Académique Documents
Professionnel Documents
Culture Documents
avec la contribution de
Ce document est la propriété intellectuelle du Forum des Compétences
Dépôt légal chez Logitas. Reproduction totale ou partielle interdite
Les 6 piliers de la gestion des identités et des accès 2 Forum des Compétences
Février 2014
Sommaire
INTRODUCTION ..................................................................................................................................... 4
FICHE 1 : GOUVERNANCE.................................................................................................................... 6
L’ESSENTIEL ...................................................................................................................................... 6
PRATIQUES CONSTATEES ................................................................................................................... 6
POINTS D’ATTENTION .......................................................................................................................... 7
L’IAM : un véritable processus d’entreprise ............................................................................. 7
L’atout d’un bon sponsor .......................................................................................................... 7
L’apport d’une bonne communication ...................................................................................... 7
L’adéquation entre l’organisation de l’établissement et les processus d’IAM .......................... 7
GLOSSAIRE .......................................................................................................................................... 21
Les 6 piliers de la gestion des identités et des accès 3 Forum des Compétences
Février 2014
Introduction
Dans un contexte où les frontières classiques du SI appartiennent au passé, la gestion des identités et
des accès prend toute son importance :
accès au SI à partir de points multiples ;
accès à partir de nouveaux équipements : tablettes, smartphones …
utilisation de nouveaux services : cloud computing…
intégration d’utilisateurs externes à l’entreprise : partenaires, fournisseurs..
Cette importance est renforcée par les obligations réglementaires ou légales qui s’imposent aux
établissements des mondes financiers et de l’assurance :
mesure et réduction de l’exposition à certains risques opérationnels (Bale II) ;
protection des données à caractère personnel (Loi Informatique et Libertés) ;
intégrité des données de reporting financier (Loi de la Sécurité Financière).
C’est dans ce contexte que le groupe de travail du Forum des Compétences a souhaité orienter sa
réflexion. Ce document présente la synthèse de ces débats.
Il a pour objectif de présenter les principes fondamentaux, les pratiques constatées dans les
établissements et les points d’attention pour chacun des six piliers de la gestion des identités et des
accès :
gouvernance les identités et des accès ;
identification de l’utilisateur ;
authentification de son accès au Système d’Information (SI) ;
habilitation aux différentes ressources du SI ;
implémentation d’outil et de service pour gérer les identités et des habilitations ;
contrôle des procédures de gestion et de conformité des identités et des droits accordés.
Le Forum des Compétences a déjà publié deux autres documents « habilitation » et
« authentification » qui apportent une vue plus détaillée sur ces deux domaines.
Dans la suite du document, les termes « gestion des identités et des accès » ou « IAM » (Identity and
Access Management) seront utilisés indifféremment.
Les 6 piliers de la gestion des identités et des accès 4 Forum des Compétences
Février 2014
Le groupe de travail a été animé par Marc de VALLIER de LA BANQUE POSTALE, assisté par la
société ATHEOS représentée par Françoise LE DAIN.
Les membres du groupe de travail qui ont participé aux différents échanges étaient :
Nicola ANDREU - Groupe BNPPARIBAS
Patrick BEAUFRERE – LA BANQUE POSTALE
Xavier BOIDART – CA-PACIFICA
Patrick BRUGUIER - BANQUE DE FRANCE
Christophe CHANCEL - BANQUE DE FRANCE
Olivier CHAPRON - Groupe SOCIETE GENERALE
Jean-Paul COUROUGE – Groupe CREDIT AGRICOLE
Jean-Yves COUTTON - LCL
Patricia DELBECQUE - CA-INDOSUEZ Private Banking
Gil DELILLE – Groupe CREDIT AGRICOLE
Jean-François DIDIER - BRED
Henri GUIHEUX - SCOR
Mathias LORILLEUX - SCOR
Les 6 piliers de la gestion des identités et des accès 5 Forum des Compétences
Février 2014
Fiche 1 : GOUVERNANCE
L’essentiel
Le modèle d’organisation en matière de gestion des identités et des accès structure les relations entre
les différentes parties prenantes de l’entreprise. La gouvernance influe sur la répartition des tâches,
des responsabilités, des pouvoirs et des modes de communication.
