédant à un examen manuel uniquement
De notre point de vue, il est grand temps d'étudier les approches établies et d'envisager différents types
de solutions. La gouvernance des identités et des accès doit stimuler les opérations métiers au lieu d'être
simplement une contrainte. Il s'agit d’œuvrer pour l'entreprise plutôt que de travailler pour les auditeurs
– respecter les exigences de conformité, sans pénaliser l'entreprise.
Livre blanc KuppingerCole Kleverware IAG : Une démarche « Lean » (approche rationalisée ou sans gaspillage) appliquée à la gestion des identités et des accès
Rapport n° : 80048 Page 11 sur 16
Kleverware fournit une solution « Lean » et ciblée pour la gouvernance des identités et des accès qui
peut être déployée rapidement, aidant ainsi les entreprises à répondre à leurs besoins à court et à long
terme sans projet à long terme.
Kleverware IAG (Identity & Access Governance) est une solution qui vise à résoudre rapidement les
défis en matière de gouvernance des identités et des accès auxquels les entreprises sont confrontées
aujourd'hui. L'entreprise a démarré en 2005 et est basée à Paris, en France. Kleverware IAG aide ses
clients à mettre en une stratégie de gouvernance pour les comptes à privilège (compte administrateur)
et les violations de la « séparation des tâches » (SoD) dans un environnement informatique
hétérogène et de satisfaire ainsi aux exigences de conformité réglementaire. Contrairement aux
solutions complètes d’IAG, Kleverware ne propose pas la fourniture d'identités et autres
fonctionnalités. Le fournisseur met l'accent sur une solution ciblée et rapide à déployer qui peut
exister de façon autonome ou en convergence avec d'autres solutions mises en place par le client.
Les principales fonctionnalités proposées par Kleverware IAG comprennent
La fourniture d’une vue d’ensemble consolidée des droits d'accès des utilisateurs dans
l'ensemble du paysage informatique, y compris les environnements de systèmes complexes
tels que les systèmes centraux ;
l’identification de l’écart entre ce qui a été demandé et les droits effectivement accordés
dans les systèmes cibles ;
Vérifier si un ou plusieurs accès ont été supprimés dans les processus de départ et vérifier
les droits restants ;
comparer et vérifier le ou les accès accordés au SI selon la fonction correspondant au profil
de poste ;
Identifier et mettre en évidence les violations affectant la SoD et les autres politiques d’entreprise ;
Permettre la mise en œuvre de processus d'examen d'accès simples et ciblés.
D'un point de vue technique, les compétences de Kleverware IAG se composent de plusieurs blocs
fonctionnels et capacités connexes :
Les capacités d'importation et de corrélation permettent aux clients d'importer des
données à partir de systèmes différents et dans différents formats, de corréler les comptes
à l’intérieur de ces systèmes et d'homogénéiser les données au sein d’un modèle d'accès
central
Ce modèle d'accès peut être défini avec souplesse, ce qui permet de refléter des structures
d'admissibilité très complexes de systèmes cibles, de structures organisationnelles et
d'autres particularités essentielles à la gouvernance des droits de l'entreprise
Identification des changements affectant les droits et autres données, processus que
Kleverware appelle la détection des mutations
6 La démarche de Kleverware en matière de gouvernance des identités et des accès
Livre blanc KuppingerCole Kleverware IAG : Une démarche « Lean » (approche rationalisée ou sans gaspillage) appliquée à la gestion des identités et des accès
Rapport n° : 80048 Page 12 sur 16
Gouvernance inter-systèmes de la SoD pour définir celle-ci entre les systèmes et identifier
et alerter en cas de violations pouvant l’affecter
Recertification, c'est-à-dire vérification des accès, en fonction des changements (mutations)
et des informations actuelles en l'état
Rapports de conformité comprenant un nombre important de rapports prédéfinis qui
peuvent être utilisés directement
Kleverware IAG met particulièrement l'accent sur des processus « Lean » d'examen des accès, optimisés et
efficaces. Ces processus sont basés sur les droits réels, qui sont régulièrement importés à partir des
systèmes sources dans le référentiel central utilisé par Kleverware. Les examens d'accès peuvent porter à la
fois sur les situations à risque, c.-à-d. sur des ensembles précis de droits qui sont identifiés comme
présentant des risques élevés et sur les droits qui ont changé depuis le dernier examen. En utilisant ces
capacités, la charge de travail utilisée pour procéder aux vérifications d'accès peut être considérablement
réduite. Étant donné que les examens d'accès trop fréquents, trop volumineux et trop techniques sont une
source de frustration et de plaintes chez les utilisateurs en entreprise, l'approche Kleverware aide à faire
fonctionner les vérifications d'accès. En outre, Kleverware permet de traduire efficacement les droits
techniques en langage métier.
