Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

La gouvernance IAM au service des stratégies métiers

2,091 views

Published on

Ce support présente comment la gouvernance des identités (IAG) dans le cadre de la conformité peut permettre de :
Comprendre qui a accès à quoi à tout moment, et ce que peuvent faire effectivement les utilisateurs du SI avec leurs habilitations ;
Garantir la réussite des projets de provisioning et capitaliser dessus ;
Renforcer la conformité aux diverses réglementations en vigueur , tout en économisant du temps
et, dans le cadre de l’Entreprise Étendue, faciliter l'émergence de nouveaux modèles de business

La solution de SailPoint est présentée pour démontrer comment une solution IAM de nouvelle génération peut aider une organisation à assurer sa mise en conformité de manière efficace et à la maintenir dans la durée.

Published in: Technology
  • Be the first to comment

La gouvernance IAM au service des stratégies métiers

  1. 1. La gouvernance IAM au service des stratégies métiers Chris Norman Partner – Deloitte Marc Rousselet Directeur - KERNEL Networks Séminaire du 13 Juin 2012
  2. 2. © 2012 Deloitte Conseil – Kernel Networks2 La gouvernance IAM au service des stratégies métiers Agenda • Introduction • Les avantages de l’IAG pour les entreprises • Comment SailPoint adresse les enjeux de la gouvernance IAM • Retour d’expérience Sanofi • Comment bénéficier des avantages de l’IAG : l’offre commune Deloitte-Kernel • Questions
  3. 3. © 2012 Deloitte Conseil – Kernel Networks Pourquoi la Gouvernance des Identités? La gouvernance IAM au service des stratégies métiers3
  4. 4. © 2012 Deloitte Conseil – Kernel Networks4 La gouvernance IAM au service des stratégies métiers Le “Security Survey” Deloitte Tous les ans, Deloitte réalise des enquêtes au niveau mondial sur l'état de la sécurité auprès de ses clients. Les enquêtes sont effectuées par secteur parmi lesquels: • Finance • Biens de consommation • Laboratoires pharmaceutiques • Technologie, Media et Télécommunication • …
  5. 5. © 2012 Deloitte Conseil – Kernel Networks 32% 30% 29% 28% 27% 26% 22% 20% 20% 18% 17% 15% 12% 12% 11% 9% 7% 7% 6% 6% Excessive access rights Audit trails/logging issues (e.g. lack of audit trails, lack of review, etc.) Lack of sufficient segregation of duties Lack of clean up of access rules following a transfer or termination Business continuity and disaster recovery Excessive developers’ access to production systems and data Ineffective password management (e.g. use of weak passwords, default… Security policies and standards have not been operationalized Lack of documented security policies and supporting guidelines and… Sharing of user IDs with a commonly known password Lack of security awareness programs Lack of oversight and compliance to security control requirements Lack of authorization of changes prior to implementation Lack of separate testing environment Use of production data in testing Not applicable Lack of compliance to privacy regulations Do not know Maintaining control environment integrity Other (please specify below) 5 La gouvernance IAM au service des stratégies métiers La “Security Survey” Quelques extraits de la dernière enquête TMT 2011 : la conformité Quels ont été les 5 déficiences d’audit internes/externes les plus importantes au cours des 12 derniers mois? “The 5th Annual TMT security survey”, © 2012 Deloitte La Gestion des Identités semble ne pas tenir sa promesse ! • Nombreux projets arrêtés à mi-chemin • Manque d’adhésion des métiers • Modèle RBAC non-opérationnel • Processus inopérant de recertification des accès
  6. 6. © 2012 Deloitte Conseil – Kernel Networks Qu’est que la gouvernance des identités et des accès? La gouvernance IAM au service des stratégies métiers6
