Le « Lean Management » appliqué à la gouvernance des ...€¦ · Kleverware IAG: le Lean Management appliqué à la gouvernance des identités et des accès Rapport n° : 80048

Livre blanc KuppingerCole Kleverware IAG: le Lean Management appliqué à la gouvernance des identités et des accès Rapport n° : 80048

Le « Lean Management » appliqué à la gouvernance des identités et des accès

La gouvernance des identités et des accès est un incontournable pour chaque entreprise. Malheureusement, la façon dont elle est mise en œuvre aujourd'hui est à la fois pesante et souvent inefficace. Il est temps de revoir les approches de gouvernance des identités et des accès et de mettre en œuvre des concepts allégés qui aident les entreprises à se conformer efficacement, tout en atténuant les risques provenant de droits excessifs. Kleverware IAG est une solution qui se concentre sur cette approche rationalisée ou Lean Management.

par Martin Kuppinger

[email protected]

mai 2019

Commandé par Kleverware

Rapport KuppingerCole

LIVRE BLANC par Martin Kuppinger | mai 2019

mailto:[email protected]

Page 2 sur 16


Table des matières

1 Introduction ................................................................................................................................. 3

2 Points clés .................................................................................................................................... 4

3 Gouvernance des Identités et des accès : Un incontournable pour les entreprises .......................... 4

4 Les écueils de l'approche actuelle en matière de gouvernance des identités et des accès ............... 6

5 La solution : Passer à une démarche Lean ...................................................................................... 8

6 La démarche de Kleverware en matière de gouvernance Lean des identités et des accès .............. 10

7 Plan d'action pour la mise en œuvre de la gouvernance Lean des identités et des accès ............... 13

8 Droits d’auteurs .......................................................................................................................... 15

Liste des illustrations

Image 1 : Kleverware IAG applique le Lean Management pour la mise en œuvre de la gouvernance des identités et des accès . 11

Travaux de recherche connexes

Executive View : Kleverware IAG - 80042

Note consultative : Redéfinir la gouvernance des accès - Au-delà de la nouvelle certification annuelle -

72529

Note consultative : Travailler pour l'entreprise et non pour les vérificateurs - 70865

https://www.kuppingercole.com/report/ev80042

https://www.kuppingercole.com/report/an72529



Page 3 sur 16


Depuis plus d’une décennie, les architectures de gouvernance des identités et des accès (IAG) sont

complétées par des concepts et des architectures qui lui sont propres.

L’IAG est à la fois inclus dans le marché de la GRC (gouvernance, risques et conformité) et le marché

de l’IAM (Identity & Access Management). L’IAG englobe la gouvernance des identités et des accès

(par exemple en évitant les comptes orphelins) ainsi que les contrôles d'accès dans les systèmes

informatiques.

La mise en place d'un système approprié de renouvellement de certification est une condition sine qua

non pour répondre aux exigences réglementaires. Les preuves attestant que les cycles de

renouvellement de certification requis ont été menés à terme et documentés sont essentielles pour

démontrer la conformité aux auditeurs internes ou externes. Cependant, le défi consiste à trouver

l'équilibre entre ce que vous devez faire pour les audits et ce que l'organisation est capable de faire.

C'est là que la plupart des approches utilisés échouent.

Malheureusement, les approches qui mettent l'accent sur le renouvellement de la certification ainsi

que l'examen complexe et fastidieux des accès échouent dans les faits. De nombreuses entreprises

n’ont tout simplement pas mis en œuvre une telle approche, et pratiquement toutes celles qui l'ont

fait se plaignent de la lourdeur de ces processus. Le concept de recertification comporte plusieurs

« défauts de conception », tels que l'absence d’une approche axée sur le risque ou l'absence de

traduction des droits techniques dans un langage compréhensible par les métiers.

Ces raisons (et plusieurs autres) tendent à rendre les exercices traditionnels de recertification

fastidieux, longs, inefficaces et - dans le pire des cas - propices aux erreurs. Certains de ces challenges

s'appliquent également à d'autres pans de l’IAM impliquant une expertise ‘métier’ ou

organisationnelle.

De notre point de vue, il est grand temps de réévaluer les approches établies et d'envisager d’autres

types de solutions. La gouvernance des identités et des accès doit stimuler les directions métiers au lieu

d'être simplement un fardeau. Il s'agit d’œuvrer pour l'entreprise plutôt que de travailler pour les

auditeurs – respecter les exigences de conformité, sans pénaliser l'entreprise.