Image 1 : Kleverware IAG propose une approche lean et ciblée pour la mise en œuvre de la gouvernance des identités et des accès.
Puisque Kleverware se concentre sur la gouvernance des accès, au lieu des capacités complètes de la IGA
qui inclue la fourniture d'identité, l'intégration avec les systèmes informatiques dans l'ensemble du
paysage, y compris les services cloud, l’architecture est relativement simple. La collecte de données se fait
sans agent, en utilisant soit des formats d'exportation tels que les fichiers CSV qui sont pris en charge par
les différents systèmes informatiques, soit des interfaces standards, y compris LDAP et d'autres.
Matrice sur le système de
séparation des tâches (SoD)
Flux RH
Matrice d'accréditation
Demande d'accréditation
Renouvellement de certification des droits
Référentiel d'identité et d'accès Dét
ecti
on
de
la
mo
bili
té
LDAP RACF Unix AD ACL Base RH … TSS
Matrice su
r le système d
e sép
aration
de
s tâches (So
D)
Traitement de la demande
Corrélation Remédiation
Mo
dèle
d'accréd
itation
Livre blanc KuppingerCole Kleverware IAG : Une démarche « Lean » (approche rationalisée ou sans gaspillage) appliquée à la gestion des identités et des accès
Rapport n° : 80048 Page 13 sur 16
Les données sont consolidées dans l’entrepôt Kleverware IAG. Kleverware analyse alors ces données et
produit des rapports, accède à des campagnes de révision et à d'autres types d'analyses.
Sur la base de cette analyse, un besoin de remédiation liés à des problèmes d'accès pourrait être identifié
(et le sera régulièrement). Kleverware, comme nous l’avons déjà indiqué, n'est pas une solution en matière
de fourniture d'identité, mais s'intègre à d’autres solutions de fourniture d'identité existantes. Ainsi, il peut
fournir des informations sur les changements requis sous forme de retours pour en permettre la mise en
œuvre.
Kleverware se distingue de la plupart des autres solutions présentes sur le marché dans différents domaines :
La solution est livrée avec un module de corrélation solide qui permet de définir ses propres
règles de corrélation avancées pour les données dérivées provenant de divers systèmes
Le modèle de données est particulièrement flexible, ce qui permet de mapper des structures
de droits complexes, des spécificités organisationnelles et d'autres exigences
organisationnelles dans le modèle sans avoir besoin de codage
Il fournit immédiatement un ensemble d'évaluations de la conformité basées sur des analyses
et des rapports standards
Il n'est pas nécessaire de définir des modèles de rôle complexes, mais le système fonctionne
sur les structures et les données de gouvernance des droits existants
Pour les tests initiaux ou un premier déploiement rapide, par exemple en cas de constatation d'audit en
cours, les clients peuvent utiliser la version « Analytics » qui fonctionne sur un seul poste de travail. Cet
outil permet déjà d'importer et de corréler les droits ainsi que l'analyse de base et la production de
rapports. La version « Analytics & Workflows » fournit un portail Web pour les vérifications de
gouvernance et d'accès, l'automatisation et les flux de travail ainsi que les fonctionnalités complètes de
révision des accès.
En raison du choix de l'approche « Lean », la version « Analytics & Workflows » peut être déployée dans
un laps de temps raisonnablement court.
En raison du choix de l'approche « Lean », la version « Analytics & Workflows » peut
être déployée dans un laps de temps raisonnablement court.