Une note de gouvernance en matière d’IAM définit :
« Ce qui est fait », en adéquation avec les besoins de l’entreprise (couverture des risques
majeurs, apports de valeurs pour les Métiers …) ;
« Comment cela est fait », en précisant les priorités et les règles à appliquer ;
« Comment les décisions sont prises », en fixant les rôles et les responsabilités des
intervenants et en identifiant les instances de décision ;
« Quels contrôles et reporting sont nécessaires », en adéquation notamment avec les
contraintes réglementaires.
Une politique de gestion des identités et des accès, souvent intégrée au référentiel sécurité de
l’entreprise, précise les attendus pour les cinq thématiques majeures de l’IAM :
identification : « dire qui l’on est » ;
authentification : « prouver qui l’on est » ;
habilitation : « accorder les bons droits à la bonne personne » ;
implémentation : « outiller la gestion des identités et des accès » ;
contrôle : « vérifier l’application des procédures de gestion et la conformité des identités et des
droits accordés ».
Pratiques constatées
En ce qui concerne l’organisation mise en place, les pratiques constatées varient en fonction de
l’implantation des établissements et du niveau de maturité atteint en matière de gestion des identités
et des accès.
Le choix constaté pour le modèle de gouvernance repose principalement sur :
la dimension nationale ou internationale ;
le nombre de personnes accédant au SI ;
les besoins en termes d’agilité en regard des évolutions (réorganisation / acquisition) ;
la volonté de standardiser / urbaniser la gestion des identités et des accès ;
les besoins en termes de contrôle et de reporting.
Une politique de gestion des identités et des accès est généralement définie et un sponsor de haut
niveau est souvent identifié.
Les 6 piliers de la gestion des identités et des accès 6 Forum des Compétences
Février 2014
Points d’attention
Les 6 piliers de la gestion des identités et des accès 7 Forum des Compétences
Février 2014
Autonomie de certaines activités selon des critères géographiques ou d’appartenance à un
Métier.
Cette approche permet une adaptation des pratiques aux besoins spécifiques rencontrés.
Elle peut être adoptée par exemple pour la construction des profils Métier au plus près des
sachants.
Combinaison des deux précédentes approches pour certaines activités.
Ceci permet de répondre à des attendus différents pour une même activité ou une partie
d’activité.
Elle peut être adoptée par exemple pour les contrôles. Des actions de contrôle peuvent être
définies et mises en œuvre localement, en toute autonomie, en effectuant un reporting
également local. En complément des contrôles peuvent être fixés au niveau central et menés
localement, en effectuant un reporting vers les différents niveaux de l’établissement.
Le choix d’adopter l’un ou l’autre des modèles peut être motivé par des éléments tels que :
le gain de valeur pour les Métiers grâce à une meilleure interopérabilité entre entités ou avec
des tiers ;
l’agilité face aux mutations des systèmes d’information telles que la mobilité, le cloud
computing, les applications en mode SaaS …
l’intégration des fusions / acquisitions d’entreprises.
Les 6 piliers de la gestion des identités et des accès 8 Forum des Compétences
Février 2014
Fiche 2 : IDENTIFICATION
« S’identifier, c’est dire qui l’on est »
L’essentiel
L’enjeu de l’identification est de fournir une identité de référence fiable pour une personne.
Une identité est composée d’un ensemble d’informations caractérisant une personne. Elle est
associée à un ou plusieurs identifiants et à un ensemble d’attributs (nom, prénom, adresse,
téléphone, compte …) stockés sur le SI.
Aujourd’hui, la réalité du SI montre qu’il y a une multiplication de ces sources d’informations due à ;
l’existence de différentes catégories d’utilisateur (salarié, prestataire, fournisseur …) ;
l’hétérogénéité des applications et des incompatibilités des structures (annuaire LDPAP, Active
Directory, SGBD, fichiers CSV...).
La constitution d’un annuaire de référence est importante pour faciliter la mise en place d’une gestion
des identités et des accès efficace.
Pratiques constatées
En ce qui concerne la gestion de l’identité, la distinction entre les notions d’identité et d’identifiant est
généralement bien appréhendée et le rattachement des différents identifiants à une identité unique est
un objectif commun.
Les sources d’identité sont souvent diverses (annuaire RH, base des achats pour les prestataires …).
Pour les établissements de grande taille, ces identités sont en général regroupées dans un annuaire
central de référence, alimenté périodiquement par les annuaires des différentes entités.
Le matricule RH est souvent l’identifiant de référence des personnels internes. Pour les personnels
externes, l’identifiant porte parfois un élément distinctif de leur état.
Il existe quelquefois des identifiants multiples rattachés à une même identité avec des nomenclatures
diverses héritées de l’histoire de l’établissement ou bien de l’existence d’applicatifs imposants des
contraintes de constitution.