Kleverware IAG est une solution qui vise à résoudre rapidement les défis de la gouvernance des accès

auxquels les entreprises sont confrontées aujourd'hui. Kleverware IAG s’attache à permettre à ses

clients la mise en œuvre de la gouvernance pour les comptes à privilèges (comptes administrateurs) et

le séparation des tâches (SoD) dans un environnement informatique hétérogène et ainsi satisfaire aux

exigences réglementaires. Le fournisseur met l'accent sur une solution ciblée et rapide à déployer, qui

peut exister de façon autonome ou en convergence avec d'autres solutions mises en place par le

client.

1 Introduction

Livre blanc KuppingerCole La GIA Kleverware : Une démarche « Lean » (approche rationalisée ou sans gaspillage) appliquée à la gestion des identités et des accès

Rapport n° : 80048 Page 5 sur 16

La nécessité d'une gouvernance des identités et des accès et les éléments essentiels de ces approches

Les pièges communs des approches typiques actuelles de gouvernance des identités et des accès

Approches visant à accroître l'efficience et l'efficacité de la gouvernance des identités et des accès

dans une approche de type Lean Management

La solution de Kleverware sur la gouvernance des identités et des accès en tant qu'exemple permettant d’accroître l'efficacité

Plan d'action et recommandation pour passer à une approche lean management de la gouvernance

des identités et des accès

Chaque entreprise doit disposer d'une gouvernance efficace des identités et des accès, non seulement pour

se conformer aux réglementations toujours plus strictes, mais aussi pour atténuer les risques commerciaux

provenant des risques d'accès dus à des droits excessifs.

Depuis plus d’une décennie, les architectures de gouvernance des identités et des accès sont

complétées par des concepts et des architectures propres à la gouvernance des identités et des accès

(IAG).

L’IAG est à la fois inclus dans le marché de la GRC (gouvernance, gouvernance des risques et conformité)

et le marché de l’IAM. L’IAG englobe la gouvernance et la gouvernance des identités (par exemple en

évitant les comptes orphelins) ainsi que les contrôles d'accès dans les systèmes informatiques. Dès lors,

de nombreuses organisations ont mis en place des architectures de gouvernance des identités et des

accès en tant qu’outils pour se conformer aux exigences réglementaires et vérifier régulièrement les

risques liés aux accès. Il s'agit notamment de la gouvernance des demandes d'accès, des mécanismes de

recertification des accès et des violations de la « séparation des tâches » (SoD).

Les contrôles manuels réalisés à partir des processus de déclaration et de recertification sont des éléments

importants de la gouvernance des accès de l'entreprise, mais ils doivent rester ‘Lean’.

Les raisons de cette évolution sont évidentes : Veiller à ce que les bonnes personnes bénéficient de

l’accès approprié au bon moment, tout en protégeant les actifs vitaux d'une entreprise contre un accès

non autorisé, est une exigence fondamentale. Utiliser la gouvernance des identités pour s'assurer qu'il

n'existe que des comptes et des identités nécessaires et pertinents fait partie de cet exercice. La

gouvernance des accès en tant qu'approche orchestrée est généralement la combinaison d'un ensemble

de composants essentiels qui soutiennent une entreprise dans les processus de

Modélisation et conception des concepts d'accès,

Demande, approbation, nouvelle approbation et révocation de l'accès.

Contrôle et restriction des accès à différents niveaux

2 Points clés

3 Gouvernance des identités et des accès : Un incontournable pour les entreprises



Les contrôles manuels fondés sur les processus de déclaration et de recertification sont d'importants

éléments du système de gouvernance des accès de l'entreprise. Ils constituent une part importante du

processus de gouvernance du cycle de vie des accès. En revanche, la gouvernance des identités est plus

automatisée, par exemple pour ce qui est de l'identification des comptes orphelins ou inutilisés. Les

processus les plus pertinents pour la gouvernance des accès sont les suivants :

La gouvernance des demandes d'accès : La demande initiale d'accès par les employés gérée

via un portail en libre-service ou par leurs supérieurs hiérarchiques.

La recertification des accès: Une fois l'accès accordé à un employé, la validité de cet accès

doit être confirmée régulièrement. Pour ce faire, on procède normalement à des campagnes

de recertification, au cours desquels les supérieurs hiérarchiques, les propriétaires des

systèmes ou des services sont contactés pour vérifier les droits des utilisateurs existants, afin

de les approuver, les modifier ou les révoquer.

