cours donné dans le cadre d'infosafe en février 2917

1. Jacques Folon
www.folon.com
Partner Edge Consulting
Maître de conférences
Université de Liège
Professeur
ICHEC Brussels Management School
Professeur invité
Université de Lorraine
ESC Rennes School of Business
Gestion des profils
Identity Access Management

2. IAM
1. C’est quoi ?
2. Quel est le contexte
actuel?
3. IAM & cloud computing
4. Pourquoi en avons nous
besoin?
5. To do list
6. IAM et vie privée
7. IAM et contrôle
8. e-discovery
9. Conclusion

3. 1. IAM c’est quoi ?
Provisioning
Single Sign On
PKI
Strong
Authentication
Federation
Directories
Authorization
Secure
Remote
Access
Password
Management
Web
Services
Security Auditing &
Reporting
Role based
Management
DRM
Source: Identity and Access Management: OverviewRafal Lukawiecki - Strategic Consultant, Project
Botticelli Ltd rafal@projectbotticelli.co.uk

5. 5
Remote Employees
Suppliers
PartnersCustomers
Employees
EN 2015 NOMBREUX CONTEXTES

6. 6

8. 5 Questions

9. Q: What’s posted on this
monitor?
a – password to financial application
b – phone messages
c – to-do’s

10. Q: What determines your
employee’s access?
a – give Alice whatever Wally
has
b – roles, attributes, and
requests
c – whatever her manager says

11. Q: Who is the most
privileged user in your
enterprise?
a – security administrator
b – CFO
c – the summer intern who is now
working for your competitor

12. Q: How secure is your
identity data?
a – It is in 18 different secured stores
b – We protect the admin passwords
c – Privacy? We don’t hold credit
card numbers

13. Q: How much are
manual compliance
controls costing your
organization?
a – nothing, no new headcount
b – don’t ask
c – don’t know

14. Today’s IT Challenges
More Agile
Business
• More accessibility for
employees, customers
and partners
• Higher level of B2B
integrations
• Faster reaction to
changing requirements
More
Secured
Business
• Organized crime
• Identity theft
• Intellectual
property theft
• Constant global
threats
More Compliant
Business
• Increasing regulatory
demands
• Increasing privacy
concerns
• Business viability
concerns

15. State Of Security In Enterprise
• Incomplete
• Multiple point solutions from many vendors
• Disparate technologies that don’t work together
• Complex
• Repeated point-to-point integrations
• Mostly manual operations
• ‘Non-compliant’
• Difficult to enforce consistent set of policies
• Difficult to measure compliance with those
policies

20. Identity Management Values
• Trusted and reliable security
• Efficient regulatory compliance
• Lower administrative and development costs
• Enable online business networks
• Better end-user experience

21. 15
La gestion des identités consiste à gérer le cycle de vie
des personnes (embauche, promotion, mutation, départ,
etc.) au sein de la société et les impacts induits sur le
système d’information (création de Comptes
utilisateurs, attribution de Profils utilisateurs, mise en
œuvre du contrôle d'accès, etc.).
source clusif
IAM n’est pas uniquement une tâche
informatique, c’est aussi un projet RH !

22. • Cette gestion des identités doit pouvoir être faite
d'un point de vue fonctionnel par des non-
informaticiens (exemple : Ressources Humaines,
Maîtrise d’ouvrage, l’utilisateur lui-même)
• et
•d'un point de vue technique par des informaticiens
(exemple : administrateur, Maîtrise d’œuvre).
16
IAM n’est pas uniquement une tâche
informatique !
source clusif

23. 17
La solution de gestion d’identités doit être une solution globale sur la base d’une
infrastructure centralisée avec une gestion fonctionnelle distribuée et qui intègre les
fonctionnalités suivantes :
• la gestion du référentiel central des utilisateurs (alimentation à partir de référentiels
utilisateurs sources),
• la gestion du référentiel central des ressources concernées par la gestion des droits
d’accès,
• la gestion des habilitations (gestion des Profils, Rôles, gestion des utilisateurs, workflow),
• le provisioning (synchronisation des référentiels cibles de sécurité),
• l’administration décentralisée,
• l’auto-administration (gestion par les utilisateurs des mots de passe et des données
privées),
• l’audit et le reporting,
• le contrôle d’accès (authentification, autorisation).
source clusif

