Etat de l’art

PERSPECTIVES
Maîtriser les risques
internes en gérant les
identités et les accès
Ce livre blanc présente plusieurs
aspects de la maîtrise des risques
informatiques liés aux accès.

Il recommande des actions concrètes

pour y répondre, notamment par la
mise en place de solutions de gestion
des identités et des accès.
 -2-
White paper > Laurent de Jerphanion > Janvier 2010
1. Maîtriser les risques informatiques
Quel que soit son secteur d'activité, une grande partie des actifs d'une organisation est
accessible sous forme informatique : brevets, code source, comptes bancaires, base de
clients… Maîtriser l'accès à ces ressources est donc capital.

Souvent, les entreprises sont sensibilisées aux risques internes sous la pression d’une loi ou
d’un règlement. Mais parfois, la prise de conscience est plus directe. Ainsi, la découverte
de fraudes internes, qu'elles soient rendues publiques ou non, peut entraîner une décision
de mise en place d'un système de contrôle des accès.

Basé sur l'expérience acquise par Evidian auprès de ses clients, ce livre blanc présente
plusieurs aspects de la maîtrise des risques liés aux accès. Il recommande des actions
concrètes pour y répondre.

Dans le cadre d'un processus de maîtrise des risques, des solutions de gestion des identités
et des accès sont efficaces. Mais une décision du management et une ambition clairement
affichée ne garantissent cependant pas la réussite d'un projet de maîtrise des risques liés
aux accès. Pour cela, il faut s'assurer que le projet couvre réellement les risques que l'on
désire traiter et que sa mise en place soit réaliste.

Un projet de gestion des identités et des accès requiert l'accord de nombreuses directions
de l'entreprise, et un tel accord est difficile à maintenir dans la durée sans succès réguliers.
Nous traiterons donc de la mise en place de projets, et notamment des pièges à éviter et
conseils d'implémentation.

1.1 Qu'est-ce que la gestion des identités et des accès ?

Une solution de gestion des identités et des accès permet d'uniformiser les identités des
utilisateurs de l'organisation, contrôler les accès aux PC et applications notamment par des
procédés d'authentification unique, décider des droits d'accès en fonction des rôles des
utilisateurs, et mettre à jour leurs droits dans les applications de gestion des ressources
critiques.

-3-
1.2 Gestion des identités et des accès et maîtrise des
risques
Une part importante des ressources d’une entreprise sont à présent gérées par informatique
(gestion de production, logistique…) voire entièrement dématérialisées (comptes financiers,
brevets, données clients…) Il est donc très important de contrôler l’accès et l’usage du
système d’information.

Ce constat se reflète dans les réponses faite à une enquête réalisée par Evidian fin 2009
auprès de responsables informatiques d’entreprises européennes. A la question « Qu’est
pour vous le risque numérique ? » ces professionnels désignent très majoritairement l’accès
non autorisé aux ressources informatiques :

Intrusions de systèmes ................... 50%

Usurpation d'identité t ................... 19%
Fraude financière............................ 9%
Divulgation du savoir faire e ............ 8%
Vol de matériel t ............................. 8%
Autres............................................ 6%

Face au risque numérique, la tâche de mettre en place les mesures appropriées à budget
constant est souvent complexe. Ainsi, à la question « Quel est votre principal projet pour
réduire le risque numérique » les mêmes dirigeants plébiscitent le contrôle d’accès et
l’historisation du comportement de l’utilisateur.

Gestion des accès......................... 27%

Traçabilité.................................... 20%
Authentification forte ..................... 20%
Chiffrement des données ............... 17%
Pare-feu et antivirus ....................... 12%
Autres............................................ 4%

Ce document décrit une méthodologie pour définir les réponses à apporter au risque
numérique dans les organisations, mettre en place ces actions et les faire fonctionner dans
la durée.

-4-
2. Mettre en place une chaîne de maîtrise des risques
La maîtrise des risques est un processus interne continu. Elle implique une organisation
dédiée, une vigilance permanente et une volonté politique interne qui lui donne les moyens
de faire respecter ses recommandations.

Aucun produit de gestion des accès, aussi perfectionné soit-il, ne réduira du simple fait de
son existence l'exposition à la fraude ou aux erreurs. Par contre, un outil bien conçu peut
faciliter la maîtrise des risques dans une organisation - mais à condition que son rôle soit
d'accompagner des procédures et non de s'y substituer.

