Archives du mot-clef rbac

Eléments à prendre en considération pour la réussite d’un projet RBAC

On trouve de plus en plus d’articles sur Internet montrant comme quoi la gestion des accès basée sur des Rôles (Role Based Access Control ou RBAC en anglais) est un concept qui ne tient plus la route.

Avec 10 années d’expérience dans l’Identity Management, Tools4ever – il est vrai – a souvent, même très souvent, été témoin d’initiatives de gestion des accès basée sur des rôles qui …ne tenaient pas la route.

Quelles sont les raisons d’un tel échec? Et quelles sont les bonnes pratiques pour réussir son projet?

Voici quelques éléments :

1/ N’essayez surtout pas de créer une matrice des accès et des rôles complète
Lors de l’implémentation de projet de RBAC, on rencontre souvent des sociétés de conseil qui consacrent beaucoup de temps – parfois des années – a faire des interviews et autres actions nécessitant pas mal d’efforts dans le but de construire la matrice parfaite contenant tous les rôles et accès qui existent dans l’organisation. C’est une approche très couteuse qui amène rarement au résultat voulu. Puisque l’organisation elle-même ne peut pas être considéré comme statique, viser la matrice des rôles ‘complète’ risque de devenir une histoire sans fin.

2/ Essayez de travailler selon un modèle pyramidale
– Si l’on veut vraiment obtenir de bons résultats sans démarrer un projet couteux, la méthode pyramidale est à conseiller. L’idée principale est que l’ensemble des accès peut être vu comme une pyramide, avec des accès fondamentaux et d’autres moins essentiels. Exemple des différents niveaux
– Niveau organisation (OS, login + e-mail)
– Niveau département/service (dossier(s) de partage , applications métier)
– Niveau fonction intitulé de poste (plus détaillées)
– Niveaux des autorisations / rôles les plus détaillés (exemple rôles dans SAP)

Les avantages principaux de cette méthode sont : des résultats immédiats et l’application de la règle des 80/20 (80% du résultat avec 20% des efforts)

3/  Faites la différence entre les autorisations et accès structurées et ad-hoc :
Un des risques des projets relatifs à la gestion des accès basée sur des rôles est de se perdre dans la jungle des autorisations. En effet, il n’est pas concevable d’extraire un modèle type de rôles à partir des autorisations et accès de bas niveau dans la pyramide car bien souvent ils ont été attribués arbitrairement ou exceptionnellement et, de ce fait, ne sont pas structurées. En revanche, certains accès et autorisations sont structurées et peuvent très bien représenter un rôle précis s’inscrivant donc complètement dans la définition du modèle. Il faut impérativement différentier ces deux types dès le début du projet car le processus de gestion et la collecte des informations se rapportant à ces deux types d’autorisations sont différents.

Au départ les accès et autorisations non-structurées peuvent très bien être gérés par un système de demande par workflow, avec traçabilité pour alimenter par la suite la matrice avec plus de détails.

Autres éléments
D’autres éléments importants sont :
– Les pré-requis de conformité (exemple ‘segregation of duty’ dans SOX)
– Gestion de l’existant par rapport au future (as is – to be)
– Les descriptions des rôles /accès fonctionnels et techniques (demande fonctionnelle vs. réalité technique)

Pour en savoir plus sur la gestion des rôles, et la gestion des accès n’hésitez pas à prendre contact avec nous.

Evitez les accidents sur la route de l’Identity Management

Ne pas commencez un projet de Gestion des Identités et des Accès en étant pressé.

Gérer les identités ou les comptes utilisateurs dans le réseau devient un challenge de plus en plus grand pour les entreprises.
Les administrateurs système ne doivent plus seulement gérer des infrastructures de plus en plus complexe avec un grand nombre de changements dans les comptes utilisateurs (collaborateurs qui quittent l’entreprise, changent d’état civil, ou changent de service). Ils sont aussi les garants du respect de règles de conformité en matière de sécurité IT qui sont de plus en plus stricts, et qui nécessitent que toutes les actions liées à la gestion des comptes utilisateurs soient loggés, tracées.

En automatisant certaines tâches de gestion telles que « Créer utilisateur »,  « Supprimer utilisateur » ou « Réinitialiser Mot de Passe », une traçabilité peut être garantie. C’est l’un des avantages le plus pertinent des solutions de gestion des identités et des accès. Mais le gain de temps et la réduction des coûts jouent également un rôle. Les services responsables de l’administration du parc informatique se rendent compte de plus en plus de l’avantage d’automatiser les changements au niveau des comptes utilisateurs, mais bien souvent ils se lancent trop rapidement dans l’implémentation d’une (sorte de) solution de gestion des identités et des accès. Et quand cette décision est prise avec trop de précipitation, il y a un certain nombre de pièges classiques dans lesquels ils risquent de tomber.

