JacquesFolonwww.folon.com
PartnerEdgeConsulting
MaîtredeconférencesUniversitédeLiègeProfesseurICHECBrusselsManagementSchoolProfesseurinvitéUniversitédeLorraineESCRennesSchoolofBusiness
Gestion des profils Identity Access Management
IAM
1. C’estquoi?2. Quelestlecontexte
actuel?3. IAM&cloudcomputing4. Pourquoienavonsnous
besoin?5. Todolist6. IAMetvieprivée7. IAMetcontrôle8. e-discovery9. Conclusion
1.IAMc’estquoi?
Provisioning
SingleSignOn
PKIStrong
Authentication
Federation
DirectoriesAuthorization
SecureRemoteAccess
PasswordManagement
WebServicesSecurity Auditin
g&
Reporting
RolebasedManagement
DRM
Source:IdentityandAccessManagement:OverviewRafalLukawiecki-StrategicConsultant,[email protected]
Q: What’s posted on this monitor?
a – password to financial application b – phone messages c – to-do’s
Q: What determines your employee’s access?
a – give Alice whatever Wally has
b – roles, attributes, and requests
c – whatever her manager says
Q: Who is the most privileged user in your enterprise?
a – security administrator b – CFO c – the summer intern who is now
working for your competitor
Q: How secure is youridentity data?
a – It is in 18 different secured stores b – We protect the admin passwords c – Privacy? We don’t hold credit
card numbers
Q: How much are manual compliance controls costing your organization?
a – nothing, no new headcount b – don’t ask c – don’t know
Today’s IT Challenges
More Agile Business • More accessibility for employees, customers and partners • Higher level of B2B integrations • Faster reaction to changing requirements
More Secured Business • Organized crime • Identity theft • Intellectual property theft • Constant global threats
More Compliant Business • Increasing regulatory demands • Increasing privacy concerns • Business viability concerns
State Of Security In Enterprise• Incomplete • Multiple point solutions from many vendors • Disparate technologies that don’t work together
• Complex • Repeated point-to-point integrations • Mostly manual operations
• ‘Non-compliant’ • Difficult to enforce consistent set of policies • Difficult to measure compliance with those
policies
Identity Management Values
• Trusted and reliable security
• Efficient regulatory compliance
• Lower administrative and development costs
• Enable online business networks
• Better end-user experience
15
La gestion des identités consiste à gérer le cycle de vie des personnes (embauche, promotion, mutation, départ, etc.) au sein de la société et les impacts induits sur le système d’information (création de Comptes utilisateurs, attribution de Profils utilisateurs, mise en œuvre du contrôle d'accès, etc.).
sourceclusif
IAMn’estpasuniquementunetâcheinformatique,c’estaussiunprojetRH!
• Cette gestion des identités doit pouvoir être faite d'un point de vue fonctionnel par des non-informaticiens (exemple : Ressources Humaines, Maîtrise d’ouvrage, l’utilisateur lui-même)
• et •d'un point de vue technique par des informaticiens (exemple : administrateur, Maîtrise d’œuvre).
16
IAMn’estpasuniquementunetâcheinformatique!
sourceclusif
17
La solution de gestion d’identités doit être une solution globale sur la base d’une infrastructure centralisée avec une gestion fonctionnelle distribuée et qui intègre les fonctionnalités suivantes :
• la gestion du référentiel central des utilisateurs (alimentation à partir de référentiels utilisateurs sources), • la gestion du référentiel central des ressources concernées par la gestion des droits d’accès, • la gestion des habilitations (gestion des Profils, Rôles, gestion des utilisateurs, workflow), • le provisioning (synchronisation des référentiels cibles de sécurité), • l’administration décentralisée, • l’auto-administration (gestion par les utilisateurs des mots de passe et des données privées), • l’audit et le reporting, • le contrôle d’accès (authentification, autorisation).
sourceclusif
• WhatisIdentityManagement? “Identitymanagementisthesetofbusinessprocesses,andasupportinginfrastructure,forthecreation,maintenance,anduseofdigitalidentities.”TheBurtonGroup(aresearchfirmspecializinginITinfrastructurefortheenterprise)
• IdentityManagementinthissenseissometimescalled“IdentityandAccessManagement”(IAM)
Définition
19
Identity and Access Management is the process for managing the lifecycle of digital identities and access for people, systems and services. This includes:
User Management – management of large, changing user populations along with delegated- and self-service administration.
Access Management – allows applications to authenticate users and allow access to resources based upon policy.
Provisioning and De-Provisioning – automates account propagation across applications and systems.
Audit and Reporting – review access privileges, validate changes, and manage accountability.