  7. 7. © 2012 Deloitte Conseil – Kernel Networks Qu’est que la Gouvernance dans le contexte de la Gestion des Identités et des Accès (IAG)? La gouvernance IAM au service des stratégies métiers7 1. Visibilité sur les accès • Savoir qui accède à quoi • Mesurer la conformité 2. Re- certification • Confirmer ou modifier les accès existants • Mise en conformité des accès 3. Définition / Optimisation des rôles • Maintenir les rôles • Mesurer la pertinence d’un rôle • Réduire le fardeau de la conformité des accès 4. Gestion des accès • Niveau 3 prérequis • Rendre les métiers responsables des accès accordés • Contrôles préventifs d’accès aux données • Optimisation du processus de gestion des accès 5. Supervision et contrôle continu • Réalisation des contrôles en mode récurrent • Re-certification périodique sur l’ensemble d’un périmètre • Processus global de gestion des rôles et des utilisateurs Un Modèle de Maturité Une Définition : La Gouvernance : • Définir les bonnes pratiques et objectifs de contrôle à atteindre • Mettre en place les actions adéquates • Démontrer la conformité avec les pratiques & objectifs Utiliser la notion de Risque pour focaliser les efforts
  8. 8. Etablissement du Niveau de Maturité Hétérogénéité typique et maturité relative dans les entreprises 8 La gouvernance IAM au service des stratégies métiers Support ERP Central BU 1 BU 2 BU3 BU 4 BU 4 Data Integration Delegated Administration User Self-Service Account Management User Self-Service Request Management Request / Approval Management Automated Provisioning Central Administration Authoritative Source Integration Identity Lifecyle Integration Account Consolidation Data Synchronization Data Virtualization Password Synchronization Lost Password Management Web Single Sign-On Desktop Single Sign- On Segregation of Duties Monitoring Logging & Monitoring Access Certification User Access Review Role Engineering Role Based Provisioning Role Lifecycle Management SOD Definition Exceptions Management Access Management RoleBased Access Control Account Management Access Reporting /Audit L’absence de Gouvernance conduit à de nombreux projets couvrant des périmètres similaires mais ne répondant pas l’ensemble des besoins. Conséquences : • Impossibilité de dire « QUI accède à QUOI ? » • Conformité laborieuse, hétérogène • Vision des risques parcellaire • Support limité aux stratégies métiers © 2012 Deloitte Conseil – Kernel Networks
  9. 9. © 2012 Deloitte Conseil – Kernel Networks Les bénéfices d’une approche fondée sur la gouvernance La gouvernance IAM au service des stratégies métiers9
  10. 10. Les bénéfices de l’IAG (Identity and Access Governance) En adoptant une approche orientée Gouvernance et Risques, on peut : 10 La gouvernance IAM au service des stratégies métiers Approche Risques, orientée Processus et Métier Améliorer la Conformité Capitaliser sur l’existant Améliorer la productivité et la qualité Supporter la Stratégie des Métiers © 2012 Deloitte Conseil – Kernel Networks
  11. 11. © 2012 Deloitte Conseil – Kernel Networks11 La gouvernance IAM au service des stratégies métiers Agenda • Introduction • Les avantages de l’IAG pour les entreprises • Comment SailPoint adresse les enjeux de la gouvernance IAM • Retour d’expérience Sanofi • Comment bénéficier des avantages de l’IAG : l’offre commune Deloitte-Kernel • Questions
  12. 12. Comment SailPoint adresse les enjeux de la gouvernance IAM
  13. 13. © 2012 Deloitte Conseil – Kernel Networks Qui est SailPoint ? Fournisseur d’une solution de gouvernance des identités • Création de la société en 2005 • Fondée par des leaders reconnus du marché de la gestion des Identités • 150+ références dans le monde; avec base installée BMC ~450 clients L’écosystème SailPoint • Très forte croissance à m’international (48% du CA global) • Centres de services aux USA, en UK, en Inde et aux Pays-Bas • 300 consultants certifiés au sein d’un réseau mondial de partenaires constitué de cabinets de conseil et d’intégrateurs SailPoint délivre pour des clients particulièrement exigeants • Larges multinationales avec des déploiements distribués • Les plus gros clients possèdent plus de 1000 applications, 100,000 utilisateurs, et des millions d’habilitations • Approx 50% des clients sont dans le secteur Banque/Finance SailPoint Headquarters Austin, Texas Banking 28% Consumer Services/Retail 5% Financial Services 16%Government 5% Healthcare 12% Insurance 16% Manufacturing 3% Other 15% Société la + innovante en sécurité La gouvernance IAM au service des stratégies métiers13
  14. 14. L’expérience compte …