Ces contrôles impliquent le recours à des employés qualifiés pour vérifier et comprendre un (sous-)

ensemble de droits (rôles et droits d'accès) attribués à des utilisateurs individuels. En fonction de

l’expertise individuelle des intéressés, il faut décider si les attributions de droits sont valides ou

nécessitent des modifications. Cet exercice faisant partie des processus nécessaires pour prouver la

conformité à de nombreux types d'exigences réglementaires à l'égard de différentes autorités internes

et externes (audit, régulateurs), une documentation appropriée est requise en tant que preuve. Les

mises en œuvre actuelles des systèmes de gouvernance d'accès fournissent des approches durables et

stables qui déploient des systèmes de workflow de recertification, par exemple des portails, où les

campagnes de certification sont soutenues par des outils. Ces outils aident à analyser les droits

attribués individuellement et automatisent l'approbation, la modification ou la révocation des droits

dans une plus ou moins grande mesure.

Le défi consiste à trouver l'équilibre entre ce que vous devez faire pour les audits et ce que

l'organisation est capable de faire.

La mise en place d'un système de recertification approprié est une condition sine qua non pour

répondre aux exigences réglementaires. Les preuves attestant que les campagnes de recertification

requises ont été menées à terme et documentées sont essentielles pour démontrer la conformité aux

auditeurs internes ou externes. Cependant, le défi consiste à trouver l'équilibre entre ce que vous devez

faire pour les vérifications et ce que l'organisation est capable de faire. C'est là que la plupart des

approches usuelles échouent.



La plupart des entreprises éprouvent des difficultés avec la façon dont la gouvernance des identités et

des accès est communément mise en œuvre aujourd'hui. L'approche la plus courante entraîne une

charge de travail excessive dans de nombreuses organisations, tout en ne produisant pas les résultats

efficaces susceptibles d’aider les entreprises à réellement atténuer les risques essentiels en matière

d'accès.

Malheureusement, l'approche usuelle qui met l'accent sur la recertification impliquant un examen

complexe et fastidieux des accès échoue dans les faits. Beaucoup d’entreprises n’ont tout simplement

pas mis en œuvre une telle approche, et pratiquement toutes celles qui l'ont fait se plaignent de la

lourdeur de ces processus. Il existe plusieurs « défauts de conception » dans ce concept :

Analyse ex post

La base de l'exercice régulier des recertifications consiste en la collecte des données actuelles sur les

droits et les utilisateurs dans l'ensemble des systèmes informatiques. Sur la base de ce processus de

compilation, les informations sont ensuite examinées par les personnes dédiées à la recertification pour

approuver ou révoquer le ou les accès. Cette démarche ajoute un nouveau niveau de transparence et

permet un processus de recertification approfondie. Mais par conception, et par nécessité, cet accès est

toujours déjà attribué. Jusqu'au moment de la campagne de certification, des droits attribués sont

généralement actifs et utilisés. Les contrôles qu'un processus de recertification met en œuvre sont

toujours le fruit d’un travail de détection.

Calendrier de recertification et charge de travail supplémentaire

Visant principalement à répondre aux exigences réglementaires, l'exercice de recertification est

souvent considéré comme une obligation pro forma par les responsables hiérarchiques, les exploitants

d’un système ou les exploitants d'une prestation de service. À l'approche de la clôture de l'exercice

fiscale, par exemple, cette tâche - qui peut représenter un travail considérable - est de nouveau à

l'ordre du jour de la personne en charge de la recertification. La tâche peut être encore plus difficile à

accomplir lorsqu'il s'agit de la première campagne de recertification et que l'expertise et la pratique

nécessaires font défaut.

Priorisation de la tâche de recertification

La question de la planification dans le temps va de pair avec un problème de priorisation tout à fait

commun. En raison de la date d'échéance obligatoire définie pour le processus de recertification et de

son importance évidente, cette tâche est hautement prioritaire. Mais en l'absence d'un plan de travail

global ou d'un plan de projet adéquat, elle finit néanmoins par concurrencer constamment les tâches

de recertification des « activités métiers réelles ».