La technologie dominante pour les référentiels d’identité est l’annuaire LDAP.
Points d’attention
Les 6 piliers de la gestion des identités et des accès 9 Forum des Compétences
Février 2014
Afin de fédérer et de synchroniser les informations contenues dans les différents annuaires, il peut
être utile de mettre en place un méta-annuaire, qui devient alors l’annuaire « pivot ».
Celui-ci a vocation à répliquer les données provenant de sources éparpillées sur le SI vers un
référentiel central et réciproquement, de répercuter toute modification faite dans le référentiel central
vers les sources de données.
Le méta-annuaire permet d’obtenir une vue unifiée et agrégée des identités et des principaux attributs.
Sa mise en œuvre nécessite de définir des modèles de données et des règles de synchronisation. La
conception du modèle requiert de se livrer d’abord à une cartographie des données d’identité de
l’entreprise pour trouver celles qui sont les plus pertinentes et qui ont un niveau de qualité suffisant
(exhaustivité, fiabilité, pertinence du sens).
Ainsi, on ira prendre le nom d’un salarié dans l’application de gestion des ressources humaines, son
adresse e-mail dans l’annuaire du système de messagerie ou son numéro de téléphone dans la base
de données du PABX.
Ce travail de cartographie peut être accompagné d’un travail de nettoyage des données inexactes,
obsolètes, incomplètes.
Les 6 piliers de la gestion des identités et des accès 10 Forum des Compétences
Février 2014
Fiche 3 : AUTHENTIFICATION
« S’authentifier, c’est prouver qui l’on est »
L’essentiel
L’enjeu de l’authentification est de garantir la légitimité d’un accès à une ressource.
Cette preuve est donnée par un moyen d’authentification qui repose sur des éléments de natures
différentes :
« ce que je connais ».
Il s’agit d’un secret que l’utilisateur communique pour prouver son identité : un mot de passe, un
code PIN, une passphrase, un « défi/réponse » …
« ce que je possède ».
Il s’agit d’un dispositif de sécurité détenu par l’utilisateur qui permet de générer un authentifiant
afin de prouver son identité : certificat numérique, token, carte à grille de code …
« ce que je suis ».
Il s’agit d’une caractéristique propre à l’utilisateur : son empreinte digitale, l’image de la paume
de sa main, son iris …
Il peut être mis en place différents services facilitant l’authentification :
service commun d’authentification (SSO - Single Sign On) qui facilite l’authentification de
l’utilisateur aux ressources du SI en propageant la permission d’accès obtenue ainsi que le
niveau d’authentification (mot de passe, authentification forte) vers les ressources du SI.
propagation des identités qui pousse vers des ressources du SI l’identité de l’utilisateur pour
qu’il s’authentifie ensuite ;
fédération d’identité, entre les entités d’un établissement ou bien au-delà de l’établissement,
qui permet en s’authentifiant auprès d’un premier SI d’accéder également aux SI situés dans le
cercle de confiance auquel il appartient (partenaire …).
Ce dispositif nécessite une étude approfondie avant sa mise en œuvre notamment en ce qui
concerne la constitution des cercles de confiance.
Pratiques constatées
Les moyens d’authentification utilisés par les établissements vont de l’authentification standard par
« mot de passe » à l’authentification forte par « cartes à puce ».
L’authentification standard reste généralement la plus répandue.
L’adoption d’un support d’authentification de type carte à puce multifonctions est souvent motivée par
l’atteinte de deux objectifs :
le renforcement du niveau de sécurité ;
le confort d’usage apporté à l’utilisateur.
Les 6 piliers de la gestion des identités et des accès 11 Forum des Compétences
Février 2014
Quand cela est possible et que les approches techniques le permettent, l’adoption du SSO est
souvent privilégiée.
La mise en place de solution de SSO est inégale. Il s’agit souvent de solution couplée à un annuaire
(notamment AD) et moins fréquemment un portail de SSO gérant une base d’authentifiant.
Points d’attention
Les 6 piliers de la gestion des identités et des accès 12 Forum des Compétences
Février 2014
Fiche 4 : MODÈLE D’HABILITATION
« Habiliter, c’est accorder les bons droits à la bonne personne »
L’essentiel
Des règles fondamentales existent en matière d’habilitation :
chaque application doit être rattachée à un propriétaire d’application ;
un processus de validation des habilitations doit être défini ;
une habilitation doit respecter les principes de moindre privilège et de séparation des fonctions.