  15. 15. Un leader reconnu par les analystes The Magic Quadrant is copyrighted 2011 by Gartner, Inc. and is reused with permission. The Magic Quadrant is a graphical representation of a marketplace at and for a specific time period. It depicts Gartner's analysis of how certain vendors measure against criteria for that marketplace, as defined by Gartner. Gartner does not endorse any vendor, product or service depicted in the Magic Quadrant, and does not advise technology users to select only those vendors placed in the "Leaders" quadrant. The Magic Quadrant is intended solely as a research tool, and is not meant to be a specific guide to action. Gartner disclaims all warranties, express or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose. These Magic Quadrant graphics were published by Gartner, Inc. as part of larger research notes and should be evaluated in the context of the entire reports. The Gartner reports are available upon request from SailPoint. The Forrester Wave is copyrighted 2011 by Forrester Research, Inc. and is reissued with permission. The Forrester report is available upon request from SailPoint Gartner Magic Quadrant pour la Gouvernance de l‘Identité et des Accès (IAG) Q4 2011 Forrester Wave pour la gestion des rôles et la re-certifications des accès Q3 2011
  16. 16. © 2012 Deloitte Conseil – Kernel Networks “SAVEZ-VOUS qui a accès à quoi, si cela est APPROPRIÉ et pouvez-vous le PROUVER ?” La problématique de base : La gouvernance IAM au service des stratégies métiers16
  17. 17. Et soudain un changement arrive La fréquence des changements augmente le risque et les coûts! TURBULENCE DEMANDE
  18. 18. Garantir la pertinence des accès Le processus ILM de bout en bout
  19. 19. © 2012 Deloitte Conseil – Kernel Networks Comptes & habilitation s • Applications métiers • Documents partagés • Applications Cloud • Provisioning • Systèmes RH • Annuaires • Gestion des externes Sources d’identités autoritaires Comptes Système Comptes à privilège Comptes Orphelins Classificatio n des comptes Entrepôt / cube d’identités Remédiation critique Revues Analyses Reporting Intégré Normalisé Vérifié “Visibilité” de l’état actuel La gouvernance IAM au service des stratégies métiers19
  20. 20. © 2012 Deloitte Conseil – Kernel Networks Gestion des rôles métiers Score des risques Comptes & habilitation s • Applications métiers • Documents partagés • Applications Cloud • Provisioning • Systèmes RH • Annuaires • Gestion des externes Sources d’identités autoritaires Comptes Système Comptes à privilège Comptes Orphelins Classificatio n des comptes Entrepôt / cube d’identités Remédiation critique Revues Analyses Reporting Application des politiques Identités intégrées et normalisées “Planifier” l’état souhaité La gouvernance IAM au service des stratégies métiers20
  21. 21. © 2012 Deloitte Conseil – Kernel Networks Demandes Gestion du cycle de vie Comptes & habilitation s • Applications métiers • Documents partagés • Applications Cloud • Provisioning • Systèmes RH • Annuaires • Gestion des externes Sources d’identités autoritaires Comptes Système Comptes à privilège Comptes Orphelins Classificatio n des comptes Entrepôt / cube d’identités Remédiation critique Identités intégrées et normalisées Revues Analyses Reporting Gestion des rôles métiers Application des politiques Score des risques Provisioning avancé “Gérer” le changement d’état La gouvernance IAM au service des stratégies métiers21
  22. 22. © 2012 Deloitte Conseil – Kernel Networks Vulnérabilité Magnitude Score de risque calculé Reporting centré sur le risque Connaître les IDs à risque pour les diminuer La gouvernance IAM au service des stratégies métiers22
  23. 23. © 2012 Deloitte Conseil – Kernel Networks • Comptes orphelins • Compte à privilèges • Violations actives de politiques • Remédiations en cours • Accès à des application sensibles (nouvelles approbations) • Score risque > 601 • Privilèges en lecture • Pas de changement des habilitations • Pas de violation des politiques • Pas d’accès aux applications sensibles • Score de risque < 300 • Changements ou nouveaux comptes • Violations remédiées de politiques • Accès antérieurs à des applications sensibles • 301 < Score de risque < 600 Profil risque bas Profil risque moyen Profil risque élevé Démarche centrée sur le risque Fixer les priorités selon le score de risque CERTIFICATION STANDARD CERTIFICATION EN MASSE INTERVALLE DE CERTIFICATION RACCOURCI La gouvernance IAM au service des stratégies métiers23
  24. 24. © 2012 Deloitte Conseil – Kernel Networks La suite IdentityIQ de SailPoint Flexibilité par le support de multiples solutions /processus de provisioning IT Métier SOYEZ en conformité RESTEZ en conformité PROUVEZ la conformité Alimentation RH
