JacquesFolonwww.folon.com

PartnerEdgeConsulting

MaîtredeconférencesUniversitédeLiègeProfesseurICHECBrusselsManagementSchoolProfesseurinvitéUniversitédeLorraineESCRennesSchoolofBusiness

Gestion des profils Identity Access Management

IAM

1. C’estquoi?2. Quelestlecontexte

actuel?3. IAM&cloudcomputing4. Pourquoienavonsnous

besoin?5. Todolist6. IAMetvieprivée7. IAMetcontrôle8. e-discovery9. Conclusion

1.IAMc’estquoi?

Provisioning

SingleSignOn

PKIStrong

Authentication

Federation

DirectoriesAuthorization

SecureRemoteAccess

PasswordManagement

WebServicesSecurity Auditin

g&

Reporting

RolebasedManagement

DRM

Source:IdentityandAccessManagement:OverviewRafalLukawiecki-StrategicConsultant,ProjectBotticelliLtdrafal@projectbotticelli.co.uk

5

Remote Employees

Suppliers

Partners Customers

Employees

EN 2015 NOMBREUX CONTEXTES

6

5 Questions

Q: What’s posted on this monitor?

a – password to financial application b – phone messages c – to-do’s

Q: What determines your employee’s access?

a – give Alice whatever Wally has

b – roles, attributes, and requests

c – whatever her manager says

Q: Who is the most privileged user in your enterprise?

a – security administrator b – CFO c – the summer intern who is now

working for your competitor

Q: How secure is youridentity data?

a – It is in 18 different secured stores b – We protect the admin passwords c – Privacy? We don’t hold credit

card numbers

Q: How much are manual compliance controls costing your organization?

a – nothing, no new headcount b – don’t ask c – don’t know

Today’s IT Challenges

More Agile Business • More accessibility for employees, customers and partners • Higher level of B2B integrations • Faster reaction to changing requirements

More Secured Business • Organized crime • Identity theft • Intellectual property theft • Constant global threats

More Compliant Business • Increasing regulatory demands • Increasing privacy concerns • Business viability concerns

State Of Security In Enterprise• Incomplete • Multiple point solutions from many vendors • Disparate technologies that don’t work together

• Complex • Repeated point-to-point integrations • Mostly manual operations

• ‘Non-compliant’ • Difficult to enforce consistent set of policies • Difficult to measure compliance with those

policies

Identity Management Values

• Trusted and reliable security

• Efficient regulatory compliance

• Lower administrative and development costs

• Enable online business networks

• Better end-user experience

15

La gestion des identités consiste à gérer le cycle de vie des personnes (embauche, promotion, mutation, départ, etc.) au sein de la société et les impacts induits sur le système d’information (création de Comptes utilisateurs, attribution de Profils utilisateurs, mise en œuvre du contrôle d'accès, etc.).

sourceclusif

IAMn’estpasuniquementunetâcheinformatique,c’estaussiunprojetRH!

• Cette gestion des identités doit pouvoir être faite d'un point de vue fonctionnel par des non-informaticiens (exemple : Ressources Humaines, Maîtrise d’ouvrage, l’utilisateur lui-même)

• et •d'un point de vue technique par des informaticiens (exemple : administrateur, Maîtrise d’œuvre).

16

IAMn’estpasuniquementunetâcheinformatique!

sourceclusif

17

La solution de gestion d’identités doit être une solution globale sur la base d’une infrastructure centralisée avec une gestion fonctionnelle distribuée et qui intègre les fonctionnalités suivantes :

• la gestion du référentiel central des utilisateurs (alimentation à partir de référentiels utilisateurs sources), • la gestion du référentiel central des ressources concernées par la gestion des droits d’accès, • la gestion des habilitations (gestion des Profils, Rôles, gestion des utilisateurs, workflow), • le provisioning (synchronisation des référentiels cibles de sécurité), • l’administration décentralisée, • l’auto-administration (gestion par les utilisateurs des mots de passe et des données privées), • l’audit et le reporting, • le contrôle d’accès (authentification, autorisation).