CA
IAM : J. Tony Goulding CISSP, ITIL CA t [email protected]
IAMc’estparexemple…
• “BonjourjesuisJulie,uneétudiantedel’ULG.”(Identité)
• “Ceciestmonmotdepasse.” (Authentification)• “Jeveuxaccéderàlaplateforme”
(Authorisationaccordée)• “Jeveuxaméliorerlanotedemonexamen.”
(Autorisationrefusée)
Maisc’estaussi…
• Unnouveauprofesseur• Doncuneadresseemail,àdonnerdèsquepossible
• Unmotdepasseulg• UnmotdepasseIntranet• Définirlesautresservicesauxquelilaaccès
Quellessontlesquestionsàseposer??
• Lespersonnessont-ellescequ’ellesdisentêtre?
• Sont-ellesdesmembresréelsdenotrecommunauté?
• Ont-ellesreçulesautorisationsnécessaires?
• Lerespectdeleursdonnéespersonnellesest-ilmisenplace?
Exemplesdequestions
– Quelmottypedemotdepassedonner?– Quellessontlesactivitésautorisées?– Quellessontlesactivitésinterdites?– Aquellecatégoriedepersonnecettenouvelleidentitédoit-elleêtreattachée?
– Aquelmomentduprocessusd’entréelesautorisationsdoivent-ellesêtredonnées?
– Quellesmodalitésdecontrôlesontmisesenplace?Peut-onprouvertoutcelaàunauditeur?
24
LetripleAdel’IAM
AuthenticationWHO ARE YOU? Authorization / Access ControlWHAT CAN YOU DO? AuditWHAT HAVE YOU DONE?
24
32
Article 29 GDPR
Traitement effectué sous l'autorité du responsable du traitement ou du sous-traitant
Le sous-traitant et toute personne agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable
du traitement, à moins d'y être obligé par le droit de l'Union ou le droit d'un État membre.
29
Entrel’identitévirtuelleet...
Dans ce contexte, l’amoncellement de parcelles laissées plus ou moins à l’abandon dessine un portrait par petites touches. Un peu comme les tableaux pointillistes : de manière unitaire, aucune des traces n’est réellement significative. Mais le tableau général, lui, représente le sujet dans son ensemble. À la vue de tous et pas forcément sous un angle souhaité…
http://www.buschini.com/2009/12/04/identite-traditionnelle-versus-identite-numerique/
• Internetestbasésurdescommunicationsanonymes
• Lesentreprisesparticipentàdenombreuxréseauxgénérantdemultiplesidentités
• Lessystèmesinternesontparfoisdessystèmesd’identifiantsdifférents
• Lesutilisateurssontlesmaillonsfaiblesdelasécurité
• Lacriminalitéinformatiqueaugmente
• Lamiseenplacedecontrôlesimposel’identification
• Lagestiondestracesestindispensables
• Laprotectiondelavieprivéeimposedescontrôles
Welcometoadigitalworld
ExplosionofIDs
Pre1980’s 1980’s 1990’s 2000’s
#ofDigitalIDs
TimeApplications
Mainframe
ClientServer
Internet
BusinessAutomation
Company(B2E)
Partners(B2B)
Customers(B2C)
Mobility
Source:IdentityandAccessManagement:OverviewRafalLukawiecki-StrategicConsultant,[email protected]
TheDisconnectedReality
• “IdentityChaos”– Nombreuxutilisateursetapplications– NombreusesID– Plusieursidentitéparutilisateur– Plusieursloginetmotsdepasse– Multiplerepositoriesofidentityinformation– MultipleuserIDs,multiplepasswords– Managementdécentralisé– Conflitsbusiness<->IT
Enterprise Directory
HR
InfraApplication
Office
In-HouseApplication
External app
Finance
employeeApplication
•Authentication•Authorization•Identity Data
Source:IdentityandAccessManagement:OverviewRafalLukawiecki-StrategicConsultant,[email protected]
•Authentication•Authorization•Identity Data
•Authentication•Authorization•Identity Data
•Authentication•Authorization•Identity Data
•Authentication•Authorization•Identity Data
•Authentication•Authorization•Identity Data
•Authentication•Authorization•Identity Data
YourCOMPANYand yourEMPLOYEES
YourSUPPLIERS
YourPARTNERSYourREMOTEand VIRTUALEMPLOYEES
YourCUSTOMERS
Customersatisfaction&customerintimacyCostcompetitivenessReach,personalization
CollaborationOutsourcingFasterbusinesscycles;processautomationValuechain
M&AMobile/globalworkforceFlexible/tempworkforce
MultipleContexts
CloudComputing:Definition
• NoUniqueDefinitionorGeneralConsensusaboutwhatCloudComputingis…
• DifferentPerspectives&Focuses(Platform,SW,ServiceLevels…)
• Flavours:– ComputingandITResourcesAccessibleOnline– DynamicallyScalableComputingPower– VirtualizationofResources– Accessto(potentially)Composable&InterchangeableServices– AbstractionofITInfrastructure!Noneedtounderstanditsimplementation:useServices&theirAPIs– Somecurrentplayers,attheInfrastructure&ServiceLevel:SalesfoRce.com,GoogleApps,Amazon,Yahoo,Microsoft,IBM,HP,etc.