  25. 25. © 2012 Deloitte Conseil – Kernel Networks Des bénéfices incrémentaux Opérationnel Conformité Métier •Automatisation des tâches •Productivité améliorée • Meilleur niveau de service •Diminution des erreurs •Meilleurs contrôles •Meilleure visibilité •Support des stratégies métiers: adaptabilité au changement • Régulations • Partenariats • Nouveaux marchés • Fusions-acquisitions, .. Efficacité Productivité Agilité
  26. 26. © 2012 Deloitte Conseil – Kernel Networks26 La gouvernance IAM au service des stratégies métiers Agenda • Introduction • Les avantages de l’IAG pour les entreprises • Comment SailPoint adresse les enjeux de la gouvernance IAM • Retour d’expérience Sanofi • Comment bénéficier des avantages de l’IAG : l’offre commune Deloitte-Kernel • Questions
  27. 27. © 2012 Deloitte Conseil – Kernel Networks Retour d’expérience La gouvernance IAM au service des stratégies métiers27
  28. 28. IAG at Sanofi The first chapter… Deloitte – Kernel – SailPoint seminar June 13, 2012
  29. 29. Topics Introduce Sanofi to you IAG challenges IAG approach Lessons Learning La gouvernance IAM au service des stratégies métiers | 29
  30. 30. Sanofi | 30 Diversified Global Health Care Leader Pharmaceuticals Vaccines Animal Health 112,000 employees focused on patient needs in 100 countries 2011 Net Sales € 33.4 billion Substantial growth through acquisition and partnership La gouvernance IAM au service des stratégies métiers
  31. 31. Transformations Driving IAG Sanofi was built from hundreds of mergers, acquisitions, and partnerships each with its own culture, processes, systems, etc… ● Business Transformations ● IT Transformations ● | 31La gouvernance IAM au service des stratégies métiers
  32. 32. IAG Challenges Sanofi is compliant to all regulatory requirements… but we can do it better. La gouvernance IAM au service des stratégies métiers | 32 ● No single organization has overall IAG responsibility ● Conflicting needs and priorities ● Diametrically opposed user requirements ● No common vocabulary ● Legacy tool owners and implementations. ● Many ‘Perfect’ solutions for limited scopes ● No visibility to what is currently being done, who is doing it, what it costs, etc… ● Multiple duplicate audits ● Budget
  33. 33. Sanofi IAG Approach ● Have agreement on the IAG ‘opportunities’ ● Building agreement on IAG strategy, roadmap, and vision. ● Finding the right Sponsorship and Governance levels ● Service Foundation Approach for Overall Program ● Governance-Based Approach for Implementation ● Leverage existing projects / approved budgets ● Fit projects into larger roadmap ● Explore key identity features with POCs ● Build the service for continual change ● Org. changes ● Technical changes All are ‘business as usual’ | 33La gouvernance IAM au service des stratégies métiers
  34. 34. Service Governance and Operation | 34 Strategic Stakeholders Service Management/ Operations Board Technical Advisory Board Service Governance Board Service Design Service Operation Strategic External Partners La gouvernance IAM au service des stratégies métiers
  35. 35. Huge demand for IAG functionality… Finding the right initial project… | 35 Extranet Identity Joiners, Leavers, Movers IAG Self Service Enterprise Directory Priv. Access for Infrastructure & Apps IAG Projects SOD Harmonized Audit Unique ID Rapid Provisioning Sharepoint Access La gouvernance IAM au service des stratégies métiers
  36. 36. Service Foundation Approach Example: PAM Infrastructure ● Principles ● “Test and Dev. infrastructure no different than production.” ● “SAS-70 outsources are not reapproved.” ● “No regional or site admins.” ● Vocabulary ● Processes with KPIs ● Map out IAG business processes with target key KPIs built in. ● Standards ● Recertification is annual or more often ● Naming standards, ● Practices ● Internal IAG Service team defines way of working ● IAG Roles ● Etc… | 36 PAM = Privileged Access Management La gouvernance IAM au service des stratégies métiers