sourceclusif

• WhatisIdentityManagement? “Identitymanagementisthesetofbusinessprocesses,andasupportinginfrastructure,forthecreation,maintenance,anduseofdigitalidentities.”TheBurtonGroup(aresearchfirmspecializinginITinfrastructurefortheenterprise)

• IdentityManagementinthissenseissometimescalled“IdentityandAccessManagement”(IAM)

Définition

19

Identity and Access Management is the process for managing the lifecycle of digital identities and access for people, systems and services. This includes:

User Management – management of large, changing user populations along with delegated- and self-service administration.

Access Management – allows applications to authenticate users and allow access to resources based upon policy.

Provisioning and De-Provisioning – automates account propagation across applications and systems.

Audit and Reporting – review access privileges, validate changes, and manage accountability.

CA

IAM : J. Tony Goulding CISSP, ITIL CA t ony.goulding@ca.com

IAMc’estparexemple…

• “BonjourjesuisJulie,uneétudiantedel’ULG.”(Identité)

• “Ceciestmonmotdepasse.” (Authentification)• “Jeveuxaccéderàlaplateforme”

(Authorisationaccordée)• “Jeveuxaméliorerlanotedemonexamen.”

(Autorisationrefusée)

Maisc’estaussi…

• Unnouveauprofesseur• Doncuneadresseemail,àdonnerdèsquepossible

• Unmotdepasseulg• UnmotdepasseIntranet• Définirlesautresservicesauxquelilaaccès

Quellessontlesquestionsàseposer??

• Lespersonnessont-ellescequ’ellesdisentêtre?

• Sont-ellesdesmembresréelsdenotrecommunauté?

• Ont-ellesreçulesautorisationsnécessaires?

• Lerespectdeleursdonnéespersonnellesest-ilmisenplace?

Exemplesdequestions

– Quelmottypedemotdepassedonner?– Quellessontlesactivitésautorisées?– Quellessontlesactivitésinterdites?– Aquellecatégoriedepersonnecettenouvelleidentitédoit-elleêtreattachée?

– Aquelmomentduprocessusd’entréelesautorisationsdoivent-ellesêtredonnées?

– Quellesmodalitésdecontrôlesontmisesenplace?Peut-onprouvertoutcelaàunauditeur?

24

LetripleAdel’IAM

AuthenticationWHO ARE YOU? Authorization / Access ControlWHAT CAN YOU DO? AuditWHAT HAVE YOU DONE?

24

2.Contexteactuel

Quelestlecontexteactuelquiestàlabasedudéveloppementdel’IAM?

32

Article 29 GDPR

Traitement effectué sous l'autorité du responsable du traitement ou du sous-traitant

Le sous-traitant et toute personne agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable

du traitement, à moins d'y être obligé par le droit de l'Union ou le droit d'un État membre.

28

Lesidentitésvarientselonlesplateformes

29

Entrel’identitévirtuelleet...

Dans ce contexte, l’amoncellement de parcelles laissées plus ou moins à l’abandon dessine un portrait par petites touches. Un peu comme les tableaux pointillistes : de manière unitaire, aucune des traces n’est réellement significative. Mais le tableau général, lui, représente le sujet dans son ensemble. À la vue de tous et pas forcément sous un angle souhaité…

http://www.buschini.com/2009/12/04/identite-traditionnelle-versus-identite-numerique/

• Internetestbasésurdescommunicationsanonymes

• Lesentreprisesparticipentàdenombreuxréseauxgénérantdemultiplesidentités

• Lessystèmesinternesontparfoisdessystèmesd’identifiantsdifférents

• Lesutilisateurssontlesmaillonsfaiblesdelasécurité

• Lacriminalitéinformatiqueaugmente

• Lamiseenplacedecontrôlesimposel’identification

• Lagestiondestracesestindispensables

• Laprotectiondelavieprivéeimposedescontrôles

Welcometoadigitalworld

ExplosionofIDs

Pre1980’s 1980’s 1990’s 2000’s

#ofDigitalIDs

TimeApplications

Mainframe

ClientServer

Internet

BusinessAutomation

Company(B2E)