24. • What is Identity Management ?
“Identity management is the set of
business processes, and a supporting
infrastructure, for the creation,
maintenance, and use of digital
identities.” The Burton Group (a
research firm specializing in IT
infrastructure for the enterprise)
• Identity Management in this
sense is sometimes called
“Identity and Access
Management” (IAM)
Définition

25. 19
Identity and Access Management is the process for managing the lifecycle
of digital identities and access for people, systems and services. This
includes:
User Management – management of large, changing user
populations along with delegated- and self-service administration.
Access Management – allows applications to authenticate users
and allow access to resources based upon policy.
Provisioning and De-Provisioning – automates account
propagation across applications and systems.
Audit and Reporting – review access privileges, validate
changes, and manage accountability.
C
A
IAM : J. Tony Goulding CISSP, ITIL CA t ony.goulding@ca.com

26. IAM c’est par exemple…
• “Bonjour je suis Julie, une
étudiante de
l’ULG.” (Identité)
• “Ceci est mon mot de passe.”
(Authentification)
• “Je veux accéder à la
plateforme”
(Authorisation accordée)
• “Je veux améliorer la note de
mon examen.”
(Autorisation refusée)

27. Mais c’est aussi…
• Un nouveau professeur
• Donc une adresse email,
à donner dès que possible
• Un mot de passe ulg
• Un mot de passe Intranet
• Définir les autres services
auxquel il a accès

28. Quelles sont les questions à se poser??
• Les personnes sont-elles ce
qu’elles disent être?
• Sont-elles des membres réels de
notre communauté ?
• Ont-elles reçu les autorisations
nécessaires ?
• Le respect de leurs données
personnelles est-il mis en place?

29. Exemples de questions
– Quel mot type de mot de passe donner?
– Quelles sont les activités autorisées?
– Quelles sont les activités interdites?
– A quelle catégorie de personne cette nouvelle
identité doit-elle être attachée?
– A quel moment du processus d’entrée les
autorisations doivent-elles être données?
– Quelles modalités de contrôle sont mises en
place? Peut-on prouver tout cela à un auditeur ?

30. 24
Le triple A de l’IAM
Authentication
WHO ARE YOU?
Authorization / Access
Control
WHAT CAN YOU DO?
Audit
WHAT HAVE YOU DONE?24

31. 2. Contexte actuel
Quel est le contexte actuel
qui est à la base du
développement de l’IAM?

32. 32
Article 29 GDPR
Traitement effectué sous l'autorité du responsable du
traitement ou du sous-traitant
Le sous-traitant et toute personne agissant sous l'autorité
du responsable du traitement ou sous celle du sous-traitant,
qui a accès à des données à caractère personnel, ne peut pas
traiter ces données, excepté sur instruction du responsable
du traitement, à moins d'y être obligé par le droit de l'Union
ou le droit d'un État membre.

33. 28
Les identités varient selon les plateformes

34. 29
Entre l’identité virtuelle et ...
Dans ce contexte, l’amoncellement de parcelles laissées plus ou moins à
l’abandon dessine un portrait par petites touches. Un peu comme les
tableaux pointillistes : de manière unitaire, aucune des traces n’est
réellement significative. Mais le tableau général, lui, représente le sujet dans
son ensemble. À la vue de tous et pas forcément sous un angle souhaité…
http://www.buschini.com/2009/12/04/identite-traditionnelle-versus-identite-numerique/