4 Les écueils de l'approche actuelle en matière de gouvernance des identités et des accès



Les connaissances nécessaires

La responsabilité de la recertification des utilisateurs et de leur accès associé est généralement

déléguée à des experts métiers ou IT, comme les responsables d’équipes, les responsables

d’applications ou les responsables métiers. Selon la structure de l'organisation, il se peut qu'ils n'aient

pas nécessairement un panorama complet de l'accès à recertifier. Cela peut inclure : le rôle du titulaire

de l'accès, qui est nécessaire pour répondre à la question du « besoin d'avoir » ; les changements

récents apportés aux définitions complexes du rôle de l'entreprise, qui sont nécessaires pour répondre

à la question du « moindre accès » ; et l’importance globale de l'accès accordé. Sans un concept de

rôle global effectivement mis en place, il est difficile de comprendre pleinement l'incidence d'un

ensemble de rôles et de droits potentiellement conflictuels.

Si les personnes impliquées dans la gouvernance des identités et des accès ne possèdent pas les

connaissances requises pour mettre en place ces processus, ceux-ci échoueront.

L’impact des changements organisationnels en cours

L'évolution des besoins de l'entreprise ou la nécessité de mesures globales de restructuration, par

exemple lors de fusions et/ou acquisitions, nécessitent des modifications des structures

organisationnelles. Avec l’augmentation de la taille d'une organisation, les probabilités de

changements organisationnels, de modification des profils de poste ou de modification des schémas

de désignation des postes sont particulièrement importantes au cours de la campagne de

recertification en cours. La connaissance de ces changements est indispensable lors de la

recertification des accès aux systèmes d’importance critique. Les mouvements habituels d’effectifs,

surtout lorsque les employés changent de poste au sein d'une organisation, ajoutent un autre niveau

de complexité.

Les changements au personnel chargé du renouvellement des certifications

Le processus habituel de promotions et des changements de poste entraîne par la suite des

changements réguliers dans l'attribution du rôle de la personne chargée des certifications, à savoir

quel employé sera responsable de la prochaine campagne de recertification. Toutes les connaissances

reliées à l’histoire de l’organisation qui ne sont pas bien documentées ont généralement tendance à

disparaître. Dans le cas de longues campagnes de recertifications et lorsqu'une organisation est en

constante évolution, les personnes chargées de la tâche pourraient avoir hérité de cette

responsabilité, sans pour autant posséder l'expertise nécessaire pour mener réellement l'exercice avec

la diligence et le niveau de qualité appropriés.

Ces raisons (et plusieurs autres) tendent à rendre les exercices traditionnels de renouvellement de

certification fastidieux, longs, inefficaces et - dans le pire des cas - propices aux erreurs. Certaines de

ces questions s'appliquent également à d'autres tâches de l’IAM faisant appel à une expertise métier

ou organisationnelle.



La gouvernance des identités et des accès peut être mise en œuvre dans le cadre d’une approche

« Lean », en se concentrant sur les risques, en traduisant les droits techniques en langage métier, en

soumettant à un examen uniquement les éléments gérés manuellement, mais non les droits

automatisés.

Compte tenu des premières étapes déjà franchies dans de nombreuses organisations, les questions

suivantes nécessitent des réponses appropriées pour transformer les approches actuelles de

gouvernance des accès en un élément vital, agile et efficace d'une stratégie globale de gouvernance :

Est-il suffisant d’être « en conformité » une fois par an pour chaque accès pris séparément ?

Pourquoi ne pas se fixer comme objectif d’être toujours conformes ? Pouvons-nous être préparés en permanence à quelque vérification que ce soit ?

Comment pouvons-nous réduire ou équilibrer la charge de travail des personnes affectées au renouvellement et à l’approbation des certifications ?

Quelles est la part des contrôles et vérifications de gouvernance des accès pouvant être automatisée ?

Pourquoi ne pas traiter les accès à risque élevé différemment des accès à faible risque ?

Pourquoi ne pas appliquer un processus d'analyse continue pour accéder aux données et aux données d'activité en temps réel ?

Pouvons-nous combler l’écart de compétences grâce à l'automatisation et à l'intelligence ?

Tous les droits ne partagent pas le même niveau d’importance critique. Comprendre ce qui est

vraiment indispensable et décider de la façon de prioriser l’utilisation du temps.

Lorsqu’il existe un nombre croissant d'applications au sein d'une organisation mettant en œuvre tous

les types de processus métier, le nombre de rôles et de droits augmente également. L’ensemble des

droits qui sont stockés dans un entrepôt de données dédié à la gouvernance dans une organisation qui

compte essentiellement sur l’IT peut souvent atteindre une somme de cinq ou six chiffres. Le fait de

disposer de critères appropriés pour décider de l'accès sur lequel se concentrer peut contribuer à

réduire l'effort global et à améliorer la qualité des résultats en matière de gouvernance des accès.