TheFutureofIdentityintheCloud:Requirements,Risks&OpportunitiesMarco Casassa Mont [email protected] HP Labs Systems Security Lab Bristol, UK - EEMAe-IdentityConference,2009
CloudComputing:Implications• Enterprise:ParadigmShiftfrom“Close&Controlled”ITInfrastructuresandServicestoExternallyProvidedServicesandITInfrastructures
• PrivateUser:ParadigmShiftfromAccessingStaticSetofServicestoDynamic&ComposableServices
• GeneralIssues:– PotentialLossofControl(onData,Infrastructure,Processes,
etc.)– Data&ConfidentialInformationStoredinTheClouds– ManagementofIdentitiesandAccess(IAM)intheCloud– CompliancetoSecurityPracticeandLegislation– PrivacyManagement(Control,Consent,Revocation,etc.)– NewThreatEnvironments– ReliabilityandLongevityofCloud&ServiceProviders
TheFutureofIdentityintheCloud:Requirements,Risks&OpportunitiesMarco Casassa Mont [email protected] HP Labs Systems Security Lab Bristol, UK - EEMAe-IdentityConference,2009
Issues and Risks [1/2]
• Potential Proliferation of Required Identities & Credentials to Access Services • Complexity in correctly “enabling” Information Flows across boundaries • Propagation of Identity and Personal Information across Multiple Clouds/Services
•Privacy issues (e.g. compliance to multiple Legislations, Importance of Location, etc.)
•Exposure of business sensitive information (employees’ identities, roles, organisational structures, enterprise apps/services, etc.)
•How to effectively Control this Data?
• Delegation of IAM and Data Management Processes to Cloud and Service Providers (How to get Assurance that these Processes and Security Practice are Consistent with Enterprise Policies?)
•Consistency and Integrity of User Accounts & Information across various Clouds/Services
•How to deal with overall Compliance and Governance issues?
TheFutureofIdentityintheCloud:Requirements,Risks&OpportunitiesMarco Casassa Mont [email protected] HP Labs Systems Security Lab Bristol, UK - EEMAe-IdentityConference,2009
IdentityintheCloud:EnterpriseCase
IdentityintheCloud:EnterpriseCaseIssuesandRisks[2/2]
•MigrationofServicesbetweenCloudandServiceProviders
!ManagementofDataLifecycle
•ThreatsandAttacksintheCloudsandCloudServices!CloudandServiceProviderscanbethe“weakestlinks”inSecurity&Privacy!RelianceongoodsecuritypracticeofThirdParties
TheFutureofIdentityintheCloud:Requirements,Risks&OpportunitiesMarco Casassa Mont [email protected] HP Labs Systems Security Lab Bristol, UK - EEMAe-IdentityConference,2009
4.Pourquoienavonsnousbesoin?
•Sécurité
•Compliance
•Réductiondescoûts•Supportpourl’audit•Contrôled’accès
Economiespossibles• DirectorySynchronization
“Improvedupdatingofuserdata:$185peruser/year”“Improvedlistmanagement:$800perlist”-GigaInformationGroup
• PasswordManagement“Passwordresetcostsrangefrom$51(bestcase)to$147(worstcase)forlaboralone.”–Gartner
• UserProvisioning“ImprovedITefficiency:$70,000peryearper1,000managedusers”“Reducedhelpdeskcosts:$75peruserperyear”-GigaInformationGroup
CanWeJustIgnoreItAll?
