Extrait de l

Extrait de l'étude - La gestion des identités et des accès (IAM)

Documents
5 pages
Lire
Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

Description

EXTRAIT EXTRAIT EXTRAIT LA CHECK LIST La gestion des identités et des accès (IAM) Le CXP, 2009 1 Le CXP, 2009 1 EXTRAIT PRESENTATION DE L’ETUDE La gestion des identités et des accès (IAM) Votre objectif : Vous souhaitez gérer les identités des personnes qui ont accès à votre système d’information, qu’elles appartiennent ou non à votre organisation, automatiser les processus associés et/ou valider que les accès autorisés respectent les politiques de sécurité en vigueur. Profils concernés : Direction du SI, RSSI Vos attentes Les questions que vous vous posez  Automatiser la mise en place des accès pour un  Quel est le périmètre fonctionnel des nouvel arrivant ou vous assurer que les accès ont solutions disponibles sur le marché ? bien été supprimés après un départ.  Est-ce que ces solutions sont réservées aux  Permettre aux personnes de gérer leur identité en grands comptes ? self service.  Comment ces solutions me permettent  Donner accès à votre SI à vos partenaires. d’assurer la conformité à Sarbanes Oxley ?  Que les utilisateurs aient un mot de passe unique  Est-ce que je peux attendre des gains et sécurisé. financiers de la mise en œuvre d’une solution d’IAM ?  Réduire la charge du help desk pour répondre aux oublis de mot de passe.  Comment les solutions IAM ...

