Outil de modèle de maturité IAM

V1.0, 22.07.2013

But
Cet outil de questionnaire est utilisé principalement à des fins d’auto-évaluation (self-assessment) afin de déterminer la maturité de l'infrastructure IAM.
Il permet en outre de visualiser l’écart en évaluant les situations réelle et visée.

Degré de maturité selon Cobit

Les réponses aux questions des colonnes ACTUEL et CIBLE doivent être exprimées par les degrés de maturité suivants:

- Non pertinent La question n'est pas pertinente pour le champ de considération

- Inexistant Les processus de gestion ne sont pas appliqués
- Initié, ad hoc Les processus sont ad-hoc et non organisés
- Réitérable (appliqué de façon répétée) Les processus suivent un modèle régulier
- Défini Les processus sont documentés et communiqués
- Géré, mesuré Les processus sont surveillés et mesurés
- Optimisé, intégré Les Good Practices sont appliquées et automatisées

Références
[1] COBIT Maturity Model
[2] COBIT-Standard 4.1
[3] E-Gov B2.06 Architecture de solution IAM
[4] eCH-0107 Principes de conception IAM
[5] eCH-0170 Q-Model eID (STORK QAA)
http://www.isaca.org/Journal/Past-Issues/2003/Volume-3/Documents/jpdf033-COBITMaturityModel.pdf
http://www.isaca.org/Knowledge-Center/cobit/Documents/CobiT_4.1.pdf
http://www.ech.ch/fr/vechweb/page?p=page&site=/Gremien/Fachgruppen/IAM/Dokumente
http://www.ech.ch/vechweb/page?p=dossier&documentNumber=eCH-0107&documentVersion=1.00
http://www.ech.ch/share/page/site/IAM/documentlibrary#filter=path|%2F03%2520Ergebnisse%2FeCH-0170%

Questionnaire
0 Renseignements généraux

Nom de l'organisation
Champ de considération

Période de considération

Personne responsable

1 Governance

1.1 Stratégie IAM, IAM-Management

a) Une stratégie IAM s’inscrit-elle dans la stratégie informatique et est-elle mise à jour
b) Les rôles IAM et responsabilités sont-ils définis et assumés
c) Les processus d’IAM Management sont-ils définis et mis en œuvre
d) L’architecture IT IAM est-elle documentée et tenue à jour
e) Existe-t-il une Roadmap pour le développement IAM et l’amélioration et fait-elle l’objet de mises à jour
f) Le budget nécessaire aux investissements IAM, à la mise à jour et au fonctionnement IAM est-il assuré
g) La direction connaît-elle le rapport coûts-avantages IAM

1.2 Politiques relatives à la direction et l’organisation

a) Le cadre juridique IAM avec les ordonnances nécessaires est-il connu et documenté
b) Les responsabilités et politiques de l’organisation IAM sont-elles bien en place et tenues à jour
c) Les directives et règles sémantiques IAM sont-elles bien en place et tenues à jour
d) Les directives et règles techniques IAM sont-elles bien en place et tenues à jour

1.3 Politiques relatives aux identités, à leur identification et à leur administration.

a) Les directives et règles pour l’attribution des identités sont-elles bien en place et tenues à jour
b) Les directives et règles pour l’identification des identités sont-elles bien en place et tenues à jour
c) Les directives et règles pour l’administration des identités sont-elles bien en place et tenues à jour
d) Les directives et spécifications correspondent-elles aux normes telles que Cobit, ISO 2700x, eCH...
e) Une SoD (Segregation of Duty) cohérente a-t-elle été fixée pour les applications
f) A-t-on défini une SoD cohérente pour l'administration IAM et système

1.4 Politiques relatives aux accès et autorisations d'accès aux ressources informatiques
 a) Les directives et règles relatives à l'accès aux ressources informatiques physiques sont-elles en place et à jour
b) Les directives et règles relatives aux droits d'accès aux ressources sont-elles en place et à jour
c) Les directives et règles correspondent-elles à des normes, telles Cobit, ISO 2700x, …

2 Risk Management

2.1 Perception de la gestion des risques IAM

a) la procédure d’IAM Risk Management a-t-elle été établie et est-elle appliquée
b) Y a-t-il des analyses de risques prévues
c) Y a-t-il des analyses des besoins de protection relatives à l’IAM spécifiées et prises en compte pour les applications

3 Compliance

3.1 Droit, contrats et organisation de direction de l'IAM

a) Les conditions-cadres juridiques de l’IAM sont-elles respectées
b) Les accords contractuels de l’IAM, dont les SLA, sont-ils respectés
c) L’IAM Management est-il mis en œuvre selon la stratégie informatique et les règles informatiques opérationnelles