Tous les droits ne présentent pas le même niveau d’importance critique. Des droits d'accès différents

imposent des niveaux de risque différents lorsqu'ils sont attribués de manière inappropriée aux

utilisateurs jusqu'à la fin du cycle de recertification en cours. Bien que cela puisse être acceptable dans

certains cas, ce n'est certainement pas le cas pour les droits comportant un niveau d'importance élevé.

Quelques semaines seulement, voire quelques jours de mise à disposition de ce type de droit entre de

mauvaises mains, doivent être considérés comme étant des situations inacceptables. Cela nous amène

à la conclusion que la durée des cycles de recertification des droits, selon les différentes catégories de

risque, doit également être différenciée selon le niveau de risque.

5 La solution : Passer à une démarche Lean


Rapport n° : 80048 Page 10 sur

16

Pour les droits à faible risque, il pourrait être approprié de procéder à une nouvelle certification qu'une

ou deux fois par an. Mais lorsqu'il s'agit de postes hautement sensibles et présentant un fort potentiel de

perte ou de fraude, la mise en place de stratégies dynamiques de recertification en continu est

essentielle. En particulier lorsque la période de renouvellement de certification par défaut tend à être

longue, des mesures supplémentaires de protection appliquées portant sur des catégories sensibles de

risques individuels sont obligatoires.

L'adoption d'une approche « Lean » en matière de gouvernance des identités et des accès s'appuie sur un certain nombre de changements :

Passez en revue les processus et les exigences organisationnelles – faites en sorte de

comprendre qui peut apporter quoi en temps de travail et en connaissances.

Traduisez les termes techniques en langage métier, afin que les collaborateurs affectés à

l’activité commerciale de l’entreprise comprennent ce qu'ils font.

Minimisez le poids des revues, en vous concentrant sur les risques réels et en procédant à un examen manuel uniquement

De notre point de vue, il est grand temps d'étudier les approches établies et d'envisager différents types

de solutions. La gouvernance des identités et des accès doit stimuler les opérations métiers au lieu d'être

simplement une contrainte. Il s'agit d’œuvrer pour l'entreprise plutôt que de travailler pour les auditeurs

– respecter les exigences de conformité, sans pénaliser l'entreprise.

Livre blanc KuppingerCole Kleverware IAG : Une démarche « Lean » (approche rationalisée ou sans gaspillage) appliquée à la gestion des identités et des accès


Kleverware fournit une solution « Lean » et ciblée pour la gouvernance des identités et des accès qui

peut être déployée rapidement, aidant ainsi les entreprises à répondre à leurs besoins à court et à long

terme sans projet à long terme.

Kleverware IAG (Identity & Access Governance) est une solution qui vise à résoudre rapidement les

défis en matière de gouvernance des identités et des accès auxquels les entreprises sont confrontées

aujourd'hui. L'entreprise a démarré en 2005 et est basée à Paris, en France. Kleverware IAG aide ses

clients à mettre en une stratégie de gouvernance pour les comptes à privilège (compte administrateur)

et les violations de la « séparation des tâches » (SoD) dans un environnement informatique

hétérogène et de satisfaire ainsi aux exigences de conformité réglementaire. Contrairement aux

solutions complètes d’IAG, Kleverware ne propose pas la fourniture d'identités et autres

fonctionnalités. Le fournisseur met l'accent sur une solution ciblée et rapide à déployer qui peut

exister de façon autonome ou en convergence avec d'autres solutions mises en place par le client.

Les principales fonctionnalités proposées par Kleverware IAG comprennent

La fourniture d’une vue d’ensemble consolidée des droits d'accès des utilisateurs dans

l'ensemble du paysage informatique, y compris les environnements de systèmes complexes

tels que les systèmes centraux ;

l’identification de l’écart entre ce qui a été demandé et les droits effectivement accordés

dans les systèmes cibles ;

Vérifier si un ou plusieurs accès ont été supprimés dans les processus de départ et vérifier

les droits restants ;

comparer et vérifier le ou les accès accordés au SI selon la fonction correspondant au profil

de poste ;

Identifier et mettre en évidence les violations affectant la SoD et les autres politiques d’entreprise ;

Permettre la mise en œuvre de processus d'examen d'accès simples et ciblés.