Kleverware IAG ne fournit pas l'ensemble des capacités de la IGA – la solution est axée sur les aspects de
gouvernance de l’IGA (gouvernance des identités et d’administration) et non sur les aspects administratifs
de cette technologie. Cependant, le système peut s'interfacer avec la fourniture d'identité existante, des
outils IGA et des outils ITSM tels que ServiceNow, tout en fournissant des solutions rapides pour faire face
aux exigences de gouvernance des accès dans une approche « Lean » et ciblée.
Livre blanc KuppingerCole Kleverware IAG : Une démarche « Lean » (approche rationalisée ou sans gaspillage) appliquée à la gestion des identités et des accès
Rapport n° : 80048 Page 14 sur 16
Les entreprises doivent prendre les bonnes mesures de gouvernance des identités et des accès. Il y a
beaucoup de choses qui peuvent être réalisées et qui doivent être envisagées. Cependant, si vous vous
concentrez sur la gouvernance des identités et des accès en tant que solution « Lean » dans le cadre
d'un programme IAM (gouvernance des identités et des accès) plus vaste et structuré, vous avez plus
de chances de réussir que lorsque vous essayez de tout résoudre à la fois.
Le but ultime de la gouvernance des identités et des accès demeure le maintien de la conformité
aux exigences réglementaires. Mais tout en demeurant sur cette base, il existe un fort potentiel
d'amélioration de la sécurité globale, de la conformité aux politiques internes et de la mise en
œuvre des meilleures pratiques. La mise en place de la solution peut également atténuer les
nouveaux risques d'accès à venir en déployant des technologies de gouvernance d'accès établies,
des processus améliorés et des technologies de renseignement d'accès en temps réel.
La bonne gouvernance des accès n'est alors plus seulement un moyen d'obtenir l'approbation d'un
auditeur. Elle se transforme en une solide infrastructure de sécurité qui offre la possibilité de
transformer les politiques de l'entreprise en actions immédiates et d'améliorer considérablement la
sécurité de l'entreprise dans son ensemble.
En ce qui concerne les recommandations, il est clairement compris que différentes organisations se
trouvent actuellement à différents niveaux d'intégration de la gouvernance d'accès dans leur
infrastructure informatique existante. Alors que les sociétés du secteur financier, par exemple, ont dû
mettre rapidement en œuvre la gouvernance de l'accès en raison des exigences réglementaires,
d'autres commencent tout juste à étendre leur infrastructure de gouvernance des identités et des
accès.
Pour tenir compte de ces différentes situations, les types de recommandations peuvent être divisés en
deux parties : Une série de recommandations de base à l'intention des organisations qui en sont aux
premières étapes de l'adoption de la gouvernance des accès et une série de recommandations
supplémentaires et avancées à l'intention des organisations qui ont déjà adopté une approche mûre à
l'égard de la gouvernance des accès Recommandations de base : Lorsque vous décidez si et comment
investir dans l'extension de votre gouvernance des identités et des accès avec une stratégie de
gouvernance des identités et des accès, nous recommandons ce qui suit :
1. Élargissez et développez votre stratégie globale de gouvernance des identités et des accès au sein
de votre organisation en vous appuyant sur vos fonctionnalités actuelles. N'attendez pas la mise
en œuvre de projets de longue haleine pour créer une base technique, par exemple dans le
domaine de la fourniture d’identités.
2. Intégrez stratégiquement les risques économiques et commerciaux à vos processus de conception
de profils de postes et/ou d'admissibilité. Cela est fortement recommandé même si vous
n'envisagez pas actuellement d'étendre la gouvernance des accès de quelque façon que ce soit.
3. Tenez compte des niveaux de risque encourus par l'entreprise lors de la définition de vos
processus de gouvernance des identités et des accès, y compris les cycles de renouvellement
de certification et les régimes d'approbation.
7 Plan d'action pour la mise en œuvre de la gouvernance Lean des identités et des accès
Livre blanc KuppingerCole Kleverware IAG : Une démarche « Lean » (approche rationalisée ou sans gaspillage) appliquée à la gestion des identités et des accès
Rapport n° : 80048 Page 15 sur 16
4. Gardez à l'esprit que les architectures modulaires, malgré leur complexité intrinsèque, offrent
la plus grande des flexibilités et leur déploiement devrait être envisagé dans la plupart des cas.
Ils peuvent également le cas échéant réduire vos risques de verrouillage.