Partners(B2B)

Customers(B2C)

Mobility

Source:IdentityandAccessManagement:OverviewRafalLukawiecki-StrategicConsultant,ProjectBotticelliLtdrafal@projectbotticelli.co.uk

TheDisconnectedReality

• “IdentityChaos”– Nombreuxutilisateursetapplications– NombreusesID– Plusieursidentitéparutilisateur– Plusieursloginetmotsdepasse– Multiplerepositoriesofidentityinformation– MultipleuserIDs,multiplepasswords– Managementdécentralisé– Conflitsbusiness<->IT

Enterprise Directory

HR

InfraApplication

Office

In-HouseApplication

External app

Finance

employeeApplication

•Authentication•Authorization•Identity Data

Source:IdentityandAccessManagement:OverviewRafalLukawiecki-StrategicConsultant,ProjectBotticelliLtdrafal@projectbotticelli.co.uk

•Authentication•Authorization•Identity Data

•Authentication•Authorization•Identity Data

•Authentication•Authorization•Identity Data

•Authentication•Authorization•Identity Data

•Authentication•Authorization•Identity Data

•Authentication•Authorization•Identity Data

YourCOMPANYand yourEMPLOYEES

YourSUPPLIERS

YourPARTNERSYourREMOTEand VIRTUALEMPLOYEES

YourCUSTOMERS

Customersatisfaction&customerintimacyCostcompetitivenessReach,personalization

CollaborationOutsourcingFasterbusinesscycles;processautomationValuechain

M&AMobile/globalworkforceFlexible/tempworkforce

MultipleContexts

37

3.IAM&Cloudcomputing

CloudComputing:Definition

• NoUniqueDefinitionorGeneralConsensusaboutwhatCloudComputingis…

• DifferentPerspectives&Focuses(Platform,SW,ServiceLevels…)

• Flavours:– ComputingandITResourcesAccessibleOnline– DynamicallyScalableComputingPower– VirtualizationofResources– Accessto(potentially)Composable&InterchangeableServices– AbstractionofITInfrastructure!Noneedtounderstanditsimplementation:useServices&theirAPIs– Somecurrentplayers,attheInfrastructure&ServiceLevel:SalesfoRce.com,GoogleApps,Amazon,Yahoo,Microsoft,IBM,HP,etc.

TheFutureofIdentityintheCloud:Requirements,Risks&OpportunitiesMarco Casassa Mont marco.casassa-mont@hp.com HP Labs Systems Security Lab Bristol, UK - EEMAe-IdentityConference,2009

CloudComputing:Implications• Enterprise:ParadigmShiftfrom“Close&Controlled”ITInfrastructuresandServicestoExternallyProvidedServicesandITInfrastructures

• PrivateUser:ParadigmShiftfromAccessingStaticSetofServicestoDynamic&ComposableServices

• GeneralIssues:– PotentialLossofControl(onData,Infrastructure,Processes,

etc.)– Data&ConfidentialInformationStoredinTheClouds– ManagementofIdentitiesandAccess(IAM)intheCloud– CompliancetoSecurityPracticeandLegislation– PrivacyManagement(Control,Consent,Revocation,etc.)– NewThreatEnvironments– ReliabilityandLongevityofCloud&ServiceProviders

TheFutureofIdentityintheCloud:Requirements,Risks&OpportunitiesMarco Casassa Mont marco.casassa-mont@hp.com HP Labs Systems Security Lab Bristol, UK - EEMAe-IdentityConference,2009

Issues and Risks [1/2]

• Potential Proliferation of Required Identities & Credentials to Access Services • Complexity in correctly “enabling” Information Flows across boundaries • Propagation of Identity and Personal Information across Multiple Clouds/Services

•Privacy issues (e.g. compliance to multiple Legislations, Importance of Location, etc.)

•Exposure of business sensitive information (employees’ identities, roles, organisational structures, enterprise apps/services, etc.)