D'un point de vue technique, les compétences de Kleverware IAG se composent de plusieurs blocs

fonctionnels et capacités connexes :

Les capacités d'importation et de corrélation permettent aux clients d'importer des

données à partir de systèmes différents et dans différents formats, de corréler les comptes

à l’intérieur de ces systèmes et d'homogénéiser les données au sein d’un modèle d'accès

central

Ce modèle d'accès peut être défini avec souplesse, ce qui permet de refléter des structures

d'admissibilité très complexes de systèmes cibles, de structures organisationnelles et

d'autres particularités essentielles à la gouvernance des droits de l'entreprise

Identification des changements affectant les droits et autres données, processus que

Kleverware appelle la détection des mutations

6 La démarche de Kleverware en matière de gouvernance des identités et des accès



Gouvernance inter-systèmes de la SoD pour définir celle-ci entre les systèmes et identifier

et alerter en cas de violations pouvant l’affecter

Recertification, c'est-à-dire vérification des accès, en fonction des changements (mutations)

et des informations actuelles en l'état

Rapports de conformité comprenant un nombre important de rapports prédéfinis qui

peuvent être utilisés directement

Kleverware IAG met particulièrement l'accent sur des processus « Lean » d'examen des accès, optimisés et

efficaces. Ces processus sont basés sur les droits réels, qui sont régulièrement importés à partir des

systèmes sources dans le référentiel central utilisé par Kleverware. Les examens d'accès peuvent porter à la

fois sur les situations à risque, c.-à-d. sur des ensembles précis de droits qui sont identifiés comme

présentant des risques élevés et sur les droits qui ont changé depuis le dernier examen. En utilisant ces

capacités, la charge de travail utilisée pour procéder aux vérifications d'accès peut être considérablement

réduite. Étant donné que les examens d'accès trop fréquents, trop volumineux et trop techniques sont une

source de frustration et de plaintes chez les utilisateurs en entreprise, l'approche Kleverware aide à faire

fonctionner les vérifications d'accès. En outre, Kleverware permet de traduire efficacement les droits

techniques en langage métier.

Image 1 : Kleverware IAG propose une approche lean et ciblée pour la mise en œuvre de la gouvernance des identités et des accès.

Puisque Kleverware se concentre sur la gouvernance des accès, au lieu des capacités complètes de la IGA

qui inclue la fourniture d'identité, l'intégration avec les systèmes informatiques dans l'ensemble du

paysage, y compris les services cloud, l’architecture est relativement simple. La collecte de données se fait

sans agent, en utilisant soit des formats d'exportation tels que les fichiers CSV qui sont pris en charge par

les différents systèmes informatiques, soit des interfaces standards, y compris LDAP et d'autres.

Matrice sur le système de

séparation des tâches (SoD)

Flux RH

Matrice d'accréditation

Demande d'accréditation

Renouvellement de certification des droits

Référentiel d'identité et d'accès Dét

ecti

on

de

la

mo

bili

té

LDAP RACF Unix AD ACL Base RH … TSS

Matrice su

r le système d

e sép

aration

de

s tâches (So

D)

Traitement de la demande

Corrélation Remédiation

Mo

dèle

d'accréd

itation



Les données sont consolidées dans l’entrepôt Kleverware IAG. Kleverware analyse alors ces données et

produit des rapports, accède à des campagnes de révision et à d'autres types d'analyses.

Sur la base de cette analyse, un besoin de remédiation liés à des problèmes d'accès pourrait être identifié

(et le sera régulièrement). Kleverware, comme nous l’avons déjà indiqué, n'est pas une solution en matière

de fourniture d'identité, mais s'intègre à d’autres solutions de fourniture d'identité existantes. Ainsi, il peut

fournir des informations sur les changements requis sous forme de retours pour en permettre la mise en

œuvre.

Kleverware se distingue de la plupart des autres solutions présentes sur le marché dans différents domaines :

La solution est livrée avec un module de corrélation solide qui permet de définir ses propres

règles de corrélation avancées pour les données dérivées provenant de divers systèmes

Le modèle de données est particulièrement flexible, ce qui permet de mapper des structures

de droits complexes, des spécificités organisationnelles et d'autres exigences

organisationnelles dans le modèle sans avoir besoin de codage

Il fournit immédiatement un ensemble d'évaluations de la conformité basées sur des analyses

et des rapports standards

Il n'est pas nécessaire de définir des modèles de rôle complexes, mais le système fonctionne

sur les structures et les données de gouvernance des droits existants

Pour les tests initiaux ou un premier déploiement rapide, par exemple en cas de constatation d'audit en

cours, les clients peuvent utiliser la version « Analytics » qui fonctionne sur un seul poste de travail. Cet

outil permet déjà d'importer et de corréler les droits ainsi que l'analyse de base et la production de

rapports. La version « Analytics & Workflows » fournit un portail Web pour les vérifications de

gouvernance et d'accès, l'automatisation et les flux de travail ainsi que les fonctionnalités complètes de

révision des accès.