35. • Internet est basé sur des
communications anonymes
• Les entreprises participent à de
nombreux réseaux générant de
multiples identités
• Les systèmes internes ont parfois des
systèmes d’identifiants différents
• Les utilisateurs sont les maillons
faibles de la sécurité
• La criminalité informatique
augmente
• La mise en place de contrôles
impose l’identification
• La gestion des traces est
indispensables
• La protection de la vie privée impose
des contrôles
Welcome to a digital world

37. Explosion of IDs
Pre 1980’s 1980’s 1990’s 2000’s
# of
Digital IDs
Time
Applications
Mainframe
Client Server
Internet
Business
Automation
Company
(B2E)
Partners
(B2B)
Customers
(B2C)
Mobility
Source: Identity and Access Management: OverviewRafal Lukawiecki - Strategic Consultant, Project
Botticelli Ltd rafal@projectbotticelli.co.uk

38. The Disconnected Reality
• “Identity Chaos”
– Nombreux utilisateurs et applications
– Nombreuses ID
– Plusieurs identité par utilisateur
– Plusieurs log in et mots de passe
– Multiple repositories of identity information
– Multiple user IDs, multiple passwords
– Management décentralisé
– Conflits business <-> IT
Enterprise Directory
HR
Infra
Application
Office
In-House
Application
External app
Finance
employee
Application
•Authentication
•Authorization
•Identity Data
Source: Identity and Access Management: OverviewRafal Lukawiecki - Strategic Consultant, Project
Botticelli Ltd rafal@projectbotticelli.co.uk
•Authentication
•Authorization
•Identity Data
•Authentication
•Authorization
•Identity Data
•Authentication
•Authorization
•Identity Data
•Authentication
•Authorization
•Identity Data
•Authentication
•Authorization
•Identity Data
•Authentication
•Authorization
•Identity Data

39. Your COMPANY and
your EMPLOYEES
Your SUPPLIERS
Your PARTNERS
Your REMOTE and
VIRTUAL EMPLOYEES
Your CUSTOMERS
Customer satisfaction & customer intimacy
Cost competitiveness
Reach, personalization
Collaboration
Outsourcing
Faster business
cycles; process
automation
Value chain
M&A
Mobile/global
workforce
Flexible/temp
workforce
Multiple Contexts

40. 37

41. 3. IAM & Cloud computing

42. Cloud Computing: Definition
• No Unique Definition or General Consensus about what Cloud
Computing is …
• Different Perspectives & Focuses (Platform, SW, Service Levels…)
• Flavours:
– Computing and IT Resources Accessible Online
– Dynamically Scalable Computing Power
– Virtualization of Resources
– Access to (potentially) Composable & Interchangeable Services
– Abstraction of IT Infrastructure
! No need to understand its implementation: use Services & their APIs
– Some current players, at the Infrastructure & Service Level:
SalesfoRce.com, Google Apps, Amazon, Yahoo, Microsoft, IBM, HP, etc.
The Future of Identity in the Cloud: Requirements, Risks & OpportunitiesMarco Casassa Mont marco.casassa-mont@hp.com HP Labs Systems
Security Lab Bristol, UK - EEMA e-Identity Conference, 2009

43. Cloud Computing: Implications
• Enterprise:
Paradigm Shift from “Close & Controlled” IT Infrastructures and
Services to Externally Provided Services and IT Infrastructures
• Private User:
Paradigm Shift from Accessing Static Set of Services to Dynamic
& Composable Services
• General Issues:
– Potential Loss of Control (on Data, Infrastructure, Processes,
etc.)
– Data & Confidential Information Stored in The Clouds
– Management of Identities and Access (IAM) in the Cloud
– Compliance to Security Practice and Legislation
– Privacy Management (Control, Consent, Revocation, etc.)
– New Threat Environments
– Reliability and Longevity of Cloud & Service Providers
The Future of Identity in the Cloud: Requirements, Risks & OpportunitiesMarco Casassa Mont marco.casassa-mont@hp.com HP Labs Systems
Security Lab Bristol, UK - EEMA e-Identity Conference, 2009

