Usercube renforce son offre d’Identity and Access Governance (IAG) avec Usercube Control Management
décembre 2015 par Marc Jacob
La maitrise des accès au système d’information est une problématique de plus en plus présente dans les audits de conformité. Elle est particulièrement importante pour les entreprises soumises à règlementation comme les institutions financières ou les sociétés cotées.
L’IAG ou « Identity and Access Governance » porte sur la maitrise et le contrôle des accès au système d’information ainsi que sur la traçabilité des actes de gestion.
Il s’agit de pouvoir répondre aux questions de base :
– qui peut accéder à quelle ressource de l’entreprise ?
– ce droit d’accès est-il légitime au regard du profil métier du récipiendaire ?
– quel a été le processus d’attribution de ce droit d’accès ?
– quels étaient les droits d’accès pour une personne à un instant T dans le passé ?
– est-ce que les droits réels dans les applications correspondent bien aux droits théoriques ?
Pour atteindre cet objectif, les entreprises procèdent généralement à des campagnes de révisions de droits couplées à des campagnes de contrôles des droits d’accès.
Déjà déployé chez de nombreux clients, Usercube Compliance Management permet de gérer toute l’activité de recertification (on parle aussi de révision) des droits d’accès au Système d’Information. Le principe consiste à faire réviser régulièrement par un responsable la validité d’une collection de droits applicatifs ou de ressources. On va par exemple faire valider par son manager un certain nombre de droits d’accès du collaborateur, mais on va également faire valider par un responsable applicatif la légitimité des droits attribués au collaborateur. La réalisation de campagnes de recertification permet de s’assurer de la conformité du SI à intervalles réguliers tout en engageant la responsabilité du réviseur.
Cependant, même s’il s’agit d’une avancée majeure dans la maitrise du SI, la réalisation de campagnes de recertification n’est pas suffisante. Entre deux campagnes, tout est possible, y compris l’attribution de combinaisons de droits « toxiques » (par exemple un demandeur hérite également d’un droit de valideur). C’est la raison pour laquelle, il est nécessaire de coupler les campagnes de recertification avec des campagnes de contrôles des habilitations.
Néanmoins, la mise en place des campagnes de contrôles est compliquée et coûteuse, car il s’agit de transformer un besoin métier (par exemple un commercial ne peut pas valider lui-même ses demandes de rabais dans l’ERP sauf s’il est également chef d’agence) en combinaison de rôles et droits applicatifs. De la même manière, les campagnes d’audit, par leur aspect imprévisible et non récurrent, sont lourdes et très consommatrices de ressources IT pour un usage unique.
Usercube Control Management entend modifier radicalement ce paradigme en offrant une interface conviviale de génération et d’exploitation des campagnes de contrôles et d’audit afin d’en permettre l’automatisation et l’industrialisation.
Usercube Control Management s’appuie sur le moteur et les connecteurs de Usercube Identity Management pour constituer un référentiel des identités et des droits d’accès aux applications. Une fois ce référentiel consolidé, il est maintenu à jour en permanence.
Une interface simple d’accès permet de mettre en œuvre et de gérer toute l’activité de contrôle et d’audit du SI. A l’aide d’un assistant, on commence par réaliser des contrôles de base, par exemple le respect des conventions de nommage ou la détection des comptes orphelins. Ces contrôles de base sont ensuite combinés en « groupes ». Par exemple, l’application « ingénieur d’affaires » regroupe les contrôles de base à réaliser pour ce type de population.
Une fois les contrôles regroupés en groupes, on peut alors programmer des « sessions » de contrôle en définissant la période d’application, la récurrence, la portée. On peut par exemple programmer une session sur le groupe « ingénieur d’affaires » avec une récurrence mensuelle.
Les résultats des contrôles sont présentés au format Excel avec la possibilité d’importer ses propres modèles. Les résultats de toutes les « sessions » de contrôle sont historisés et les rapports sont disponibles à chaque instant pour comparaison et analyse de l’évolution.