Une chaîne de maîtrise des risques bien conçue suit généralement les étapes suivantes:

1. Identifier les risques.

2. Fixer des objectifs de contrôle pour diminuer ces risques.
3. Définir des activités de contrôle pour atteindre ces objectifs.
4. Préparer des tests adéquats pour ces activités pour s’assurer que ces processus
existent, sont mis en œuvre… et surtout qu'ils sont efficaces.

Il s'agit d'une méthode efficace de contrôle des risques, car chaque étape peut être
comprise et appliquée par des individus au profil différent.

Ci-dessous une illustration tirée de la vie quotidienne. Les niveaux de prise en compte du
risque y concernent tour à tour assureurs, propriétaires, techniciens et inspecteurs:

Risque identifié « En l’absence du/de la propriétaire, la maison peut être

cambriolée. »
Objectif de contrôle « Il faut détecter les intrus qui pénètrent dans la maison »
Activité de contrôle « Installez une alarme. Activez-la quand vous quittez la maison
plus de 4 heures. »
Test d'efficacité « Ouvrez la porte sans désactiver l’alarme pour vous assurer
que l’alarme fonctionne correctement. »

Pour fixer le cadre de ce document, reprenons une à une ces étapes en entreprise. Nous
verrons comment une solution d'IAM peut contribuer à la maîtrise des risques.

2.1 Identifier les risques

Bien souvent, la détection de risques spécifiques est à l'origine d'un projet. Une solution
d'IAM ne pourra bien sûr contribuer à cette détection qu'une fois son installation achevée.
Mais il est important de s'assurer très tôt que l'outil pourra apporter une contribution utile à
la détection de risques sur le long terme.

-5-
Cet apport est de plusieurs types :

• Production d'indicateurs de risques réguliers, tableaux de bord et alertes.

Croissance du nombre d'accès légitimes en-dehors des heures habituelles de
travail, nombre de pertes de mots de passe ou de mise en liste noire de cartes à
puce… Il faut vérifier que la solution soit suffisamment souple pour produire ces
indicateurs sous une forme exploitable.

• Enquêtes 'post-mortem' suite à un incident. Il s'agit ici d'identifier et éliminer

après coup les causes d'un problème. De nombreux cas de fraude sont en effet
issus d'une personne disposant d'un accès au système d'information. Mais qui
lui a fourni cet accès ? La procédure d'attribution des droits d'accès est-elle
défaillante ? Quelles applications l’employé a-t-il utilisées avant et après
l'incident ?

Dans certaines industries, la présence de cellules d'analyse des risques, tant par
indicateurs que par enquête post-mortem, est une contrainte réglementaire. C'est le cas des
banques auxquelles l'accord Bâle II permet de chiffrer elles-mêmes leur exposition aux
risques. Des professionnels sont alors employés pour mesurer l'exposition aux risques, les
causes des incidents ayant entraîné des pertes, et effectuer des recommandations pour
combler les brèches de sécurité.

Pour qu'un outil permette d'évaluer les risques dans la durée, il doit présenter certaines
caractéristiques, notamment :

• Facilité d'utilisation. Les professionnels des risques ne sont souvent pas des
techniciens. Les rapports et indicateurs doivent mettre en avant l'aspect "métier"
et non les détails techniques.

• Compatibilité avec les outils existants. Cela concerne notamment les solutions de
"busines intelligence" qui sont utilisés par ailleurs pour évaluer l'exposition aux
risques financiers.

• Centralisé. Par exemple, une seule console permettra de suivre l'activité d'un
utilisateur sur différents PC, accédant à différentes applications, au cours d'une
même journée.

• Complet. Ainsi, il ne suffit pas de savoir qu'un compte applicatif a été utilisé à
un moment donné - il peut s'agir d'un mot de passe volé. Un outil d'IAM doit
pouvoir indiquer par qui ce compte a été utilisé, et sur quel PC.

-6-
2.2 Fixer des objectifs de contrôle
Face à des risques détectés, notamment lors d'un audit, une organisation doit fixer des
objectifs de contrôle.