•How to effectively Control this Data?

• Delegation of IAM and Data Management Processes to Cloud and Service Providers (How to get Assurance that these Processes and Security Practice are Consistent with Enterprise Policies?)

•Consistency and Integrity of User Accounts & Information across various Clouds/Services

•How to deal with overall Compliance and Governance issues?

TheFutureofIdentityintheCloud:Requirements,Risks&OpportunitiesMarco Casassa Mont marco.casassa-mont@hp.com HP Labs Systems Security Lab Bristol, UK - EEMAe-IdentityConference,2009

IdentityintheCloud:EnterpriseCase

IdentityintheCloud:EnterpriseCaseIssuesandRisks[2/2]

•MigrationofServicesbetweenCloudandServiceProviders

!ManagementofDataLifecycle

•ThreatsandAttacksintheCloudsandCloudServices!CloudandServiceProviderscanbethe“weakestlinks”inSecurity&Privacy!RelianceongoodsecuritypracticeofThirdParties

TheFutureofIdentityintheCloud:Requirements,Risks&OpportunitiesMarco Casassa Mont marco.casassa-mont@hp.com HP Labs Systems Security Lab Bristol, UK - EEMAe-IdentityConference,2009

4.Pourquoienavonsnousbesoin?

•Sécurité

•Compliance

•Réductiondescoûts•Supportpourl’audit•Contrôled’accès

Source:ftp://ftp.boulder.ibm.com/software/uk/productnews/tv/vh_-_access_and_identity_management.pdf

Economiespossibles• DirectorySynchronization

“Improvedupdatingofuserdata:$185peruser/year”“Improvedlistmanagement:$800perlist”-GigaInformationGroup

• PasswordManagement“Passwordresetcostsrangefrom$51(bestcase)to$147(worstcase)forlaboralone.”–Gartner

• UserProvisioning“ImprovedITefficiency:$70,000peryearper1,000managedusers”“Reducedhelpdeskcosts:$75peruserperyear”-GigaInformationGroup

CanWeJustIgnoreItAll?

• Today,averagecorporateuserspends16minutesadayloggingon

• Atypicalhomeusermaintains12-18identities

• Numberofphishingsitesgrewover1600%overthepastyear

• CorporateITOpsmanageanaverageof73applicationsand46suppliers,oftenwithindividualdirectories

• Regulatorsarebecomingstricteraboutcomplianceandauditing

• Orphanedaccountsandidentitiesleadtosecurityproblems

Source:Microsoft’sinternalresearchandAnti-phishingWorkingGroup

IAMBenefits

Benefits to take you forward (Strategic)

Benefits today(Tactical)

Save money and improve operational efficiency

Improved time to deliver applications and service

Enhance Security

Regulatory Compliance and Audit

New ways of working

Improved time to market

Closer Supplier, Customer, Partner and Employee relationships

Source:IdentityandAccessManagement:OverviewRafalLukawiecki-StrategicConsultant,ProjectBotticelliLtdrafal@projectbotticelli.co.uk

5.IAMtodolist

• Créationetsuppressionautomatiquedecomptes

• Gestiondestraces• Archivage(durée??)• Vieprivée• Compliance• Sécurité<>risques• Deplusenplusd’utilisateurs• E-business• documentation• audit

52

53

AUDIT

52

Lestroiséléments

6.Laprotectiondesdonnéespersonnelles

Source:https://www.britestream.com/difference.html.

LesinformationscirculentQuivérifie?

Quidoitavoiraccèsàquoi? Limitationslégales!

Responsabilitésdel’organisation

TELETRAVAIL

Informationssensibles

62

63http://fr.slideshare.net/MicrosoftEntrepreneurs/rdi105-byod-resister-ou-embrasser?qid=d1192010-03b1-49ee-a555-ab31c4e7a1cd&v=default&b=&from_search=4

http://fr.slideshare.net/MicrosoftEntrepreneurs/rdi105-byod-resister-ou-embrasser?qid=d1192010-03b1-49ee-a555-ab31c4e7a1cd&v=default&b=&from_search=4

http://fr.slideshare.net/MicrosoftEntrepreneurs/rdi105-byod-resister-ou-embrasser?qid=d1192010-03b1-49ee-a555-ab31c4e7a1cd&v=default&b=&from_search=4

7.IAMetContrôle

Lemaillonfaible…

Donnéesreçuesettransférées

• Quepeut-oncontrôler?