En raison du choix de l'approche « Lean », la version « Analytics & Workflows » peut être déployée dans

un laps de temps raisonnablement court.

En raison du choix de l'approche « Lean », la version « Analytics & Workflows » peut

être déployée dans un laps de temps raisonnablement court.

Kleverware IAG ne fournit pas l'ensemble des capacités de la IGA – la solution est axée sur les aspects de

gouvernance de l’IGA (gouvernance des identités et d’administration) et non sur les aspects administratifs

de cette technologie. Cependant, le système peut s'interfacer avec la fourniture d'identité existante, des

outils IGA et des outils ITSM tels que ServiceNow, tout en fournissant des solutions rapides pour faire face

aux exigences de gouvernance des accès dans une approche « Lean » et ciblée.



Les entreprises doivent prendre les bonnes mesures de gouvernance des identités et des accès. Il y a

beaucoup de choses qui peuvent être réalisées et qui doivent être envisagées. Cependant, si vous vous

concentrez sur la gouvernance des identités et des accès en tant que solution « Lean » dans le cadre

d'un programme IAM (gouvernance des identités et des accès) plus vaste et structuré, vous avez plus

de chances de réussir que lorsque vous essayez de tout résoudre à la fois.

Le but ultime de la gouvernance des identités et des accès demeure le maintien de la conformité

aux exigences réglementaires. Mais tout en demeurant sur cette base, il existe un fort potentiel

d'amélioration de la sécurité globale, de la conformité aux politiques internes et de la mise en

œuvre des meilleures pratiques. La mise en place de la solution peut également atténuer les

nouveaux risques d'accès à venir en déployant des technologies de gouvernance d'accès établies,

des processus améliorés et des technologies de renseignement d'accès en temps réel.

La bonne gouvernance des accès n'est alors plus seulement un moyen d'obtenir l'approbation d'un

auditeur. Elle se transforme en une solide infrastructure de sécurité qui offre la possibilité de

transformer les politiques de l'entreprise en actions immédiates et d'améliorer considérablement la

sécurité de l'entreprise dans son ensemble.

En ce qui concerne les recommandations, il est clairement compris que différentes organisations se

trouvent actuellement à différents niveaux d'intégration de la gouvernance d'accès dans leur

infrastructure informatique existante. Alors que les sociétés du secteur financier, par exemple, ont dû

mettre rapidement en œuvre la gouvernance de l'accès en raison des exigences réglementaires,

d'autres commencent tout juste à étendre leur infrastructure de gouvernance des identités et des

accès.

Pour tenir compte de ces différentes situations, les types de recommandations peuvent être divisés en

deux parties : Une série de recommandations de base à l'intention des organisations qui en sont aux

premières étapes de l'adoption de la gouvernance des accès et une série de recommandations

supplémentaires et avancées à l'intention des organisations qui ont déjà adopté une approche mûre à

l'égard de la gouvernance des accès Recommandations de base : Lorsque vous décidez si et comment

investir dans l'extension de votre gouvernance des identités et des accès avec une stratégie de

gouvernance des identités et des accès, nous recommandons ce qui suit :

1. Élargissez et développez votre stratégie globale de gouvernance des identités et des accès au sein

de votre organisation en vous appuyant sur vos fonctionnalités actuelles. N'attendez pas la mise

en œuvre de projets de longue haleine pour créer une base technique, par exemple dans le

domaine de la fourniture d’identités.

2. Intégrez stratégiquement les risques économiques et commerciaux à vos processus de conception

de profils de postes et/ou d'admissibilité. Cela est fortement recommandé même si vous

n'envisagez pas actuellement d'étendre la gouvernance des accès de quelque façon que ce soit.

3. Tenez compte des niveaux de risque encourus par l'entreprise lors de la définition de vos

processus de gouvernance des identités et des accès, y compris les cycles de renouvellement

de certification et les régimes d'approbation.

7 Plan d'action pour la mise en œuvre de la gouvernance Lean des identités et des accès



4. Gardez à l'esprit que les architectures modulaires, malgré leur complexité intrinsèque, offrent

la plus grande des flexibilités et leur déploiement devrait être envisagé dans la plupart des cas.