Ces objectifs doivent être clairs et compréhensibles du top management - qui est parfois
pénalement responsable de leur efficacité, notamment quand ils ont trait à l'intégrité des
rapports d'activité de l'entreprise. Et dans bien des cas, les objectifs doivent être validés
par la direction juridique - par exemple pour se prémunir de plaintes en matière de
confidentialité des données.

Souvent issus des recommandations des auditeurs internes ou externes, ces objectifs
doivent être réalistes et mis en œuvre sans coûts exorbitants.

Un outil de IAM peut rendre réalistes et lisibles plusieurs types d'objectifs de contrôle,
notamment en termes de politique d'accès. Ainsi, une politique de sécurité basée sur les
rôles (interdisant, par exemple, à tout employé du contrôle interne d'avoir accès aux
applications de trading) sera bien plus facilement décidée et mise en œuvre qu'une suite
d'objectifs techniques touchant des applications spécifiques.

« Nous sommes dans un domaine d’activité très concurrentiel et nous avons un

‘turnover’ important des cadres de l’entreprise. Le durcissement de la sécurité des accès
devenait crucial, afin d’éviter toute fuite d’information vers la concurrence »

Vincent Girardin,
Directeur Informatique – G4S France

2.3. Mettre en œuvre des activités de contrôle

Une solution IAM est particulièrement indiquée pour mettre en place des procédures de
contrôle touchant à l'accès aux ressources informatiques. D'une part parce qu'elle apporte
des fonctions de contrôle, et surtout parce qu'elle uniformise et simplifie la gestion des
droits sur toute une organisation.

Ainsi, la gestion des identités et des accès permet typiquement de mettre en œuvre les
fonctions suivantes :

• Uniformisation et synchronisation des identités dans l'organisation

• Contrôle d'accès logique et physique par mot de passe, carte, biométrie…
• Authentification unique éliminant tous les mots de passe applicatifs

-7-
 • Gestion de politique de sécurité, liant les droits aux rôles et à l'organisation
• Provisionnement de comptes dans les applications, et suppression automatisée
en cas de départ de l'organisation

Mais le choix d'une solution ne se limite pas à vérifier que les fonctions annoncées sont
présentes. Le principal apport sera de rendre homogène des fonctions de contrôle. Là où
auparavant la création d'un droit d'accès nécessitait des compétences et manipulations
multiples selon les applications, une seule opération est désormais nécessaire - et sur une
seule console.
Les avantages sont multiples :

• La documentation des procédures de contrôle, une source de coûts importants

lors des opérations de mise en conformité, est bien plus simple.
• Par conséquent, les procédures sont plus faciles à modifier si nécessaire
• Et les procédures sont effectuées plus rapidement - en quelques minutes au lieu
de parfois plusieurs jours.

“ Dans notre secteur, la sécurité est primordiale. Nous savions qu’il nous fallait assurer
un contrôle d’accès personnalisé de haut niveau et assurer la sécurité du réseau.
Evidian nous a permis d’améliorer l’échange d’information interne, mais aussi avec
notre communauté industrielle globale, tout en assurant la protection complète de nos
actifs informatiques.”

Bernard LE GOAZIOU,
Responsable de la Sécurité des Systèmes d’Information – EADS Astrium

2.4. Préparer audits et indicateurs

Les activités de contrôle mises en place pour couvrir les risques doivent être régulièrement
auditées :

• La procédure a-t-elle été documentée ?

• La procédure est-elle réellement effectuée ?
• Si elle est suivie, la procédure est-elle efficace ?

Un audit peut être long et coûteux. Mieux vaut donc prévoir, lors de la documentation de
l'activité de contrôle, de décrire les étapes à suivre pour vérifier les points ci-dessus. Là
encore, une solution d'IAM bien conçue accélèrera les audits : toutes les informations
nécessaires seront accessibles sur une seule console. Et les étapes pour effectuer cette
vérification sont elles-mêmes faciles à documenter en avance de phase.

-8-
2.5 Le cycle de maîtrise des risques
Une fois les éléments en place, la gestion des identités et des accès doit s'insérer dans la
procédure globale de maîtrise des risques de l'entreprise. Elle ne s'y substitue pas. A cette
condition, la politique de sécurité sera respectée et son efficacité régulièrement évaluée.