44. Issues and Risks [1/2]
• Potential Proliferation of Required Identities & Credentials to Access Services
• Complexity in correctly “enabling” Information Flows across boundaries
• Propagation of Identity and Personal Information across Multiple Clouds/Services
•Privacy issues (e.g. compliance to multiple Legislations, Importance of Location, etc.)
•Exposure of business sensitive information (employees’ identities, roles, organisational structures,
enterprise apps/services, etc.)
•How to effectively Control this Data?
• Delegation of IAM and Data Management Processes to Cloud and Service Providers (How to get
Assurance that these Processes and Security Practice are Consistent with Enterprise Policies?)
•Consistency and Integrity of User Accounts & Information across various Clouds/Services
•How to deal with overall Compliance and Governance issues?
The Future of Identity in the Cloud: Requirements, Risks & OpportunitiesMarco Casassa Mont marco.casassa-mont@hp.com HP Labs Systems Security Lab Bristol, UK - EEMA e-Identity Conference, 2009
Identity in the Cloud: Enterprise Case

45. Identity in the Cloud: Enterprise CaseIssues and Risks [2/2]
• Migration of Services between Cloud and Service Providers
! Management of Data Lifecycle
• Threats and Attacks in the Clouds and Cloud Services
! Cloud and Service Providers can be the “weakest links” in
Security & Privacy
! Reliance on good security practice of Third Parties
The Future of Identity in the Cloud: Requirements, Risks & OpportunitiesMarco Casassa Mont marco.casassa-mont@hp.com HP Labs Systems Security Lab Bristol, UK - EEMA e-Identity Conference, 2009

46. 4.Pourquoi en avons nous besoin?
•Sécurité
•Compliance
•Réduction des coûts
•Support pour l’audit
•Contrôle d’accès

47. Source: ftp://ftp.boulder.ibm.com/software/uk/productnews/tv/vh_-_access_and_identity_management.pdf

48. Economies possibles
• Directory Synchronization
“Improved updating of user data: $185 per user/year”
“Improved list management: $800 per list”
- Giga Information Group
• Password Management
“Password reset costs range from $51 (best case) to $147 (worst case) for labor alone.”
– Gartner
• User Provisioning
“Improved IT efficiency: $70,000 per year per 1,000 managed users”
“Reduced help desk costs: $75 per user per year”
- Giga Information Group

49. Can We Just Ignore It All?
• Today, average corporate user spends
16 minutes a day logging on
• A typical home user maintains 12-18
identities
• Number of phishing sites grew over
1600% over the past year
• Corporate IT Ops manage an average
of 73 applications and 46 suppliers,
often with individual directories
• Regulators are becoming stricter
about compliance and auditing
• Orphaned accounts and identities
lead to security problems
Source: Microsoft’s internal research and Anti-phishing Working Group

50. IAM Benefits
Benefits to take you
forward
(Strategic)
Benefits today
(Tactical)
Save money and improve operational
efficiency
Improved time to deliver applications and
service
Enhance Security
Regulatory Compliance and Audit
New ways of working
Improved time to market
Closer Supplier, Customer,
Partner and Employee relationships
Source: Identity and Access Management: OverviewRafal Lukawiecki - Strategic Consultant, Project Botticelli Ltd rafal@projectbotticelli.co.uk

51. 5. IAM to do list
• Création et suppression
automatique de comptes
• Gestion des traces
• Archivage (durée??)
• Vie privée
• Compliance
• Sécurité <> risques
• De plus en plus d’utilisateurs
• E-business
• documentation
• audit

52. 52

53. 53
AUDIT

54. 52
Les trois éléments

55. 6. La protection des données personnelles

56. Source : https://www.britestream.com/difference.html.

57. Les informations circulent
Qui vérifie?

58. Qui doit avoir accès à quoi?
Limitations légales !

59. Responsabilités de l’organisation

60. TELETRAVAIL

61. Informations sensibles

62. 62

63. 63http://fr.slideshare.net/MicrosoftEntrepreneurs/rdi105-byod-resister-ou-embrasser?qid=d1192010-03b1-49ee-a555-ab31c4e7a1cd&v=default&b=&from_search=4

