La Gestion et gouvernance des Identités et des Accès (IGA) a pour objectif de donner les bons droits informatiques aux bonnes personnes, au bon moment et pour les bonnes raisons. C’est un logiciel permettant de renforcer la sécurité du système d’information, d’automatiser la gestion des habilitations et de répondre aux besoins d’audits règlementaires.
Les Groupes composés de plusieurs filiales font face à un problème d’architecture informatique : l’intégration des IGA de leurs filiales pour la mise en commun des ressources applicatives.
Ce besoin est particulièrement prégnant dans les domaines de la banque et de l’assurance, fortement soumis à la réglementation et qui se doivent garantir les plus hauts niveaux de cyber sécurité.
Chaque entité dispose d’applications privées et d’applications qu’elle partage avec les autres utilisateurs du groupe. Par exemple, la filiale Trading d’une banque met à disposition une application de produits boursiers auprès du réseau des banques de détail.
Le besoin peut se résumer ainsi :
- Construire ou se synchroniser avec un référentiel des identités du Groupe.
- Publier auprès des autres entités la liste de ses propres applications partagées ;
- Démarrer une demande d’accès pour un utilisateur dans une instance IGA et la finir dans une autre instance IGA sur un réseau différent ;
- Limiter le champ d’action d’un utilisateur à son périmètre, mais ouvrir ce périmètre à des ressources et des utilisateurs qui sont hors de son propre réseau ;
- Garantir le respect de la conformité RGPD entre les instances ;
- Permettre aux équipes de support, de sécurité et d’audit transversales d’avoir une vision consolidée des différentes instances IGA ;
- Mener des campagnes de revues des droits (recertifications) sur les habilitations croisées
- Appliquer les règles de séparation des doits (SoD) sur des instances IGA distinctes et des applications distinctes ;
La réussite d’un tel projet passe avant tout par le choix de la bonne technologie.
En effet, la complexité du problème est telle qu’elle ne peut pas être traitée via quelques imports/ exports de données ou avec des développements « usine à gaz » réalisés par un intégrateur. Il faut une architecture logicielle conçue nativement pour adresser ce besoin.
La solution IGA doit être capable de différencier les populations (celle de l’entité source, celles en provenance des autres entités). L’IGA doit être capable de différencier les ressources (celles qui sont locales à l’entité et celles qui sont ouvertes aux autres utilisateurs). La solution IGA doit être capable, pour chaque permission, de connaitre son statut (demandé, validé, refusé, provisionné, en erreur…). La solution IGA doit être capable de proposer différentes politiques de gestion et de sécurité qui vont s’appliquer spécifiquement à chaque cas d’usage. La solution IGA doit permettre d’appliquer des règles de contrôles et de réaliser des campagnes de recertification sur l’ensemble des populations et des ressources.
C’est uniquement avec ces fondamentaux techniques qu’il est possible de synchroniser les différentes instances IGA afin de proposer aux utilisateurs métiers une expérience simple et efficace, et d’offrir aux gestionnaires applicatifs ou de sécurité, le niveau d’information et l’outillage qu’ils sont en droit d’attendre.
Usercube Identity Governance v5 est un logiciel IGA de dernière génération permettant d’adresser cette problématique en mode SaaS et en mode On Premise.
Sur une architecture logicielle entièrement modulaire, à base de micro-services, Usercube v5 décompose tous les aspects de la problématique IGA.
En s’appuyant sur un moteur de règles très puissant et son API Rest, Usercube peut nativement synchroniser des dizaines d’instances IGA pour mettre en commun plusieurs centaines de milliers d’utilisateurs avec des millions de permissions sur des milliers d’applications.
La conception de Usercube v5 décompose toutes les étapes du cycle de vie de l’identité, toutes les étapes de la gestion des droits et toutes les étapes du provisioning automatiques des comptes et permissions. Il est ainsi aisé, en synchronisant les instances Usercube, de faire une demande d’un côté pour l’accepter ou la refuser de l’autre, tout en informant l’émetteur du statut de sa demande.
Enfin la certification des accès est possible de façon transverse : un manager peut, sur un seul écran, confirmer les accès de ses équipes pour les applications de son entité mais aussi pour les applications des autres entités.
Par Charles DUPONT, cofondateur de USERCUBE.