Définir et évaluer Faire respecter avec IAM

Contrôles internes Contrôles internes

Contrôles Implémenter
formalisés politique de sécurité

Audit et Cycle de vie Accès aux

évaluation utilisateurs applications

 Provisionnement  Authentification forte

 Gestion des identités
Traces d’audit 
 Single sign-on
Circuit d’autorisations

2.6 Quels risques sont-ils concernés ?

La gestion des identités et des accès ne peut bien sûr couvrir qu'une fraction des risques
internes d'une organisation. Les risques que peut contrecarrer une solution IAM concernent
principalement la fraude interne et externe, ainsi que les atteintes à la confidentialité et à
l'intégrité des données.

A titre d’illustration, le tableau ci-dessous est une cartographie des risques opérationnels
tirée des accords Bâle II (industrie bancaire). Les types de risques plus particulièrement
concernés par le contrôle des accès sont indiqués en gras.

Fraude interne Par exemple, transactions non autorisées,

usurpation de compte ou d'identité, fraude et vol
par un employé, délit d'initié (pas au nom de
l'entreprise).
Fraude externe Par exemple, vol qualifié, falsification de chèque,
dommages dus au piratage informatique.

-9-
 Pratiques en matière d'emploi et Par exemple, questions liées à la résiliation d'un
sécurité sur le lieu de travail contrat, activité syndicale, responsabilité civile,
santé et sécurité du personnel, rémunération.
Clients, produits et pratiques Par exemple, violation de la confidentialité de la
commerciales. clientèle, utilisation abusive d'informations,
atteinte à la vie privée, conformité et diffusion
d'information.
Dommage aux actifs corporels. Par exemple, catastrophe naturelle, terrorisme,
vandalisme.
Dysfonctionnement de l'activité et Par exemple, pannes matérielles et logicielles,
des systèmes. problèmes de télécommunication, interruption ou
perturbation d'un service public.
Exécution, livraison et gestion des Par exemple, accès non autorisé aux comptes
processus. clients, données clients incorrectes, problèmes de
communication, conflits avec les fournisseurs,
erreur de manipulation et de saisie.

Ainsi, une solution IAM ne pourra empêcher qu’un employé ayant légitimement accès à
certaines fonctions d’une application en fasse un usage délictueux. Mais il sera possible
après coup de reconstituer les ressources qu’il a accédées, et éventuellement de déterminer
sa suspicion de culpabilité. Sur cette base, l’entreprise pourra mettre en œuvre un contrôle
d’accès plus strict dans l’avenir.

3. Risques liés à l'authentification

Le contrôle d'accès est une pièce majeure dans une politique de sécurité. Il s'agit non
seulement de restreindre l'accès à certaines ressources, par de moyens tels que les cartes à
puce ou la biométrie si nécessaire, mais surtout de le faire à bon escient. Une
administration centralisée et/ou déléguée, associée à une gestion des droits par rôles, est
donc importante.

De nombreux types de risques peuvent ainsi remonter d'un audit :

• « Les employés se succèdent sur un poste en session ouverte, ils utilisent les
comptes les uns des autres »
• « Les infirmiers n’ont pas de compte nominatif »
• « Les employés se prêtent leurs cartes à puce d’accès »
• « Les mots de passe sont écrits sur des Post-it© »
• « Les mots de passe circulent entre employés »

- 10 -
3.1 Quel type d’authentification choisir ?
La meilleure politique de sécurité est inefficace si les utilisateurs adoptent facilement une
autre identité que la leur. Cependant, le choix d’une méthode d’authentification n’est pas
simple. La sécurité peut être accrue par l’authentification forte, mais il faut également tenir
compte de la facilité d’utilisation pour les employés et des coûts générés.

• Coûts d’équipement : installer lecteurs biométriques ou de cartes

• Coûts d’administration : attribuer et invalider des cartes et tokens USB

Les lois et règlements ne sont généralement pas une aide importante dans ce choix. Des
textes suggèrent (biométrie dans l’industrie pharmaceutique aux USA), préconisent
(authentification par carte dans les hôpitaux français) ou interdisent (stockage central des
données biométriques en France) certaines pratiques, mais ils sont en minorité.

En réalité, la plupart des textes légaux ou réglementaires se contentent de recommander

d’adopter un type d’authentification « approprié » aux risques encourus.