Pour faciliter l’attribution des habilitations, il est possible de définir des modèles d’habilitation.
Le principal modèle d’habilitation utilisé actuellement en entreprise est le modèle RBAC (Role-Based
Access Control) que repose sur la définition de rôles (ou profils) qui établissent le lien en matière
d’habilitation entre les utilisateurs et les ressources du SI.
Les utilisateurs qui exercent des fonctions analogues appartiennent à un même rôle Métier. À ce rôle
Métier sont associées des autorisations d'accès aux différentes ressources du SI (applicatives ou
techniques) qui leurs sont nécessaires.
L’élaboration des matrices de rôles est majoritairement du ressort des managers des directions
Métier car ces derniers sont à même d’exprimer les besoins d’accès aux applications pour leurs
collaborateurs.
En parallèle, l’élaboration d’une matrice d’exclusion de rôles va faciliter la prise en compte de la
séparation des fonctions et l’identification des « combinaisons toxiques » d’habilitations. Il est
nécessaire que les responsables d’applications et la fonction contrôle participent à l’élaboration de
cette matrice afin d’assurer une transversalité inter-métiers.
Le modèle s’appuie donc sur plusieurs niveaux :
N1 – habilitation technique : droit d’accès à une ressource technique ;
N2 – profil applicatif : regroupement d’habilitations techniques pour une même ressource ;
N3 – rôle Métier : regroupement de rôles applicatifs et de services techniques (par exemple,
l’impression bureautique) sur des ressources utilisés pour exercer une fonction.
Le modèle RBAC a ses limites, par exemple lorsque l’utilisateur ne remplit pas la même fonction selon
le lieu géographique où il se trouve (par exemple un conseiller exerçant sur plusieurs agences dans
fonctions différentes) ou selon sa séniorité dans le Métier.
Des modèles d’habilitations proches du modèle RBAC existent : ORBAC (Organization based Acces
Control) par exemple qui permet en plus d’autorisation de spécifier des interdictions et des obligations
et de s’appuyer sur des notions de contexte.
Plusieurs approches sont possibles pour la modélisation des profils Métier, dont les deux suivantes :
partir des habilitations techniques communes à un groupe d’utilisateur accédant aux mêmes
ressources pour définir les profils applicatifs puis les rôles Métier ;
partir des ressources et les regrouper afin définir des profils applicatifs puis des rôles Métier qui
seront assignés aux utilisateurs.
Les 6 piliers de la gestion des identités et des accès 13 Forum des Compétences
Février 2014
Quelques soit le modèle d’habilitation retenu, il doit :
prendre en compte les différents cas de figure existant pour un domaine Métier tout en limitant
au raisonnable le nombre des rôles Métier définis ;
traduire dans un langage intelligible pour les Métiers ces différents cas de figure pour leur
permettre de les attribuer en toute connaissance de cause ;
faciliter l’obtention d’une vue transverse des droits d’accès aux ressources du SI ;
prendre en compte les évolutions des habilitations d’un l’utilisateur au fil du temps ;
être réactif aux évolutions telles que l’intégration de nouvelles applications ou la réorganisation
de l’entreprise.
Pratiques constatées
Le modèle RBAC est adopté par la majorité des établissements. L'application du modèle est plus
mature dans le monde " Métier " que dans celui de la " bureautique " ou de " l'informatique ".
Les principales difficultés rencontrées sont :
le passage d’une vision technique des habilitations à une vision Métier ;
le nombre de profils Métier qui peut devenir très important et donc difficilement gérable ;
la gestion des habilitations sur les données non structurées (GED …) ;
la définition d’une matrice d’exclusion ;
le retrait des « combinaisons toxiques » d’habilitations.
Points d’attention
Les 6 piliers de la gestion des identités et des accès 14 Forum des Compétences
Février 2014
Les habilitations aux données non structurées
L’octroi d’habilitation à partir de rôle Métier est adapté aux données structurées produites par des
applications Métier et contenues dans des bases de données.
Il en va autrement des données non structurées produites par les outils bureautiques et le plus
souvent stockées sur des espaces partagés ou dans des outils de type messagerie, travail de
collaboratif… Et pourtant certaines de ces données non structurées peuvent avoir une valeur
stratégique pour l’entreprise.
Les accès aux fichiers qui les contiennent sont en général liés à des permissions d’accès définies sur
des espaces collaboratifs, des répertoires voire sur les fichiers eux-mêmes.
