Atelier9 gestion des_identites_et_sso

1,857 views

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,857
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
37
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Atelier9 gestion des_identites_et_sso

  1. 1. Augmenter l’efficacité et la sécurité avec la gestion des identités et le SSO Alexandre Garret – Directeur des opérations - Atheos Charles Tostain – Consultant Sécurité - IBM 24 Juin 2009 © 2009 IBM Corporation
  2. 2. 2 Agenda • Positionnement marché • Les solutions IBM Tivoli Sécurité • Présentation d’une référence 24 Juin 2009 Page 2
  3. 3. 3 Positionnement marché 24 Juin 2009 Page 3
  4. 4. Introduction Un peu d’histoire
  5. 5. Phase 1 - Ere du provisioning Multiplicité des comptes et des utilisateurs Hétérogénéité des applications (Mainframe ,SAP, WEB ,..) Multiplicité des référentiels Multiplicité des mots de passe Nouvel Employ é HR Base de données Identité Génération de droits Soumission au Dept.Informatique Générer une demande d’accès O PR AP Ressources autorisées E UV Règles Histo rique En cours d’approbation 1 jour 1 jour 8 jours 5 jours = 15 jours!
  6. 6. Phase 1 - Approche Technique ► Par quoi on commence ? SSO Annuaire et meta Annuaire Provisionning , Gestion des mots de passe (self service) ► Acheter une suite ou best of breed ► Comment Impliquer les RH dans les processus de provisioning automatique. ► C’est cher! comment trouver du ROI ?
  7. 7. PHASE 2: Approche conseil QUI JE SUIS ET CE QUE JE FAIS DETERMINE LES ACCES DONT J’AI BESOIN POUR TRAVAILLER
  8. 8. Le modèle RBAC: C’est la que …. Ressources Rôle métier Rôle applicatif Rôle métier Rôle applicatif Rôle métier Des rôles fonctionnels correspondant aux métiers de l’entreprise sont définis Chaque rôle métier donne le droit à n rôles applicatif A chaque utilisateur est associé n rôles métier
  9. 9. Phase 3 : Approche métier ► Redonner la main aux métiers Interface intuitive Intégrer les processus de l’entreprise Affectation des droits par profils métiers + catalogue ► Assurer le respect des réglementations • Muraille de chine • Séparation de pouvoir • Re-certification périodique Fournir de la traçabilité et du reporting
  10. 10. LES 3 APPROCHES : LA CIBLE
  11. 11. Et Maintenant De nouveaux enjeux se précisent
  12. 12. LES ENJEUX DES RSSI OUVRIR SON « SI » POUR ACCOMPAGNER LES ENJEUX ET LES INITIATIVES DES METIERS EN GARANTISSANT LE BON NIVEAU DE SECURITE
  13. 13. ENJEU : OUVERTURE DU SI ► Organisationnel Télétravail Filiale Fusion Nomades Pandémie ► Commerciaux Services en ligne Partenaires Fournisseurs
  14. 14. LA CIBLE ► Faire evoluer son modèle de sécurité : Accompagner les metiers Faire face aux nouveaux flux Passer du modèle de Vauban au modèle Aéroportuaire Atheos – Présentation Data Loss Prevention
  15. 15. POURQUOI ? Accès ouvert à tous internes et externes (voyageur, membre de compagnie aérienne, …) Niveau de contrôle dépendant des zones (ressources) à accéder et du profil des accédants (piste, pilote, ...) Modèle de confiance Gestion des flux adaptée a la volumétrie Mise en quarantaine Gestion des bagages (bon bagage dans le bon avion)
  16. 16. LES CHANTIERS A METTRE EN OEUVRE ► Authentification et contrôle d’accès Adapter les outils d’authentification Retailler son réseau pour faire face a l’arrivée de nouveaux flux de personnes Valider sa perméabilité (test d’intrusion) Cercle de confiance ► Protéger l’information en fonction des enjeux métiers Bulles de sécurité Fuite de l’information ( DLP, DRM , chiffrement,..) Renforcer la sécurité des applications et des serveurs Gérer les habilitations ► Contrôler, Tracer et Prouver
  17. 17. Tout est la mais ….
  18. 18. Organiser par services: SAS Services IAM Données de Références Gérer les Identités Sémantique « Construction des référentiels et « Construction des référentiels et rationalisation des processus » rationalisation des processus » « Provisionning des ressources matérielles» « Provisionning des ressources matérielles» Gérer les Authentifiants « Procédures, règles, gestion des secrets » « Procédures, règles, gestion des secrets » Gérer les droits d’accès « Gestion des habilitations SI » « Gestion des habilitations SI » Auditer Publier Ident/Authent Unique Mot de Passe Définition de Rôles PKI Modèle Métier SSO Stratégie Sécurité Remontée d’Alerte Tableaux de bord « Communiquer autour des identités et organisations » « Communiquer autour des identités et organisations » Fonctions Transverses IAM Fédération Pages Blanches Pages Jaunes WORKFLOW Cadre Commun d’Interopérabilité TRACABILITE Circuit de Validation Circuit de Validation Cycle de Vie Cycle de Vie Processus de Délégation Processus de Délégation Règles, Principes, Règles, Principes, Organisation, Procédures, Organisation, Procédures, … … Urbanisme et architecture Urbanisme et architecture Présentation société ATHEOS – 28/06/07 Historisation Historisation Piste d’audit Piste d’audit Définition des Rôles Création Ressource / comptes Description des localisations et structures Description des localisations et structures Processus Enrôlement Référentiels des Identités Allouer/Désallouer des Ressources Supprression Ressource / comptes Catalogues des Applications et des Ressources « Provisionning des comptes » « Provisionning des comptes » Référentiels des Identifiants et des secrets Gérer les Comptes Utilisateurs Attributs Appartenance Organisation