ISO 27001 « Tous les utilisateurs doivent avoir un ID unique pour leur usage
personnel uniquement, et une technique d‘authentification
adaptée doit être choisie pour prouver l’identité revendiquée par
un utilisateur. »
PCI DSS « Limiter l’accès aux données des porteurs de carte aux cas de
nécessité professionnelle absolue. Attribuer une identité
d’utilisateur unique à chaque personne disposant d’un accès
informatique. Limiter l’accès physique aux données des titulaires
de carte. »
HIPAA « Mettez en place des protections physiques sur tous les postes
de travail pouvant accéder à des informations sanitaires… afin
de limiter l’accès aux utilisateurs autorisés. »
IT control objectives for « Il existe des procédures qui sont suivies pour authentifier tous
Sarbanes-Oxley (ITGI) les utilisateurs du système et maintenir la validité des
transactions. »

Pour adapter la méthode d’authentification à la sensibilité de la tâche, il faut donc être

guidé par les risques anticipés et les spécificités de l’organisation.

• Quelles sont les contraintes opérationnelles ? Postes en kiosque, hygiène, délai

avant réauthentification… Il faut également tenir compte des besoins des
personnels en déplacement et des situations d’urgence
• Quelles sont les contraintes de coûts ? Lecteurs, gestion des badges, contrôle
d’accès déjà en place à remplacer ou à étendre.

- 11 -
 • Les utilisateurs sont-ils à même de s’authentifier ? Réunions préparatoires avec le
management, employés pilotes, cas des externes et sous-traitants.
• Les risques sont-ils réellement couverts ? Il faut anticiper le vol ou prêt de carte,
traiter les cas des postes sans contrôle d’accès fort, et éviter les accès directs aux
applications contournant le contrôle d’accès.

La solution IAM pourra répondre d’elle-même à plusieurs de ces interrogations. Ainsi, un

SSO peut masquer les mots de passe des applications, éliminant les accès directs qui
contournent le système. Dans d’autres cas, une réponse organisationnelle sera préférable.

Dans tous les cas, il faut s’assurer que la solution choisie pourra s’adapter à tous les cas
d’authentification prévisibles. Une approche par scénarios, couplée à un test de certains de
ces scénarios lors d’une maquette, permet de valider cela.

« Quand le conseil d’administration a donné son feu vert pour le projet, l’argument
majeur était l’accroissement de la sécurité. Mais en déployant la solution, nous avons
aussi abordé avec Evidian des aspects (…) réglementaires et humains.
Les utilisateurs constatent tous les jours qu’Evidian IAM Suite simplifie leur accès aux
données médicales. Et nous avons énormément accru la sécurité en imposant
l’authentification forte pour accéder à toutes les applications. »
Marc Jobert,
Corporate VP et Chief Technical Officer – PAREXEL

4. Risques liés à la politique de sécurité

La meilleure politique de sécurité est inefficace si elle est mal ou pas appliquée.

Toute entreprise doit disposer d’une politique de sécurité couvrant les risques qu’elle
anticipe. Mais inversement, une politique de sécurité mal conçue ou implémentée génère
ses propres risques.

Ainsi, l’existence de consignes non appliquées produit un faux sentiment de sécurité. Il en

va de même de la multiplication des mots de passe, dont l’effet pervers est que les
utilisateurs vont les noter sur papier, facilitant ainsi leur diffusion.

A nouveau, un audit pourra remonter plusieurs risques spécifiques :

• « Les créations de compte sont toujours tardives »

• « Les comptes des personnes changeant de poste ou quittant l’entreprise ne sont
pas supprimés »

- 12 -
 • « Nous devons définir le contrôle d’accès dans 30 applications, une à une »
• « Les circulaires ne sont pas prises en compte »
• « Les applications médicales sont accessibles des postes d’administration »

4.1 Comment faire respecter une politique ?

Le respect d’une politique de sécurité est avant tout une affaire d’organisation interne. Mais
une solution IAM peut tout de même significativement contribuer à ce que les consignes ne
demeurent pas lettre morte.

