Trois entreprises ont accepté de partager leur expérience de mise en place d’un projet IAM :
IAM PSA : 16 ans déjà !
Valérie CHASSAING, PSA
Tout d’abord, le groupe PSA qui a entamé son projet il y a maintenant seize ans. Valérie Chassaing est revenue sur les réussites, les moments complexes et les bénéfices du projet. Le premier « répertoire unique des personnes » de PSA est né en 1991. Mais c’est en 2000 que démarre véritablement le projet IAM de PSA. Il faudra 10 ans pour mettre en place les briques de la solution et, depuis, le projet vit des évolutions permanentes. La sécurité logique est désormais reliée à la sécurité physique. Sans badge, il est impossible de se connecter au système d’information de l’entreprise, mais également de pénétrer sur les sites. Les aspects B2B sont opérationnels puisque si un fournisseur déclare qu’une personne n’existe plus chez lui, automatiquement, elle n’existe plus chez PSA. Le projet IAM du groupe compte quelque 445 000 identités dont 115 000 internes, 17 800 rôles applicatifs pour 3 000 applications et 30 400 groupes logiques.
Les droits sont gérés par un responsable de sécurité logique de direction qui supervise un administrateur de la sécurité logique (périmètre de sécurité), un propriétaire de rôle applicatif (application) et un responsable de groupe logique (communauté). Il existe une quinzaine de responsables de sécurité logique de direction.
Le projet IAM a apporté au groupe un outil d’administration de sécurité unique pour toutes les applications, une administration déléguée à des utilisateurs métiers, une automatisation de toutes les mises à jour techniques dans les cibles (AD, SAP, TSS, LDAP), il permet une attribution et un retrait des accès en quelques minutes, la traçabilité des actions d’administration des identités et de leurs habilitations. Pour Valérie Chassaing, l’IAM PSA est « un des piliers majeurs de la sécurité » du groupe.
Toutefois, le projet présente des limites. À titre d’exemple, les principes de l’époque, en 2000, ne sont plus vrais aujourd’hui. Le groupe était alors très stable. Or l’environnement est aujourd’hui plus mouvant. PSA a absorbé de nombreuses entreprises et personnels, ceux-ci sont souvent hors des sites « historiques » de PSA et les administrateurs de plus en plus éloignés de leurs utilisateurs. La technologie est désormais vieillissante. La solution technique retenue est particulièrement complexe car elle devait répondre à un niveau d’abstraction fonctionnelle important. Les évolutions fonctionnelles sont donc limitées au strict nécessaire.
Ce qui amène de nouveaux enjeux : être plus agiles pour accompagner la transformation du Groupe, adapter le modèle d’administration aux nouvelles réalités du groupe, intégrer les nouvelles typologies d’identités comme les objets connectés, les usagers des objets connectés, les clients.
Les facteurs de succès, selon Valérie Chassaing, ont été une DSI centralisée, le fait que l’IAM est proposé comme un service d’infrastructure « gratuit » mais « obligatoire », un chef de projet Maitrise d’ouvrage très impliqué et charismatique, une collaboration MOA/MOE très étroite, un développement en mode agile avant l’heure et purement interne, et le fait que le contexte des métiers de l’entreprise a été pris en compte, ce qui a entraîné leur adhésion.
Au registre des difficultés, il a fallu maintenir l’intérêt des sponsors pour le projet dans la durée, faire comprendre l’intérêt des enjeux et les coûts associés et s’adapter en cours de projet à l’évolution de l’écosystème.
IAM et cartes des professionnels de santé
Charles BARTHES, AP-HP
Charles Barthes directeur de projet, a pour sa part présenté le projet de gestion des identités et des accès à l’AP-HP. L’Assistance Publique Hôpitaux de Paris, ce sont 39 hôpitaux, soit 20 704 lits, 90 000 professionnels, 8 millions de patients pris en charge tous les ans, 5,2 millions de consultations, et un budget de 7,3 milliards d’euros. Autant dire, un environnement complexe. Pour l’AP-HP, il s’agit de déployer une nouvelle carte professionnelle à puce, multi-services, permettant d’identifier de façon sécurisée et rapide l’ensemble des agents de l’AP-HP. Cette carte permet un accès au système d’information en mettant en œuvre un identifiant de connexion unique, de fiabiliser l’identité des agents ayant accès au système d’information et aux locaux, de sécuriser les accès avec un renforcement de l’authentification et de tracer es accès au système d’information.
Le projet qui repose sur IAM Suite 9 d’Evidian, contient cinq chantiers sous-jacents : la fiabilisation des sources autoritaires de données (RH, RPPS, ADELI, Active Directory, …) des processus pour gérer le circuit de l’agent (arrivée, mutation, départ), des accès sécurisés depuis Internet, des contrôles d’accès physiques (portiques, serrures, …) configurés selon l’affectation du personnel et des cartes multi-services (paiement dans les restaurants d’entreprise). Jusqu’à présent, quelques 60 000 cartes ont été déployées.