• Today,averagecorporateuserspends16minutesadayloggingon
• Atypicalhomeusermaintains12-18identities
• Numberofphishingsitesgrewover1600%overthepastyear
• CorporateITOpsmanageanaverageof73applicationsand46suppliers,oftenwithindividualdirectories
• Regulatorsarebecomingstricteraboutcomplianceandauditing
• Orphanedaccountsandidentitiesleadtosecurityproblems
Source:Microsoft’sinternalresearchandAnti-phishingWorkingGroup
IAMBenefits
Benefits to take you forward (Strategic)
Benefits today(Tactical)
Save money and improve operational efficiency
Improved time to deliver applications and service
Enhance Security
Regulatory Compliance and Audit
New ways of working
Improved time to market
Closer Supplier, Customer, Partner and Employee relationships
Source:IdentityandAccessManagement:OverviewRafalLukawiecki-StrategicConsultant,[email protected]
5.IAMtodolist
• Créationetsuppressionautomatiquedecomptes
• Gestiondestraces• Archivage(durée??)• Vieprivée• Compliance• Sécurité<>risques• Deplusenplusd’utilisateurs• E-business• documentation• audit
63http://fr.slideshare.net/MicrosoftEntrepreneurs/rdi105-byod-resister-ou-embrasser?qid=d1192010-03b1-49ee-a555-ab31c4e7a1cd&v=default&b=&from_search=4
http://fr.slideshare.net/MicrosoftEntrepreneurs/rdi105-byod-resister-ou-embrasser?qid=d1192010-03b1-49ee-a555-ab31c4e7a1cd&v=default&b=&from_search=4
http://fr.slideshare.net/MicrosoftEntrepreneurs/rdi105-byod-resister-ou-embrasser?qid=d1192010-03b1-49ee-a555-ab31c4e7a1cd&v=default&b=&from_search=4
• Quepeut-oncontrôler?
• Limites?• Correspondance
privée• Saisiessursalaire• Sanctionsréelles• Communiquerles
sanctions?
• Sécuritéorganisationnelle
– Départementsécurité
– Consultantensécurité
– Procéduredesécurité
– Disasterrecovery
• Sécuritétechnique
– Riskanalysis– Back-up– Procédurecontreincendie,vol,etc.– Sécurisationdel’accèsauréseauIT– Systèmed’authentification(identitymanagement)– Logginandpasswordefficaces
• Sécuritéjuridique
– Contratsd’emploisetinformation
– Contratsaveclessous-contractants
– Codedeconduite– Contrôledesemployés– Respectcompletdelaréglementation
Definitionofe-discovery
• Electronicdiscovery(ore-discovery)referstodiscoveryincivillitigationwhichdealswithinformationinelectronicformatalsoreferredtoasElectronicallyStoredInformation(ESI).
• Itmeansthecollection,preparation,reviewandproductionofelectronicdocumentsinlitigationdiscovery.
• Anyprocessinwhichelectronicdataissought,located,secured,andsearchedwiththeintentofusingitasevidenceinacivilorcriminallegalcase
• Thisincludese-mail,attachments,andotherdatastoredonacomputer,network,backuporotherstoragemedia.e-Discoveryincludesmetadata.
Recommandations
Organizationsshouldupdateand/orcreateinformationmanagementpoliciesandproceduresthatinclude:– e-mailretentionpolicies,Onanindividuallevel,employeestendto
keepinformationontheirharddrives“justincase”theymightneedit.– Workwithuserstorationalizetheirstoragerequirementsand
decreasetheirstoragebudget.– off-lineandoff-sitedatastorageretentionpolicies,– controlsdefiningwhichusershaveaccesstowhichsystemsandunder
whatcircumstances,– instructionsforhowandwhereuserscanstoredata,and•backupand
recoveryprocedures.– Assessmentsorsurveysshouldbedonetoidentifybusinessfunctions,
datarepositories,andthesystemsthatsupportthem.– Legalmustbeconsulted.Organizationsandtheirlegalteamsshould
worktogethertocreateand/orupdatetheirdataretentionpoliciesandproceduresformanaginglitigationholds.
81
Commentl’implémenter?
• Trouverdessourcesauthentiques(ilpeutyenavoirplusieurs)
• Partirdeslistesexistantesdescollaborateurs• Définirlesrôles(c’estlebusinessdonclesRHquilefont,pasl’Informatique)
• N’oubliezpasl’audit(externe)doncilfautjustifier:• quiaaccèsàquoi?depuisquand?• quiaapprouvé?• comptesorphelins?
82
Nepasoublierlarésistanceauchangement
• Pourquoin’ai-jeplusaccèsà…?• cen’estpasunepriorité• L’informatiquen’apasletemps• ilvautmieuxtoutcontrôler• craintedepertedepouvoir
9.Conclusion
• IAMn’estpasuniquementunequestioninformatique
• LESRHDOIVENTETREIMPLIQUES• lesaspectsjuridiquesetdegestionsontessentiels
• Attentionauxaspectscompliance
• Plusdesécuriténécessaire
– Cloudcomputing
– Virtualisation– Dataprivacy– archivage
• Transparence
• E-discovery
L’IAMestaussiuneopportunité
• Repenserlasécurité• Limiterlesrisques• Réduirelescoûts• Repréciserlesrôlesetresponsabilités
• Appréhenderlesrisquesfuturs
Top Related