Recommandations avancées : Lorsque vous décidez si et comment investir dans l'extension de votre
gouvernance des identités et des accès, déjà mature nous recommandons ce qui suit :
1. Évaluez continuellement les nouveaux défis pertinents en matière de IAM pour votre organisation afin d'être
prêt à intégrer les concepts de solution appropriés dans une prochaine version de votre stratégie globale en
matière d’identités et d’accès.
2. Intégrez stratégiquement les risques économiques et métiers à vos processus de conception de profils de postes et d'admissibilité.
3. Réévaluez les risques et les menaces actuellement couverts par votre architecture de gouvernance des accès
ainsi que les définitions de vos critères de risque. Identifiez les accès à haut risque et appliquez les mécanismes
appropriés d'approbation et de renouvellement de certification.
4. Révisez et peaufinez vos calendriers globaux de recertification afin de refléter différents niveaux de criticité
en fonction des risques de l'entreprise, tout en observant vos obligations de conformité réglementaire.
5. Automatisez vos processus de gouvernance des accès dans la mesure du possible. Réduisez au minimum
le travail manuel (demande d'accès, approbation des accès et renouvellement de certification des accès).
Livre blanc KuppingerCole Kleverware IAG : Une démarche « Lean » (approche rationalisée ou sans gaspillage) appliquée à la gestion des identités et des accès
Rapport n° : 80048 Page 16 sur 16
8 Droits d’auteurs
© 2019 Kuppinger Cole Analysts AG tous droits réservés. La reproduction et la distribution de cette publication sous quelque forme que ce soit sont interdites sauf autorisation écrite préalable. Toutes les conclusions, recommandations et prévisions contenues dans ce document représentent le point de vue initial de KuppingerCole. En recueillant plus d'informations et en effectuant une analyse approfondie, les positions présentées dans ce document feront l'objet d'améliorations, voire de modifications substantielles. KuppingerCole se dégage de toute garantie relativement à l'exactitude, l'intégralité ou la pertinence du contenu de la présente note d’information. Même si les documents de recherche de KuppingerCole peuvent aborder des questions juridiques liées à la sécurité et aux technologies de l'information, KuppingerCole ne fournit aucun service ou conseil juridique et ses publications ne doivent pas être utilisées comme telles. KuppingerCole décline toute responsabilité en cas d'erreurs ou d'insuffisances dans les informations contenues dans ce document. Toute opinion exprimée aux présentes peut le cas échéant être modifiée sans préavis. Tous les noms de produits et de sociétés sont des marques commerciales™ ou des marques déposées® de leurs détenteurs respectifs. Leur utilisation n'implique aucune affiliation ou approbation de leur part.
KuppingerCole soutient les professionnels de l'informatique qui possèdent une expertise
exceptionnelle dans la définition de stratégies informatiques et dans les processus décisionnels
pertinents. En tant qu'analyste leader, KuppingerCole fournit des informations de première main
neutres aux fournisseurs. Nos services vous permettent de vous sentir à l'aise et en sécurité dans la
prise de décisions essentielles à votre entreprise.
KuppingerCole, entreprise fondée en 2004, est une société d'analyse internationale dont le siège
social est situé en Europe et qui se concentre sur la sécurité des informations et la gouvernance des
identités et des accès (GIA). KuppingerCole est synonyme d'expertise, de leadership éclairé, de
pertinence pratique exceptionnelle et d'une vision neutre des fournisseurs sur les segments du
marché de la sécurité des informations, couvrant tous les aspects pertinents tels que : La gouvernance
des identités et des accès (GIA), les outils d'audit et de gouvernance, la sécurité et la virtualisation
dans le Cloud, la protection des informations, la sécurité des mobiles et logiciels, la sécurité des
systèmes et réseaux, le pilotage de sécurité, les analyses et productions de rapports, la gouvernance,
ainsi que les questions d’organisations et de politiques d’entreprise.
Pour de plus amples informations, veuillez contacter [email protected]
KuppingerCole Analysts AG Téléphone +49 (211) 23 70 77 – 0
Wilhelmstrasse 20 – 22 Fax +49 (211) 23 70 77 – 11
65185 Wiesbaden | Allemagne www.kuppingercole.com
L'avenir de la sécurité des informations - Disponible dès aujourd'hui