3.2 IAM Process Monitoring

a) Les directives relatives à la surveillance des processus IAM sont-elles en place et à jour
b) La surveillance est-elle mise en œuvre, fait-elle l’objet de rapports et de contrôles

3.3 IAM Auditing

a) Les directives relatives à l’IAM Auditing sont-elles en place et à jour
b) L’Auditing est-il mis en œuvre et fait-il l’objet de rapports conformément à ce qui a été prévu
4 Identity and Access Management

4.1 Processus opérationnels d’IAM Management

a) Existe-t-il des directives et règles opérationnelles relatives aux processus IAM et sont-elles respectées
b) Quel est le niveau des processus opérationnels pour l’IAM System Management
c) Quel est le niveau des processus opérationnels de Lifecycle des identités et Credentials
d) Quel est le niveau des fonctionnalités en libre-service pour les identités et Credentials
e) Existe-t-il des processus permettant de vérifier périodiquement les autorisations attribuées

4.2 Identity and Role/Attribute Management

a) Les règles relatives à l’enregistrement et à la gestion des identités sont-elles respectées
b) Les règles sémantiques d'IAM (identificateurs, attributs, etc.) sont-elles respectées
c) La qualité des identités est-elle définie et assurée selon une norme convenue
e) Le Role/Attribute & Rule Management prescrit (y compris SoD) est-il est mis en œuvre

4.3 IAM-Management Infrastructure

a) La Configuration Management de l'infrastructure IAM est-elle mise en œuvre
b) Existe-t-il un système de répertoire centralisé pour la gestion des identités et des rôles/attributs
c) Quel est le niveau de Provisioning automatique via le répertoire central des identités
d) Le fonctionnement de l'infrastructure IAM selon les SLA et les OLA est-il garantie

4.4 Federated IAM

a) Existe-t-il des règles relatives aux identités et Trusts
b) Quel est le niveau de compatibilité de l'infrastructure IAM avec les Identity Federations
c) Existe-t-il des SLA relatifs à l'utilisation des identités fédérales et de leurs Trusts
d) Quel est le niveau d'assurance de la sécurité des identités et infrastructures concernant l’ID Federation

4.5 IAM-Monitoring opérationnel

a) Quel est le niveau de surveillance IAM opérationnelle et quels sont les rapports requis à cet égard
b) Quel est le niveau de communication des résultats de la surveillance IAM et du contrôle des mesures prises
5 Enregistrement et authentification

5.1 Règles d’enregistrement et d’authentification

a) Existe-t-il des règles relatives à l'enregistrement des catégories d'utilisateurs
b) Existe-t-il des règles relatives à la force de l'authentification, découlant du besoin de protection de la ressource
c) Les règles relatives à la détermination du niveau de qualité sont-elles conformes à une norme (STORK-QAA, eCH, ...)
d) Existe-t-il des règles d'authentification pour l'utilisation du Federated IAM

5.2 Sécurité de l'enregistrement et de l'authentification.

a) Quel est le niveau de vérification des critères de qualité requis lors de l'enregistrement
b) Quel est le niveau de vérification des critères de qualité requis pour la délivrance des Credentials
c) Quel est le niveau d'assurance des critères de qualité requis pour l'authentification
d) Quel est le niveau d'assurance de la qualité de l'authentification lors de l'utilisation de Federated IAM

5.3 Infrastructure pour l'enregistrement et l'authentification

a) Existe-t-il une infrastructure de Directory centralisé pour l'identification et l'authentification du Runtime
b) Quel est le niveau d’implémentation SSO (y compris le Backend Attribute Exchange)

5.2 Monitoring de l'enregistrement et de l'authentification.

a) Existe-t-il un logging pour les enregistrements et les authentifications
b) Existe-t-il des règles et processus relatifs aux alarmes en cas de Login incorrect

6 Autorisation

6 Règles pour l’autorisation de l’accès aux ressources

 a) Existe-t-il des règles relatives à l'autorisation pour les accès aux ressources
b) Existe-t-il des règles relatives à l'autorisation en cas d'utilisation de Federated IAM (lois, SLA, ....)

6.2 Sécurité de l’autorisation

a) Quel est le niveau de sécurité et de solidité du système d'autorisation
b) Quel est le niveau d'assurance de la qualité requise pour l'autorisation
c) Quel est le niveau de sécurisation de l'accès aux ressources (Session Mgmt, chiffrement, etc.)