Sujets

Informations

Publié par
Nombre de lectures 239
Langue Français
Signaler un problème
Le CXP, 2009
EXTRAIT
La gestion des identités et des accès (IAM)
1
PRESENTATION DE L’ETUDE
La gestion des identités et des accès (IAM)Votre objectif:Vous souhaitez gérer les identités des personnes qui ont accès à votre système d’information, qu’elles appartiennent ou non à votre organisation, automatiser les processus associés et/ou valider queles accès autorisés respectent les politiques de sécurité en vigueur. Profils concernés :Direction du SI, RSSI Vos attentesLes questions que vous vous posez Automatiser la mise en place des accès pour unQuel est le périmètre fonctionnel des nouvel arrivant ou vous assurer que les accès ontsolutions disponibles sur le marché ? bien été supprimés après un départ. Est-ce que ces solutions sont réservées aux Permettre aux personnes de gérer leur identité engrands comptes ? self service. Comment ces solutions me permettent Donner accès à votre SI à vos partenaires.d’assurer la conformité à Sarbanes Oxley? Que les utilisateurs aient un mot de passe uniqueEst-ce que je peux attendre des gains et sécurisé.financiers de la mise en œuvre d’une solution d’IAM? Réduire la charge du help desk pour répondre aux oublis de mot de passe.Comment les solutions IAM participent de la gouvernance des risques, du SI ou de Contrôler que les accès autorisés respectent les l’information? règlementations en vigueur et votre politique interne de sécurité.Quels sont les étapes clés de la mise en œuvre d’une solution IAM? Détecter des comportements à risque. Comment définir le bon niveau de maîtrise et de contrôle des identités et des accès ?
L'ÉTUDE D'OPPORTUNITÉ - La gestion des identitéset des accèsvous permet, en amont d'un projet de gestion des identités et des accès, d'évaluer les apports concrets des solutions IAM (Identity & Acces Management) et des différentes briques qui les composent. Vous aidant à préparer l'avenir, cette étude vous fournit les repères nécessaires pour : comprendre et maîtriser lesconcepts, les définitions et les enjeuxde la gestion des identités et des accès, identifierl'approche méthodologiquela plus adaptée au contexte et au périmètre de votre entreprise, mesurer et justifierles intérêts économiquesde ce type de projet pour votre entreprise, évaluerl’apport des solutions IAM pour lagestion des risques et de la conformitéGRC,connaîtrela structure d’une solution IAMet les composants technologiques associés, recenser uncertain nombre d'offres, sélectionnées et présentées par l'analyste spécialiste du domaine.
Quelques-unes des offres présentées dans l'étude(liste non exhaustive, non contractuelle et sujette à modification) : BMC, CA, IBM, ILEX, LINAGORA, MICROSOFT, NOVELL, ORACLE, SAP, SUN …
Le CXP, 2009
2
ÉTUDE D'OPPORTUNITÉ Date :19/11/2009 La gestion des identités et des accès (IAM)
Tandis que chaque jour, nous prenons la mesure de l’importance stratégique de l’information, l’intégration de nouvelles briques dans le Système d’Information Étude réalisée par enrichit ce dernier mais également le complexifie, permet l’accès à un nombre Dominique Dupuiscroissant d’utilisateurs internes et externes et finalement le fragilise.Dans le même temps, dans un objectif de meilleure gouvernance des OBJECTIF DU DOCUMENT.entreprises, via des normes telles que Sarbanes-Oxley, l’accent est mis sur la traçabilité des décisions prises par les salariés de l’entreprise et donc, par Qu’est ce qu’un progiciel de gestion des extension, sur les droits et autorisations donnés aux utilisateurs du Système identités et des accès ? Quelles en sont les fonctions principales? Ces solutionsd’Information.sont-elles réservées aux grands Dans ce contexte, la gestion des identités et des accès est un élément-clé de comptes ? Comment le progiciel interagit-il avec mon SI? Quels sont les acteurssécurisation du Système d'Information. majeurs du marché? Comment ces solutions me permettent d’assurer la SOMMAIREconformité à Sarbanes-Oxley ? Est-ce que je peux attendre des gains financiers de la I.CONTEXTEETENJEUX 2 mise en œuvre d’une solutionde gestion des identités et des accès ? Quelles sont21. Un constat peu favorable les étapes clés de la mise en œuvre d’une 2. Une nécessité de sécurisation performante3 solution de gestion des identités et des 3. Assurer la conformité règlementaire4 accès ? Comment définir le bon niveau de maîtrise et de contrôle des identités et44. De forts enjeux business des accès ? Voilà quelques-unesdes 5. Une approche globale par la gestion des risques5 questions que vous vous posez.II.LECONCEPTIAM 6 Pour y répondre, cetteétude d'opportunitévous fournit :61. Des solutions modulaires les concepts et définitions d’une2. Structure d'une solution6 solution de gestion des identités 3. Intégration dans le système d’information de l’entreprise 9 et des accès, III.BENEFICESETLIMITESD’UNPROJETDEGESTIONDESIDENTITÉS 11 la description des fonctions d'une solution de gestion des identités 1. Bénéfices attendus11 et des accès 2. Recommandations12 un positionnement des éditeurs et des solutions disponibles,3. Les principales étapes d'un projet de gestion des identités13 la présentation de quelques IV.LESFONCTIONS 14 d'offres significatives. 1. Gestion des Identités14 2. Fédération d’Identités 19 3. Gestion des Accès20 4. Audit et Traçabilité22 V.TYPOLOGIEDEL’OFFRE 24 1. Les fournisseurs de solutions de gestion d’infrastructure 24 2. Les fournisseurs de solutions pour la DSI24 3. Les éditeurs spécialisés24 4. Open Source et solutions pour PME25 VI.PRÉSENTATIONDEQUELQUESOFFRESSIGNIFICATIVES 26 VII.RÉFÉRENCESCXP 43CXP, 20093/5Copyright le Tous droits réservés. Reproduction ou distribution sous quelque forme que ce soit est expressément interdite sauf permission écrite préalable de CXP Holding. Nos informations sont livrées telles quelles et sans garanties. Bien que l’information soit considérée comme fondée au jour de sa publication, CXP Holding ne garantit pas la justesse, la complétude et la pertinence de ses informations.
ÉTUDE D'OPPORTUNITÉ Date :19/11/2009
I.CONTEXT ET ENJEUX
Après des années de construction du Système d'Information,les couches liées à la sécurité se sont juxtaposées.Les composants en sont hétérogènes, dispersés et constituent finalement un système ingérable et coûteux. Le système souffre également d'un manque de réactivité, par exemple, à l'occasion de l'arrivée d'un nouveau salarié. En parallèle, pour répondre à des objectifs de transparence financière ou de protection des personnes, on observe uncontexte réglementaire de plus en plus pesantmais aussi structurant. Enfin, l'informatisation des activités mais aussi la mondialisation, ont donné à l'information unedimension stratégiquede plus en plus grande. L'information est ainsi devenue un actif majeur qui doit être accessible par les utilisateurs légitimes mais aussi protégé de manière appropriée et permanente.
1.UN CONSTAT PEU FAVORABLELes différents points relevés par les spécialistes de la sécurité informatique concernant le Système d'Information sont les suivants : une hétérogénéité des sources d'information, un cloisonnement des mondes techniques/sécurité et applicatif, des comptes doubles et des fantômes, pas de gestion globale des accès aux applications, des mots de passe faciles à pirater. Pour illustrer les défauts ou les coûts liés à un système de gestion insuffisant dans le domaine des identités et des accès, différents indicateurs sont fournis par les uns et les autres : 35 % du temps d'un help desk est mobilisé sur des problèmes de mot de passe, la réinitialisation d'un mot de passe coûte 20 $, il faut 12 jours en moyenne pour créer les accès d'un nouvel utilisateur, 30 à 60 % des comptes sont invalides, ... Des études sont également réalisées, comme celle qui a été commanditée par RSA, réalisée par IDC en 2009, qui concluait que lesinfractions accidentelles étaientpotentiellement plus dangereuses queles attaques malveillantes, mettantainsi l'accent sur la nécessité d'une gestion interne rigoureuse et d'une formation sérieuse des salariés de l'entreprise.
/….
Copyright le CXP, 20094/5Tous droits réservés. Reproduction ou distribution sous quelque forme que ce soit est expressément interdite sauf permission écrite préalable de CXP Holding. Nos informations sont livrées telles quelles et sans garanties. Bien que l’information soit considérée comme fondée au jour de sa publication, CXP Holding ne garantit pas la justesse, la complétude et la pertinence de ses informations.
Documents CXP associés : SERVICE EXPERTITSM - Gestion des services informatiques Présentation du thème Documents à l'unité
EXTRAIT
Copyright le CXP, 2009 Tous droits réservés. Reproduction ou distribution sous quelque forme que ce soit est expressément interdite sauf permission écrite préalable de CXP Holding. Nos informations sont livrées telles quelles et sans garanties. Bien que l’information soit considérée comme fondée au jour de sa publication, CXP Holding ne garantit pas la justesse, la complétude et la pertinence de ses informations.
5/5