  37. 37. Moving forward ● IdentityIQ accepted as Sanofi’s IAG solution ● Integration with our BMC solution for ITSM services ● Provisioning integration with Oracle, etc. – protect existing investments. ● Launching several IAG based projects: ● Single PAM SOP for all Infrastructure. ● Replace existing Identity solution for Extranet ● Provide Unique Identifier for all identities with IdentityIQ ● Manager data available from SAP HR instance needs Enterprise Directory ● Joiners, Leavers, Movers ● Organization ● Consolidating “User Account Management” responsibilities and teams for all core tasks… Service Architecture and Development ● Relying on IAG partner… SailPoint, SP Partners, Deloitte, Kernel, etc.. | 37La gouvernance IAM au service des stratégies métiers
  38. 38. Lessons Learning… are not surprising ● IAG is huge…. ● Strong partners ● Obvious product knowledge ● Great advise how to position IAG as project, program, and technology ● Networks with other clients ● Tell you what you think is a great idea…. may not be… ● Organizational .. Managing change ● IAG will touch every part of the business ● We started with a wide survey and study – very well received ● Dangers ● Appearing to throw out everyone else’s hard work. ● Biting off too much… ● Customizing too much.. ● Expecting the organization to remain static | 38La gouvernance IAM au service des stratégies métiers
  39. 39. Your Questions or Comments | 39La gouvernance IAM au service des stratégies métiers
  40. 40. © 2012 Deloitte Conseil – Kernel Networks40 La gouvernance IAM au service des stratégies métiers Agenda • Introduction • Les avantages de l’IAG pour les entreprises • Comment SailPoint adresse les enjeux de la gouvernance IAM • Retour d’expérience Sanofi • Comment bénéficier des avantages de l’IAG : l’offre commune Deloitte-Kernel • Questions
  41. 41. Comment bénéficier de l’offre IAG ? L’offre commune Deloitte - Kernel
  42. 42. © 2012 Deloitte Conseil – Kernel Networks Pourquoi une approche commune ? • Complémentarité Deloitte / Kernel/ SailPoint ‒ Deloitte: processus, gouvernance, gestion de projet ‒ Kernel: processus, expertise technique, intégration de la solution ‒ SailPoint: Solution IAG leader sur le marché • Offre de service unique ‒ Vision bout en bout du projet IAM • Coût du projet, délais attendus, qualité des livrables • Efficacité de la démarche ‒ Coordination transparente au cours des étapes du cycle projet La gouvernance IAM au service des stratégies métiers42 Deloitte • Expertise fonctionnelle Kernel • Expertise technique SailPoint • Solution IAG IAM 360°
  43. 43. © 2012 Deloitte Conseil – Kernel Networks Les responsabilités des intervenants Répartition des rôles La gouvernance IAM au service des stratégies métiers43 P = Prime C = Contributeur POC = Prototype de la solution Deloitte Kernel-Networks SailPoint Business Case P C (POC) C (POC) Gestion de projet/programme P Conception des processus P C Gestion du changement P Conception fonctionnelle P Architecture / conception technique P C Implémentation solution P Développement spécifique/Connecteurs P C Recette C C Support formation C P C Tierce Maintenance Applicative P
  44. 44. © 2012 Deloitte Conseil – Kernel Networks Notre offre de service Le Business Case en trois étapes Le Business Case en livrables: • Besoins métier clés • Analyse de l’existant et de la cible • Architecture technique existante et cible • Roadmap • Plan projet général • Prototype 44 La gouvernance IAM au service des stratégies métiers 1. Définir votre vision IAG 2. Evaluer votre vision IAG 3. Construire votre solution IAG Business Case
  45. 45. © 2012 Deloitte Conseil – Kernel Networks Contacts Vous pouvez nous contacter en utilisant les coordonnées fournies ci-dessous: KERNEL Networks Numéro de téléphone: Marc Rousselet : +33 (0) 6 14 95 24 71, Luc Tentillier : +33 (0) 6 28 46 44 28 Accueil : +33 (0) 1 45 06 15 40 Adresse email: mrousselet@kernel-networks.com ltentillier@kernel-networks.com info@kernel-networks.com Deloitte Numéro de téléphone: Marc Ayadi : +33 (0) 1 55 61 60 89, Chris Norman : +33 (0) 1 55 61 47 72 Adresse email: mayadi@deloitte.fr cnorman@deloitte.fr La gouvernance IAM au service des stratégies métiers45
  46. 46. © 2012 Deloitte Conseil – Kernel Networks46 La gouvernance IAM au service des stratégies métiers Agenda • Introduction • Les avantages de l’IAG pour les entreprises • Comment SailPoint adresse les enjeux de la gouvernance IAM • Retour d’expérience Sanofi • Comment bénéficier des avantages de l’IAG : l’offre commune Deloitte-Kernel • Questions
  47. 47. © 2012 Deloitte Conseil – Kernel Networks Questions La gouvernance IAM au service des stratégies métiers47

×