Ces contributions sont de plusieurs types :

• Clarifier la politique. Dans un outil IAM bien conçu, la politique de sécurité est
exprimée en termes clairs : droits d'accès associés à des rôles et règles de
séparation des tâches, par exemple. Elle est donc plus facile à communiquer aux
personnes concernées.
• Automatiser le respect de la politique. Avec un module d'authentification unique
(SSO), les utilisateurs ne peuvent accéder qu'aux applications auxquelles ils ont
droit. Ils ne peuvent plus utiliser les comptes de collègues car les mots de passe
ne sont plus visibles. La politique de sécurité est donc immédiatement
opérationnelle - et les manipulations humaines, sources d'erreurs, sont réduites
au minimum.
• Impliquer le management. Un module d'automatisation des tâches (workflow)
permet de soumettre les droits d'accès d'un employé ou d'un sous-traitant à
l'approbation de sa hiérarchie. La manipulation est simple - un mail contenant un
lien vers un formulaire - et cela améliore la validité des autorisations accordées.
• Apporter un réel service. Cet aspect est en fait extrêmement important pour
obtenir l'adhésion des employés et de leur hiérarchie. Si chacun est sensibilisé à
la sécurité, la motivation disparaît si les règles de sécurité gênent le travail
quotidien. Avec le SSO ou l'emploi d'un seul badge pour l'accès physique et
logique, les utilisateurs bénéficient d'une amélioration de leur productivité.

Dans un projet IAM, la communication auprès des usagers et des managers est un facteur
clé de succès. Cette communication se fait en grande partie sur les risques couverts par le
projet. Mais insister sur la formation et valider la facilité d'emploi est primordial.

• Par exemple, déployer une carte à puce en même temps qu'un SSO permet de
"vendre" la solution en interne : pour les utilisateurs, la carte à puce remplace
les mots de passe…

- 13 -
 • Dans certaines entreprises les badges d’accès sont utilisés pour s’authentifier sur
les PC, pour payer la cantine etc. Les employés ne laissent donc pas leur session
ouverte quand ils partent, et ne prêtent pas leur badge. Et cette carte « tout-en-
un » simplifie la vie des utilisateurs.

« Les employés ont souhaité de la direction générale une solution aux problèmes de
mots de passe. La solution Evidian Enterprise SSO est très bien accueillie par les
services de back-office. Couplée à la biométrie, elle passe très vite dans les mœurs et
est réclamée par ceux qui ne l’ont pas encore. »

Bertrand Dunoyer de Segonzac,

DSI – Barclays France

5. Structurer la politique de sécurité

Dans toute organisation dépassant quelques dizaines d'employés, il n'est pas envisageable
de gérer de droits d'accès au cas par cas. Les risques seraient réels et nombreux :

• Quand un employé est embauché ou change de poste, il doit attendre plusieurs

jours que ses comptes soient créés.
• Multiplications de comptes applicatifs qui deviennent difficiles à maintenir
• Politique de sécurité fruste : "je veux les mêmes droits que mon collègue"
• Oublier de supprimer des comptes lors du départ d'un employé
• Lors d'une nouvelle consigne de sécurité, il faut vérifier et modifier
individuellement des centaines de comptes

Pour cette raison, de plus en plus d’entreprises gèrent leurs droits en plusieurs "couches",
chacune couche étant administrée par des professionnels différents.

1. Les données personnelles ou "autoritatives" sont gérées par les ressources

humaines.
2. La politique d'accès est définie par la direction de la sécurité.
3. Les droits d'accès déduits des deux étapes précédentes sont mis en place
manuellement ou automatiquement sur les applications.
4. Parallèlement, un contrôle d'accès sur le PC, associé à un SSO, s'assure que les
employés utilisent les ressources auxquelles ils ont droit.

- 14 -
 Données Informations individuelles « George Martin travaille à la
autoritatives Rôle dans l’organisation comptabilité »

Politique Politique de droits d’accès « Tous les comptables

d’accès fondée sur les rôles peuvent accéder à mySAP
entre 8h00 et 17h00. »

Droits d’accès « George Martin peut

Données individuels accéder à mySAP
attribuées
entre 8h00 et 17h00. »

Authentification « George Martin a accédé à

Accès aux
Accès, modifications de SAP R/3 le 10 juillet à 9h12, à
ressources
mots de passe, etc. partir de son PC de bureau. »

Cette méthode rationnelle permet de délimiter les zones de compétences. Et en cas de

défaillance, elle accélère le diagnostic des responsabilités et la mise en place d'actions
correctives.

