Le 19 octobre, s’est tenue la conférence du CLUSIF sur la gestion des accès. Thierry Chiofalo a rappelé que les enjeux de l’Identity and Access Management (IAM) sont au cœur de la sécurité des systèmes d’information. Les organisations doivent protéger leurs secrets industriels, les informations qui pourraient intéresser la concurrence, leurs bases clients mais doivent également répondre à des critères de conformité de plus en plus exigeants (RGDP, données de santé, données financières, etc.). Pour répondre à tous ces besoins touchant notamment la confidentialité des informations, l’objectif de l’IAM va être d’apporter une authentification fiable et des autorisations appropriées.
Pour autant, si chacun convient que l’IAM est un point central de la sécurité des systèmes d’information, un tel projet soulève des problématiques variées auxquelles il convient d’être préparé. Les parties prenantes sont multiples (ressources humaines, RSSI, responsable des applications, hiérarchie, contrôle interne, etc.), le périmètre est souvent très large (salariés, stagiaires, prestataires externes). Les défis sont nombreux avec l’apparition des objets connectés, le développement des relations avec les clients et les partenaires et, enfin, il convient de relier la sécurité logique à la sécurité physique, a souligné Thierry Chiofalo.
Le groupe de travail IAM au sein du CLUSIF, mené par Olivier Morel (société Ilex) planche sur le sujet depuis maintenant deux ans et va publier à la fin de cette année un guide pratique d’implémentation des projets IAM/AG (Access Governance). Il s’adressera à tous ceux qui doivent mettre en œuvre tout ou partie d’un projet IAM dans leurs organisations. Le groupe de travail a choisi de déterminer trois modules fonctionnels qui couvrent les étapes du projet : avant, pendant et après. Sont ainsi abordés L’Identity Management (annuaire des identités, cycle de vie des utilisateurs, gestion des habilitations), l’Identity & Access Governance (revue des habilitations, gestion des rôles), l’Access Management (fédération des identités, Web Access Management, Enterprise Single Sign-On, authentification forte).
CLUSIF : synthèse de la conférence sur la gestion des accès au coeur de la SSI (1ère partie)
Pour être informé des derniers articles, inscrivez vous :
Commenter cet article