Vider le bassin sans fermer le robinet…

Un des pièges est de choisir une solution d’ exporting/reporting pure pour satisfaire des besoins d’audit. L’auditeur demande une « vue centrale » des autorisations et des accès qui doivent être attribués selon des règles puis une autre correspondant aux privilèges qui sont réellement donnés aux utilisateurs finaux dans le réseau. Pour satisfaire cette demande le plus facilement, il est possible de faire un export périodique de toutes les autorisations par collaborateurs dans le réseau et de le comparer avec la configuration comme elle devrait être.

La liste avec des différences non acceptables (collaborateur ayant trop d’habilitations, collaborateur ayant quitté l’entreprise, collaborateur ayant une combinaison d’habilitations non cohérente) doit être ensuite corrigée manuellement dans le réseau. Le grand désavantage de cette méthode « rapide » est qu’à chaque fois la pollution réapparait et doit être de nouveau corrigée. Ainsi cette solution reviendrait à vider un bassin sans avoir prit soin de fermer avant le robinet. Une solution structurelle serait de faire en sorte que par des processus d’autoprovisioning, de gestion des accès par les rôles et de système de gestion de workflow, les différences non acceptables n’aient plus lieu.

Gestion des Accès basée sur les rôles (RBAC)

L’implémentation de la RBAC (Role Based Acces Control) amène rapidement vers ce piège classique : Beaucoup d’organisation ont pour but de réaliser un autoprovisioning qui supporte à 100% les rôles. C’est-à-dire que les comptes utilisateurs sont créés sur la base de rôles et poste qu’occupe un collaborateur dans l’organisation.

Ce ne pas pour rien que la RBAC est souvent appelé la PBAC (Person Based Acces Control)! Car dans la pratique, l’autoprovisioning basé sur des rôles ne peut pas couvrir toutes les instances.

Souvent, il y a autant de rôles et des postes dans l’organisation qu’il y a de collaborateurs ; ce qui entraine donc un nombre presque infini de rôles vis-à-vis des ressources informatiques. Créer et remplir la matrice des rôles et habilitations devient alors souvent un processus fastidieux, long et inefficace. Par la suite, si l’organisation change, fusionne ou se réorganise, le travail doit être recommencé à partir de zéro.

Le Collaborateur en place centrale

Un des autres pièges classiques est de ne pas donner une place centrale aux collaborateurs eux-mêmes ainsi qu’aux managers dans le processus d’IDM. Le manager sait exactement de quoi ses utilisateurs/collaborateurs ont besoin pour faire leur travail. Et le collaborateur lui-même est capable de dire de quoi il a besoin pour faire son travail. Pourquoi alors ne pas leur permettre de faire eux même des demandes via un système de self service avec un système de workflow ?

En conclusion : beaucoup d’organisations souhaitent implémenter d’une traite un environnement d’Identity Management complet. Bien que dans la pratique cela soit possible, un projet d’une telle envergure dure assez longtemps et les premiers vrais résultats sont visibles qu’après des mois et des mois de travail.
Souvent il est plus convenable d’attaquer le sujet par phases. Ceci donne la flexibilité et l’espace d’implémenter sa solutions d’Identity management pas à pas. Les investissements nécessaires sont proportionnels avec le type d’implémentation dans l’organisation et en quelques semaines, des résultats visibles peuvent déjà être réalisé à moindre coût. De tels résultats garantissent souvent une bonne acceptation de l’initiative dans l’organisation.

Essayez d’éviter les pièges classiques en n’entrant pas trop précipitamment dans un projet de Gestion des Identités. Etudiez les possibilités et prenez conscience que tout ne devrait pas être fait en une seule fois. Mieux vaut faire des étapes pour éviter l’accident sur la route de l’Identity Management.

Cliquez ici pour obtenir plus d’informations sur les avantages de la gestion des identités et des accès.

Un premier envol avec la gestion des accès basée sur des rôles

RBAC (Role Based Accès Control) ou en français, la gestion des accès basée sur des rôles est à la mode !

De plus en plus d’organisations prennent conscience de l’importance d’harmoniser et gérer les habilitations/accès informatiques de manière structurée. Aujourd’hui il n’est pas rare de rencontrer le fonctionnement suivant dans une organisation : pour créer les accès, on fait un ‘copier coller’ d’un collègue qui a ‘plus ou moins’ la même fonction.