« Nous cherchions à simplifier le travail de la gestion des droits. Dans notre contexte à
la fois civil et militaire, un autre enjeu était (…) de limiter les coûts en introduisant une
gestion par rôle qui permette à un utilisateur de s’authentifier avec deux identités, l’une
civile et l’autre militaire, sur le même poste de travail. »

Frédérique Babin,
Responsable technique de la sécurité informatique – EADS Astrium

6. La chaîne de mesure des risques

Nous l'avons vu, un projet d'IAM est parfois déclenché suite à la découverte d'incidents
effectifs ou de risques identifiées lors d'audits. Mais il serait contre-productif que la seule
ambition du projet soit de résoudre ces risques précis ! Idéalement, l'outil d'IAM doit aussi
permettre d'identifier des risques nouveaux en avance de phase, et de mesurer l'efficacité
des procédures existantes.

- 15 -
Cependant, la mesure des risques est parfois difficile si les méthodes ou l'outil ne sont pas
adaptés :

• « Après un incident, il est très difficile de reconstituer le parcours du fautif »

• « Nous devons auditer les contrôles d’accès dans 30 applications »
• « Les audits des accès sont longs et coûteux »
• « Comment savoir qui a utilisé un compte générique ? »

La meilleure politique de sécurité est inefficace si elle n'est pas facilement mesurable. Pour
cela, il faut anticiper le type de rapports et tableaux de bords dont vous aurez besoin. Une
bonne façon de faire est d'associer au projet, en avance de phase, le département d'audit
interne.

6.1 Anticiper les audits

Un bon outil de rapports ne se mesure pas uniquement par la quantité d'informations qu'il
peut produire. Ce que l'on recherche avant tout est une information utile pour mesurer
l'exposition aux risques et l'efficacité de procédures de contrôle. Et un auditeur aura des
exigences précises pour évaluer la qualité de l'information afin d'estimer si elle constitue
une preuve ("évidence") satisfaisante.

• Information fiable. Elle doit être le reflet des systèmes existants, sans
modification. Est-il possible par exemple d'altérer ces sources sans que ce soit
décelable ? Anticipez l'audit en documentant d'où est tirée l'information, et
quelles modifications elle a subies.
• Information complète. Lors d'un audit, il est préférable de fournir un seul
document récapitulatif plutôt qu'un document par source d'information. Ce
document sera valable pour toutes les applications / tous les utilisateurs / tous
les types d’accès, etc.
• Information adaptable. L'ambition d'un rapport est de mesurer l'efficacité d'une
procédure précise ; elle-même mise en place pour obéir à un objectif de contrôle
dont l'ambition est de couvrir une catégorie de risques. Il est donc clair que les
données utiles seront parfois extrêmement ciblées - l'outil doit permettre d'y
parvenir.
• Information vérifiable. Pour un auditeur, un rapport n'a pas de valeur si sa
fiabilité ne peut être vérifiée, notamment par des sondages statistiques. Là aussi,
anticipez l'audit en détaillant la procédure permettant de valider un élément du
rapport : manipulation de la console d'administration etc.
• Information claire. Les données brutes, indispensables lors d’un audit, peuvent
être complétées par des graphiques permettant de repérer d’un seul coup d’œil
les anomalies. Un outil de reporting bien conçu facilitera les analyses.

- 16 -
Enfin, un audit de la gestion des identités et des accès ne se limite pas à accumuler des
"logs" d'accès. Un audit IAM nécessitera non seulement un relevé des actions
administratives et des utilisateurs, mais aussi un état actuel des autorisations, groupes ou
règles d'exclusion. De façon très parallèle, un audit financier est amené à vérifier, en
fonction de la procédure que l'on contrôle, des données relevant plutôt du bilan (solde des
comptes…) ou du compte de résultat (factures…).

Audit comptable Audit IAM

Utilisateurs, objets
Information et organisation
Bilan
statut
Politique et droits d’accès

Evénemts Actions administratives

Compte de enregistrés
résultats dans le
journal Actions des utilisateurs

6.2 Mise en place de la chaîne de mesure des risques

Les exigences en termes de rapports sur les identités et les accès sont souvent les mêmes
que pour les rapports d'audit purement financiers. Intégrité des données, stockage,
analyse… Cela est très compréhensible car les maîtrises des risques opérationnels et
financiers sont très souvent liées. Ainsi, des législations telles que Sarbanes-Oxley aux Etats-
Unis ou la Loi sur la Sécurité Financière en France exigent de pouvoir garantir l'intégrité
des rapports financiers.