• Limites?• Correspondance

privée• Saisiessursalaire• Sanctionsréelles• Communiquerles

sanctions?

• Sécuritéorganisationnelle

– Départementsécurité

– Consultantensécurité

– Procéduredesécurité

– Disasterrecovery

• Sécuritétechnique

– Riskanalysis– Back-up– Procédurecontreincendie,vol,etc.– Sécurisationdel’accèsauréseauIT– Systèmed’authentification(identitymanagement)– Logginandpasswordefficaces

• Sécuritéjuridique

– Contratsd’emploisetinformation

– Contratsaveclessous-contractants

– Codedeconduite– Contrôledesemployés– Respectcompletdelaréglementation

Quicontrôlequoi?

8.E-discovery

Definitionofe-discovery

• Electronicdiscovery(ore-discovery)referstodiscoveryincivillitigationwhichdealswithinformationinelectronicformatalsoreferredtoasElectronicallyStoredInformation(ESI).

• Itmeansthecollection,preparation,reviewandproductionofelectronicdocumentsinlitigationdiscovery.

• Anyprocessinwhichelectronicdataissought,located,secured,andsearchedwiththeintentofusingitasevidenceinacivilorcriminallegalcase

• Thisincludese-mail,attachments,andotherdatastoredonacomputer,network,backuporotherstoragemedia.e-Discoveryincludesmetadata.

Recommandations

Organizationsshouldupdateand/orcreateinformationmanagementpoliciesandproceduresthatinclude:– e-mailretentionpolicies,Onanindividuallevel,employeestendto

keepinformationontheirharddrives“justincase”theymightneedit.– Workwithuserstorationalizetheirstoragerequirementsand

decreasetheirstoragebudget.– off-lineandoff-sitedatastorageretentionpolicies,– controlsdefiningwhichusershaveaccesstowhichsystemsandunder

whatcircumstances,– instructionsforhowandwhereuserscanstoredata,and•backupand

recoveryprocedures.– Assessmentsorsurveysshouldbedonetoidentifybusinessfunctions,

datarepositories,andthesystemsthatsupportthem.– Legalmustbeconsulted.Organizationsandtheirlegalteamsshould

worktogethertocreateand/orupdatetheirdataretentionpoliciesandproceduresformanaginglitigationholds.

81

Commentl’implémenter?

• Trouverdessourcesauthentiques(ilpeutyenavoirplusieurs)

• Partirdeslistesexistantesdescollaborateurs• Définirlesrôles(c’estlebusinessdonclesRHquilefont,pasl’Informatique)

• N’oubliezpasl’audit(externe)doncilfautjustifier:• quiaaccèsàquoi?depuisquand?• quiaapprouvé?• comptesorphelins?

82

Nepasoublierlarésistanceauchangement

• Pourquoin’ai-jeplusaccèsà…?• cen’estpasunepriorité• L’informatiquen’apasletemps• ilvautmieuxtoutcontrôler• craintedepertedepouvoir

83

9.Conclusion

• IAMn’estpasuniquementunequestioninformatique

• LESRHDOIVENTETREIMPLIQUES• lesaspectsjuridiquesetdegestionsontessentiels

• Attentionauxaspectscompliance

• Plusdesécuriténécessaire

– Cloudcomputing

– Virtualisation– Dataprivacy– archivage

• Transparence

• E-discovery

L’IAMestaussiuneopportunité

• Repenserlasécurité• Limiterlesrisques• Réduirelescoûts• Repréciserlesrôlesetresponsabilités

• Appréhenderlesrisquesfuturs

Je suis prêt à répondre à vos questions