64. http://fr.slideshare.net/MicrosoftEntrepreneurs/rdi105-byod-resister-ou-embrasser?qid=d1192010-03b1-49ee-a555-ab31c4e7a1cd&v=default&b=&from_search=4

65. http://fr.slideshare.net/MicrosoftEntrepreneurs/rdi105-byod-resister-ou-embrasser?qid=d1192010-03b1-49ee-a555-ab31c4e7a1cd&v=default&b=&from_search=4

69. 7. IAM et Contrôle

70. Le maillon faible…

71. Données reçues et transférées

73. • Que peut-on
contrôler?
• Limites?
• Correspondance
privée
• Saisies sur salaire
• Sanctions réelles
• Communiquer les
sanctions?

74. • Sécurité organisationnelle
– Département sécurité
– Consultant en sécurité
– Procédure de sécurité
– Disaster recovery

75. • Sécurité technique
– Risk analysis
– Back-up
– Procédure contre incendie, vol, etc.
– Sécurisation de l’accès au réseau IT
– Système d’authentification (identity management)
– Loggin and password efficaces

76. • Sécurité juridique
– Contrats d’emplois et
information
– Contrats avec les sous-
contractants
– Code de conduite
– Contrôle des employés
– Respect complet de la
réglementation

77. Qui contrôle quoi ?

78. 8. E-discovery

79. Definition of e-discovery
• Electronic discovery (or e-discovery) refers to discovery in civil
litigation which deals with information in electronic format also
referred to as Electronically Stored Information (ESI).
• It means the collection, preparation, review and production of
electronic documents in litigation discovery.
• Any process in which electronic data is sought, located, secured,
and searched with the intent of using it as evidence in a civil or
criminal legal case
• This includes e-mail, attachments, and other data stored on a
computer, network, backup or other storage media. e-Discovery
includes metadata.

80. Recommandations
Organizations should update and/or create information
management policies and procedures that include:
– e-mail retention policies, On an individual level, employees tend to
keep information on their hard drives “just in case” they might need it.
– Work with users to rationalize their storage requirements and
decrease their storage budget.
– off-line and off-site data storage retention policies,
– controls defining which users have access to which systems andunder
what circumstances,
– instructions for how and where users can store data, and • backup and
recovery procedures.
– Assessments or surveys should be done to identify business functions,
data repositories, and the systems that support them.
– Legal must be consulted. Organizations and their legal teams should
work together to create and/or update their data retention policies
and procedures for managing litigation holds.

81. 81
Comment l’implémenter ?
• Trouver des sources authentiques (il peut y en avoir
plusieurs)
• Partir des listes existantes des collaborateurs
• Définir les rôles (c’est le business donc les RH qui le
font, pas l’Informatique)
• N’oubliez pas l’audit (externe) donc il faut justifier:
• qui a accès à quoi? depuis quand?
• qui a approuvé ?
• comptes orphelins ?

82. 82
Ne pas oublier la résistance au changement
• Pourquoi n’ai-je plus accès à… ?
• ce n’est pas une priorité
• L’informatique n’a pas le temps
• il vaut mieux tout contrôler
• crainte de perte de pouvoir

83. 83

84. 9. Conclusion
• IAM n’est pas uniquement une question
informatique
• LES RH DOIVENT ETRE IMPLIQUES
• les aspects juridiques et de gestion sont essentiels
• Attention aux aspects compliance
• Plus de sécurité nécessaire
– Cloud computing
– Virtualisation
– Data privacy
– archivage
• Transparence
• E-discovery

85. L’IAM est aussi une opportunité
• Repenser la sécurité
• Limiter les risques
• Réduire les coûts
• Repréciser les rôles et
responsabilités
• Appréhender les risques futurs

86. Je suis prêt à répondre à vos questions