De ce fait, on se retrouve avec des collaborateurs qui ont accès à des systèmes et/ou applications dont ils n’ont nul besoin.

Une fois que l’utilisateur possède ces accès, il est rare que ces derniers soient ‘ajustés’ durant sont cycle de vie dans l’entreprise. Ce fonctionnement n’est pas sans conséquences pour la sécurité des données mais aussi pour le cout en licences informatique par exemple.
La gestion des accès basée sur des rôles (RBAC) est une possibilité pour résoudre cette problématique. RBAC consiste en l’élaboration d’une matrice des rôles, fonctions, accès et droits précis. Lors de l’arrivée d’un nouveau collaborateur, on peut déterminer facilement ce qu’il peut et ce qu’il ne peut pas faire dans le réseau grâce à cette matrice. Ce qui est vrai dans un monde idéal…

Dans la pratique, remplir une telle matrice pose souvent beaucoup de problèmes. Les collaborateurs se sentent souvent uniques ce qui provoque une matrice avec autant de rôles qu’il y a de collaborateurs. Dans ce cas la, l’organisation s’engage alors dans un projet où elle ne verra jamais la lueur au bout du tunnel !

A ce juste titre, beaucoup d’organisations sont réticentes à l’implémentation d’une RBAC. Cependant, d’autres organisations se lancent dans l’aventure et ont pour objectif de positionner 100% des collaborateurs, et accès dans la matrice des rôles. C’est un travail immense, complexe et quasiment sans fin qui peut occuper les responsables sécurité et management pendant des années !

Vous souhaitez avoir un résultat rapide pour la RBAC ? C’est tout à fait possible, mais dans ce cas, ne vous focalisez pas sur une couverture à 100% dès le départ. Grâce au SIRH, il est possible d’extraire facilement le top 50 des services et fonctions de votre organisation. Dans la plupart des cas, cela remplira déjà votre matrice à 80% ! Et cela en quelques jours seulement. Par la suite, les 20% restant pourront être rempli par les managers grâce à une application de workflow.

Même si des années peuvent s’écouler avant que votre matrice ne soit complétée à 100%, on peut néanmoins, en utilisant un système d’information source existant tel que le SIRH et en impliquant les managers dans le processus, remplir la matrice RBAC selon un processus contrôlé, efficace avec des résultats immédiats. L‘effort nécessaire est minimalisé, et le bénéfice ressortira lors d’audits liés à la sécurité informatique. Mais aussi d’autres bénéfices : réduction des coûts de licence informatique et stockage de données ainsi qu’une réduction des incidents de sécurité.

Pour plus d’information sur la gestion des accès par les rôles, visitez : www.tools4ever.fr

Votre stratégie de gestion des identités : un menu « à la carte »

Les projets de gestion des identités ont la réputation d’être longs, coûteux et techniquement complexes. Et si vous pouviez bénéficier des avantages d’une stratégie de gestion des identités sans les tracas et les frais généraux associés aux projets techniquement complexes ? Et cela dans les limites de votre budget ?

Grâce à des centaines de projets de gestion des identités gérés par leurs consultants techniques, Tools4ever a été en mesure de définir un certain nombre de bonnes pratiques de gestion des identités visant à atteindre le meilleur résultat avec un minimum d’efforts.

Parmi ces bonnes pratiques, on trouve la création d’un véritable modèle de maturité de la gestion des identités et la gestion des identités « à la carte ». Cette dernière démontre la capacité de Tools4ever à fournir des solutions précises ainsi qu’une approche intégrée de la gestion des identités.

Voici quelques exemples de solutions « à la carte » qui ont été mises en place (le temps de mise en œuvre estimé se réfère aux organisations de taille moyenne, soit environ 2 000 utilisateurs) :

  •     délégation et traçabilité de la gestion de tous les comptes utilisateurs et de leurs ressources (2 jours) ;
  •     synchronisation avec le système RH (2 jours) ;
  •     portail de gestion des identités en self-service et gestion du workflow (5 jours) ;
  •     RBAC (contrôle d’accès à base de rôles) de niveau 1 (entre 3 et 5 jours) ;
  •     portail Web pour l’audit et la gestion des droits NTFS ou des groupes AD (2 jours) ;
  •     identification unique pour vos 10 principales applications (3 jours) ;
  •     réinitialisation du mot de passe en mode self-service (1-3 jours);
  •     synchronisation des mots de passe (1 journée).

Un menu intéressant ? Qu’est-ce qui vous tente ?

Rendez-vous sur le site www.tools4ever.fr pour en savoir plus sur nos solutions et comment elles peuvent vous aider à atteindre vos objectifs de gestion des identités.