L’IAM chez TF1
Alex ARNAUD et David AUBURTIN, TF1
Enfin, la troisième entreprise ayant détaillé son projet IAM est TF1. Une entreprise très particulière, notamment en ce qui concerne le nombre de métiers et d’intervenants dans la production des contenus. Alex Arnaud, RSSI, David Auburtin, chef de projet News et Charlotte Fourcroy, consultante IAM, ont rappelé qu’un journal télévisé était produit par des journalistes, mais également par des pigistes extérieurs à la rédaction, des techniciens, des intermittents du spectacle. Bref, une multitude de profils dont certains sont parfois extérieurs à l’entreprise.
TF1 comptait donc une multitude de comptes génériques permettant de s’identifier sur le système d’information. L’un des objectifs du projet IAM consistait à faire disparaître ces comptes sans pour autant pénaliser la production. Si TF1 n’est pas un OIV (étant une entreprise privée), elle a également dû tirer les leçons des piratages de Sony Pictures et de TV5 Monde : ce qui était jusque-là une hypothèse est désormais une possibilité.
Les comptes génériques permettaient par exemple aux intermittents, qui sont une population avec un turn-over important, de se connecter au système d’information. De nombreuses boites mail partagées de type journaltelevise@tf1.fr étaient accessibles via un compte générique, tout comme les postes partagés en libre-service ou des postes utilisés à l’extérieur des locaux par des prestataires (sous-titrage des journaux télévisés par exemple).
Désormais, les monteurs qui travaillaient sur plusieurs postes en libre-service déverrouillent une session Windows avec un badge. Cela évite de lancer la machine et les applications (souvent lourdes pour le montage) à chaque fois, tout en identifiant chaque connexion d’une personne.
En régie, zone particulièrement sensible où tous les postes doivent être accessibles à tout moment, une carte déverrouille en mode grappe des terminaux reliés à des postes situés en salle technique.
L’IAM de demain
Laurent CHARREYRON, CXP Group et Kuppingercole)
Laurent Charreyron (CXP Group et Kuppingercole Analysts) a pour sa part évoqué plusieurs points fondamentaux à prendre en compte dans les projets d’IAM à venir, d’autant que, selon lui, « l’IAM est au cœur de la transformation digitale ».
Il va falloir penser à l’identité des objets, des outils, des services et des applications. Les identités, ne seront plus gérées uniquement en interne et le niveau de confiance devra varier. Les fournisseurs d’attributs seront variés et il n’y aura donc plus une seule source de vérité et d’information sur les identités. Les utilisateurs navigueront quant à eux entre plusieurs identités. Les moyens d’authentification vont également se multiplier. La notion d’identité relationnelle devra être prise en compte car il faudra relier les humains et leurs objets, services ou applications. Enfin, il faudra prendre en compte le contexte.
Pour Laurent Charreyron, on va assister à une convergence entre IAM et CRM afin de mieux servir les clients (KYC : Know and serve Your Customer). S’il faut fluidifier et mieux partager informations entre silos, il ne faut pas négliger la pression croissante de conformité. Et justement, l’IAM va s’intégrer comme un élément réactif de la sécurité des systèmes d’information, précise-t-il. L’IAM permet de bloquer les accès, mais doit aussi permettre de détecter des usages qui pourraient sembler légitimes mais ne le sont pas. Une sauvegarde réalisée par un utilisateur peut être un usage normal. Une vingtaine de sauvegardes peut témoigner d’un usage anormal du système d’information.
Il faut par ailleurs avancer de bons arguments pour justifier les investissements dans un projet d’IAM, explique Laurent Charreyron.
Ce type de projet apporte de l’agilité à l’entreprise en favorisant le business, en rendant les salariés plus mobiles, en créant une meilleure interaction avec les clients et en accélérant la transformation digitale. L’IAM améliore l’efficacité avec des processus plus efficients.
Enfin, selon Laurent Charreyron, l’IAM est un plus pour la compliance en permettant notamment d’être mieux préparé pour les audits.
La table ronde qui a clôturé la réunion a été l’occasion, justement, d’aborder les problématiques juridiques.
Notamment l’obligation faite à l’entreprise d’informer les salariés des traces collectées, indiquer qui sont les destinataires des données, prévoir un droit d’accès, penser aux déclarations à la CNIL, prendre en compte l’arrivée du règlement européen sur la protection des données personnelles.
D’autres interventions ont été l’occasion de rappeler qu’un projet IAM est aussi l’occasion de ré-impliquer les métiers dans l’entreprise afin de redéfinir les profils applicatifs, de repréciser des points dans la charte informatique, notamment en ce qui concerne l’usage de services gratuits, pour le cloud, par exemple.
Commenter cet article