6.3 Infrastructure de l'autorisation

a) Quel est le niveau d'implémentation de l’autorisation grossière de Runtime au moyen d'un répertoire central
b) Quel est le niveau d'implémentation de l’autorisation grossière de Runtime via l’IAM Federation

6.4 Monitoring pour l'autorisation

a) Existe-t-il un Logging pour les autorisations
b) Existe-t-il un reporting d'autorisation à l'attention du responsable des applications
 Non pertinent - -
Inexistant 0 0
Initié, ad hoc 1 1
Réitérable 2 2
Défini 3 3
Géré, mesuré 4 4
Optimisé, intégré 5 5

aturityModel.pdf

Version=1.00
ebnisse%2FeCH-0170%2F1.0&page=1
RÉEL Degré de maturité RÉEL
Remarque/commentaire de l’exécutant CIBLE

Default: 3
#UNVOLLST 3.0
#ISTLEER 3
#ISTLEER 3
#ISTLEER 3
#ISTLEER 3
#ISTLEER 3
#ISTLEER 3
#ISTLEER 3

#UNVOLLST 3.0
#ISTLEER 3
#ISTLEER 3
#ISTLEER 3
#ISTLEER 3

#UNVOLLST 3.0
#ISTLEER 3
#ISTLEER 3
#ISTLEER 3
#ISTLEER 3
#ISTLEER 3
#ISTLEER 3

#UNVOLLST 3.0
place et à jour #ISTLEER 3
#ISTLEER 3
#ISTLEER 3

Moyenne: #UNVOLLST Moyenne: 3.0

RÉEL Degré de maturité RÉEL

Remarque/commentaire de l’exécutant CIBLE

Default: 3
#UNVOLLST 3.0
#ISTLEER 3
#ISTLEER 3
ur les applications #ISTLEER 3

Moyenne: #UNVOLLST Moyenne: 3.0

RÉEL Degré de maturité RÉEL

Remarque/commentaire de l’exécutant CIBLE

Default: 3
#UNVOLLST 3.0
#ISTLEER 3
#ISTLEER 3
opérationnelles #ISTLEER 3

#UNVOLLST 3.0
#ISTLEER 3
#ISTLEER 3

#UNVOLLST 3.0
#ISTLEER 3
#ISTLEER 3
 Moyenne: #UNVOLLST Moyenne: 3.0

RÉEL Degré de maturité RÉEL

Remarque/commentaire de l’exécutant CIBLE

Default: 3
#UNVOLLST 3.0
#ISTLEER 3
#ISTLEER 3
#ISTLEER 3
#ISTLEER 3
#ISTLEER 3

#UNVOLLST 3.0
#ISTLEER 3
#ISTLEER 3
#ISTLEER 3
#ISTLEER 3

#UNVOLLST 3.0
#ISTLEER 3
#ISTLEER 3
#ISTLEER 3
#ISTLEER 3

#UNVOLLST 3.0
#ISTLEER 3
#ISTLEER 3
#ISTLEER 3
#ISTLEER 3

#UNVOLLST 3.0
#ISTLEER 3
ures prises #ISTLEER 3
 Moyenne: #UNVOLLST Moyenne: 3.0

RÉEL Degré de maturité RÉEL

Remarque/commentaire de l’exécutant CIBLE

Default: 3
#UNVOLLST 3.0
#ISTLEER 3
e la ressource #ISTLEER 3
TORK-QAA, eCH, ...) #ISTLEER 3
#ISTLEER 3

#UNVOLLST 3.0
#ISTLEER 3
#ISTLEER 3
#ISTLEER 3
#ISTLEER 3

#UNVOLLST 3.0
#ISTLEER 3
#ISTLEER 3

#UNVOLLST 3.0
#ISTLEER 3
#ISTLEER 3

Moyenne: #UNVOLLST Moyenne: 3.0

RÉEL Degré de maturité RÉEL

Remarque/commentaire de l’exécutant CIBLE

Default: 3
#UNVOLLST 3.0
 #ISTLEER 3
#ISTLEER 3

#UNVOLLST 3.0
#ISTLEER 3
#ISTLEER 3
#ISTLEER 3

#UNVOLLST 3.0
#ISTLEER 3
#ISTLEER 3

#UNVOLLST 3.0
#ISTLEER 3
#ISTLEER 3

Moyenne: #UNVOLLST Moyenne: 3.0

IAM Maturity Model
Questions basées sur: eCH IAM Maturity Model
Mise en œuvre: methologica GmbH
V1.0, 22.07.2013

Evaluation

Modalité Degré de maturité réelDegré de maturité nominal

Governance #UNVOLLST 3.0
Risk Management #UNVOLLST 3.0
Compliance #UNVOLLST 3.0
Identity & Access Management #UNVOLLST 3.0
Enregistrement et authentification #UNVOLLST 3.0
Autorisation #UNVOLLST 3.0

Chart Title

Governance

Autorisation 4 Risk Management

2
0

Enregistrement et authentification Compliance

Identity & Access Management

Degré de maturité réel

Degré de maturité nominal