Pour éviter les duplications d'infrastructure, des clients d'Evidian choisissent d'alimenter
avec des données IAM la chaîne de production de rapports déjà mise en place pour le
reporting financier. Les avantages sont multiples, non seulement en termes de coûts, mais
aussi car cette démarche accélère les audits en réduisant le nombre d'outils utilisés.

- 17 -
 •Conformité à l’identité
IAM Suite •Conformité aux droits d’accès Elaboration de
et annuaire des •Activités d’accès par utilisateurs données
utilisateurs •Activités des administrateurs

ERP et •Autres informations sur Elaboration de

les risques (finances, Data generation
données
Data generation
autres outils organisation, etc.)
d’entreprise
Ordonnancement
de tâches

Versionnage et
Business stockage
Reports intelligence
Reports
Rapports
Système de gestion
Indicateurs
des risques
opérationnels

7. Les risques sont principalement humains

Nous l'avons vu, aucun outil IAM ne réduira significativement votre exposition aux risques
du simple fait de son existence. Sa mise en place doit s'accompagner de formation et
sensibilisation pour éviter qu'elle crée de nouveaux risques dans son sillage.

• « Le nouveau contrôle d’accès est rejeté par les syndicats »

• « Des employés s'ingénient à trouver des façons de contourner la sécurité »
• « Un chef de service repousse la mise en place car il estime que la productivité
des personnels soignants baissera »
La meilleure politique de sécurité est inefficace si les utilisateurs ou leur hiérarchie
souhaitent la contourner. Pour éviter cela, il faut impliquer des représentants dans les
phases préparatoires et le déploiement du projet.

Utilisateurs pilotes qui se feront les avocats de la solution en interne, planification tenant
compte des contraintes opérationnelles… Le savoir-faire et l'expérience du prestataire
feront la différence en termes de conseil en organisation.

- 18 -
 1. Formation et sensibilisation. Non seulement sur les risques et la sécurité, mais
aussi sur la manipulation de l'outil pour accélérer son entrée dans les mœurs.
2. Rendre un réel service à l’utilisateur. Dans un projet IAM réussi, les utilisateurs
exigent demandent d'eux-mêmes que le produit leur soit installé, notamment pour
bénéficier des fonctions d'authentification unique (SSO).
3. Créer la confiance sur la continuité d’accès. Que se passe-t-il en cas de perte de
carte à puce, ou d'indisponibilité du réseau ? Il faut éliminer ces inquiétudes,
d'une part par des fonctions de haute disponibilité, délégation ou reset de mot
de passe, mais surtout en communiquant sur celles-ci.
4. Anticiper les contraintes métier et hiérarchiques. Le calendrier de déploiement, et
les services à équiper en priorité, doivent être choisis de sorte à accumuler les
succès et créer la confiance.

“Nous sommes très satisfaits de la solution Evidian Enterprise SSO. Les utilisateurs
adoptent facilement l’authentification unique par carte.
Nos attentes ont même été largement dépassées car nous avons découvert des fonctions
très utiles comme la délégation.”

Davy Roland LAGO,

Chef de projet – MTN Côte d’Ivoire.

- 19 -
 Pour plus d’information, visitez notre site web : www.evidian.fr

Email: [email protected]
39 F2 67LV 00 – Duplicopy – 2009

©2009 Evidian
Les informations contenues dans ce document reflètent l'opinion d'Evidian sur les questions abordées à la date de publication. En raison de l'évolution constante des conditions de
marché auxquelles Evidian doit s'adapter, elles ne représentent cependant pas un engagement de la part d'Evidian qui ne peut garantir l'exactitude de ces informations passé la
date de publication.
Ce document est fourni à des fins d'information uniquement. EVIDIAN NE FAIT AUCUNE GARANTIE IMPLICITE NI EXPLICITE DANS LE PRÉSENT DOCUMENT.

Cette brochure est imprimée sur un papier composé de 40 % de fibres éco-certifiées, issues d'une gestion forestière durable, et de 60 % de fibres recyclées, en application des règles
environnementales (ISO 14001).