  19. 19. QUELLE DÉMARCHE ADOPTER ? ► Opter pour une démarche progressive et pragmatique Accompagnement fonctionnel Pilotage et Mise en œuvre technique Chantier organisationnel Démontrer la solution Faciliter la communication Débuter la conduite du changement Définir un périmètre Analyser l’existant Définir les objectifs Définition d’un plan projet Atheos – Présentation Data Loss Prevention 19
  20. 20. Mise en œuvre par chantier
  21. 21. 21 Les solutions Tivoli Sécurité 24 Juin 2009 Page 21
  22. 22. 22 Investissement d’IBM dans la Sécurité Objectif : couverture du marché de la sécurité de bout en bout $1.5 Billion security spend in 2008 24 Juin 2009 Page 22
  23. 23. 23 TIM/TAM EXTRANET Habilitations SSO Admin Partenaires Contrôle d’accès Web User INTERNET Self-service Intranet Portail Fédération des Identités Applications Sécurisation des Web Services Services Providers Supply Chain Fournisseurs Grossistes Annuaire Contrôles Audits Conformité Politiques 24 Juin 2009 Page 23
  24. 24. 24 Gestion des Identités et des habilitations Tivoli Identity Manager Solution globale des utilisateurs et comptes INDIVIDUS LDAP/ HR System Gestion des mots de passe Basé sur la notion de rôles Détection de comptes nonconformes Application des politiques de sécurité •Rôles •Règles •Workflow Rapports et tableaux de bords Accès Web Cycle d’approbation intégré Délégation fonctionnelle ou géographique Utilisation des standards du marché (LDAP, HTTP, SSL, DSMLv2,..) Très grand nombre d’adaptateurs bi-directionnels Ressources Référentiel D’identifiants • • • • • Administration Demande d’accès Approbation Status Self-service e-Provisionning Serveur Serveur Identity Identity Manager Manager Création Modification Suspension Suppression Audit Réconciliation Des droits utilisateurs Solution sans agent 24 Juin 2009 Page 24
  25. 25. Single Sign On d’entreprise : sécurité & productivité 25 Tivoli Access Manager for eSSO SSO vers tous types d’applications (tn3270, client lourd, …) Auto dépannage pour mot de passe Authentification forte (support de token , carte à puces,..) Intégration avec ITIM et ITAM Gestion des sessions inactives , suspension automatiques,.. Rapports d’utilisation et de connexion ESSO, Automatisation et Workflow & Gestion du contexte utilisateur Two-Factor Authentication & Traçabilité des accès Login rapide & Accès à tout type d’application Identité centralisée & Gestion des polices & Audit Ne requiert aucune modifications Gestion de la conformité 24 Juin 2009 Page 25
  26. 26. 26 Exemple d’utilisation – Accès à une nouvelle application + Création par le HelpDesk + Mail au Manager Self-Service R T EC EJ Approbation par le Manager Gestion par TIM + Mails TSIEM TAM eSSO 24 Juin 2009 Page 26
  27. 27. 27 24 Juin 2009 Page 27
  28. 28. 28 Présentation d’une référence 24 Juin 2009 Page 28
  29. 29. Retour d’Expérience
  30. 30. Contexte (1/2) ► Secteur d’Activité : Grande Distribution ► Volumétrie : Très importante - Plus de 100 000 utilisateurs ► Contexte International ► Mixité des technologies ► Planning Ambitieux
  31. 31. Contexte (2/2) ► S’inscrire dans une démarche globale de gestion des risques Urbanisation du système d’information Gestion de référentiels centraux (Identités, Ressources, Comptes) Diminution des habilitations couts récurrents sur l’administration des Mise en œuvre de Self Service (PJ/PB, Organigramme, Password, …) Optimisation des SLA Administration décentralisée Maitrise des accès et de leur conformité Amélioration des fonctions d’audit, Reporting Assurer de la traçabilité ► Evolution de ces Objectifs dans le Temps
  32. 32. Des Objectifs Ambitieux ► Gestion des Identités Maitriser le cycle de vie des identités sur le SI Définir et couvrir toutes les typologies d’accédants S’interfacer avec les systèmes existants (RH, …) ► Gestion des Habilitations Gestion combinée par profils métiers et par ressources Supprimer la rupture de processus Identités / Habilitations ► Gestion des Accès Fournir des fonctionnalités d’authentification unique (SSO) S’appuyer sur des supports physiques Renforcer les mécanismes d’authentification ► Service de confiance numérique Intégrer une infrastructure de confiance (PKI) Lier le processus Identités / Habilitations / Accès Logique / Accès Physique Offrir de nouveaux services (signature électronique, horodatage par exemple)
  33. 33. Architecture Cible
  34. 34. Lotissement Population Internationnal Phase 2 WF Habilitations Profils Métiers Audit SSO Authentification Forte Pages Jaunes/Blanches Badge Unique Fonctionnalités Ressources WF Identités Autres Applications Référentiels Centraux Applications Métiers. Pilote Phase 1 Socle Technique France
  35. 35. Facteurs Clés de Réussite ► Ne pas sous estimer les phases fonctionnelles : Identifier en phase préparatoire les chantiers fonctionnels Analyse et spécification des processus de l’entreprise (identités, organisation, habilitations, rationalisation des profils métiers …) Communiquer régulièrement et mener la conduite du changement ► Rester pragmatique : Pas de révolution Répondre aux principaux enjeux en priorités Eviter les effets tunnels en construisant des lots indépendants ► La bonne organisation projet : Services impactés Chef de projet moteur Désigner un sponsor fort
  36. 36. 36 Des questions ? N’oubliez le jeu concours ! Remplissez vos fiches évaluation 24 Juin 2009 Page 36

×