Ils peuvent également le cas échéant réduire vos risques de verrouillage.

Recommandations avancées : Lorsque vous décidez si et comment investir dans l'extension de votre

gouvernance des identités et des accès, déjà mature nous recommandons ce qui suit :

1. Évaluez continuellement les nouveaux défis pertinents en matière de IAM pour votre organisation afin d'être

prêt à intégrer les concepts de solution appropriés dans une prochaine version de votre stratégie globale en

matière d’identités et d’accès.

2. Intégrez stratégiquement les risques économiques et métiers à vos processus de conception de profils de postes et d'admissibilité.

3. Réévaluez les risques et les menaces actuellement couverts par votre architecture de gouvernance des accès

ainsi que les définitions de vos critères de risque. Identifiez les accès à haut risque et appliquez les mécanismes

appropriés d'approbation et de renouvellement de certification.

4. Révisez et peaufinez vos calendriers globaux de recertification afin de refléter différents niveaux de criticité

en fonction des risques de l'entreprise, tout en observant vos obligations de conformité réglementaire.

5. Automatisez vos processus de gouvernance des accès dans la mesure du possible. Réduisez au minimum

le travail manuel (demande d'accès, approbation des accès et renouvellement de certification des accès).



8 Droits d’auteurs

© 2019 Kuppinger Cole Analysts AG tous droits réservés. La reproduction et la distribution de cette publication sous quelque forme que ce soit sont interdites sauf autorisation écrite préalable. Toutes les conclusions, recommandations et prévisions contenues dans ce document représentent le point de vue initial de KuppingerCole. En recueillant plus d'informations et en effectuant une analyse approfondie, les positions présentées dans ce document feront l'objet d'améliorations, voire de modifications substantielles. KuppingerCole se dégage de toute garantie relativement à l'exactitude, l'intégralité ou la pertinence du contenu de la présente note d’information. Même si les documents de recherche de KuppingerCole peuvent aborder des questions juridiques liées à la sécurité et aux technologies de l'information, KuppingerCole ne fournit aucun service ou conseil juridique et ses publications ne doivent pas être utilisées comme telles. KuppingerCole décline toute responsabilité en cas d'erreurs ou d'insuffisances dans les informations contenues dans ce document. Toute opinion exprimée aux présentes peut le cas échéant être modifiée sans préavis. Tous les noms de produits et de sociétés sont des marques commerciales™ ou des marques déposées® de leurs détenteurs respectifs. Leur utilisation n'implique aucune affiliation ou approbation de leur part.

KuppingerCole soutient les professionnels de l'informatique qui possèdent une expertise

exceptionnelle dans la définition de stratégies informatiques et dans les processus décisionnels

pertinents. En tant qu'analyste leader, KuppingerCole fournit des informations de première main

neutres aux fournisseurs. Nos services vous permettent de vous sentir à l'aise et en sécurité dans la

prise de décisions essentielles à votre entreprise.

KuppingerCole, entreprise fondée en 2004, est une société d'analyse internationale dont le siège

social est situé en Europe et qui se concentre sur la sécurité des informations et la gouvernance des

identités et des accès (GIA). KuppingerCole est synonyme d'expertise, de leadership éclairé, de

pertinence pratique exceptionnelle et d'une vision neutre des fournisseurs sur les segments du

marché de la sécurité des informations, couvrant tous les aspects pertinents tels que : La gouvernance

des identités et des accès (GIA), les outils d'audit et de gouvernance, la sécurité et la virtualisation

dans le Cloud, la protection des informations, la sécurité des mobiles et logiciels, la sécurité des

systèmes et réseaux, le pilotage de sécurité, les analyses et productions de rapports, la gouvernance,

ainsi que les questions d’organisations et de politiques d’entreprise.

Pour de plus amples informations, veuillez contacter [email protected]

KuppingerCole Analysts AG Téléphone +49 (211) 23 70 77 – 0

Wilhelmstrasse 20 – 22 Fax +49 (211) 23 70 77 – 11

65185 Wiesbaden | Allemagne www.kuppingercole.com

L'avenir de la sécurité des informations - Disponible dès aujourd'hui

mailto:[email protected]

http://www.kuppingercole.com/

Documents

Le « Lean Management » appliqué à la gouvernance des ...€¦ · Kleverware IAG: le Lean Management appliqué à la gouvernance des identités et des accès Rapport n° : 80048