Ces permissions d’accès sont gérées soit pas un exploitant, soit par des collaborateurs Métier
différents pour chacun des espaces créés. Bien souvent, les droits d’accès sont mis en place sans
avoir une réelle connaissance de la sensibilité des données qui se trouvent ou se trouveront un jour
dans ces espaces.
Il va donc être nécessaire d’obtenir une vue globale des habilitations sur ces données pour mieux les
gérer :
quel propriétaire pour ces données ?
quels Métiers ? pour quelles fonctions ?
quels utilisateurs et quel groupe d’utilisateurs ?
qui a droit à quels espaces partagés ?
quels accès ? à quels moments ? pour quelles actions ?
quel niveau de sensibilité des informations contenues ?
Seule cette connaissance permettra d’attribuer les droits au juste nécessaire. Il sera de plus
nécessaire d’informer les utilisateurs sur le niveau de classification des données qu’ils pourront
déposer dans ces espaces.
Les 6 piliers de la gestion des identités et des accès 15 Forum des Compétences
Février 2014
Fiche 5 : IMPLÉMENTATION
« Implémenter, c’est mettre en place les outils et services facilitant l’efficacité opérationnelle »
L’essentiel
L’implémentation consiste à mettre en place des outils et des services qui facilitent par une
automatisation, une industrialisation, une centralisation … la gestion des cycles de vie des identités et
des accès.
Pour les Métiers, les principaux apports attendus sont :
la simplification de la validation des demandes d’habilitation aux ressources du SI ;
la production d’états, automatiquement et régulièrement, permettant la vérification des
habilitations accordées.
Pour les utilisateurs, ces outils et services permettent, par exemple :
la mise à disposition d’une interface de demandes d’habilitation ;
la centralisation de l’authentification (SSO) pour certaines ressources du SI
la possibilité de réinitialisation des mots de passe en self-service ;
la recherche des coordonnées des collaborateurs de l’entreprise à travers un service de types
pages blanches ou pages jaunes.
Pour les exploitants, les principaux bénéfices sont :
le provisionnement, c’est-à-dire la propagation automatique des identités et des habilitations
vers les ressources du SI (et bien sûr en dé-provisionnant lorsque nécessaire) ;
la production d’états facilitant le contrôle de premier niveau sur les activités liées à l’IAM.
La mise en place d’un circuit de validation automatisé va permet d’accélérer la prise de fonction d’un
utilisateur, mais aussi, à son départ, le retrait des droits qui lui avaient été attribués.
Ce gain de temps est obtenu par une plus grande efficacité dans le traitement, le suivi des
demandes et une meilleure qualité des informations transmises.
Lorsqu’il est nécessaire de traiter plusieurs milliers d’identités ainsi que les droits qui leur sont
rattachés, la mise en place d’outils de provisionnement est indispensable. Les connecteurs de ces
outils interagissent avec les nombreux annuaires présents sur les SI (LDAP, Active Directory, Novell
eDirectory, Sun Java Directoty Server …).
La mise en place d’un tel outil vise à garantir la cohérence des droits sur l’ensemble du SI en
particulier dans les cas de mouvements de personnel (arrivée, départ, changement d’entité …) et
empêche les erreurs dues à des manipulations manuelles.
Les 6 piliers de la gestion des identités et des accès 16 Forum des Compétences
Février 2014
Pratiques constatées
Les circuits de validation des habilitations et des fournitures d’équipement sont le plus souvent
automatisés. Par contre, l’automatisation du provisionnement des habilitations vers les différents
systèmes reste encore très souvent partielle.
Pour les salariés, une synchronisation des identités de la base RH et du référentiel d’identité principal
est effectuée. En ce qui concerne le déversement des habilitations vers les applications,
l’automatisation n’est pas toujours effectuée ni possible. Des opérations manuelles sont donc menées.
Points d’attention
Les 6 piliers de la gestion des identités et des accès 17 Forum des Compétences
Février 2014
La consumérisation des habilitations
L’attribution d’une habilitation peut parfois être longue et fastidieuse selon le circuit de validation qui a
été défini.
Le passage par différents niveaux de validation se justifie pleinement pour les habilitations sensibles
en raison des enjeux en découlant. Pour les habilitations « tout-venant », un circuit de validation trop
lourd entraine des délais importants pour l’utilisateur.
L’évolution actuelle des pratiques en matière de gestion des habilitations tend à la simplifier
l’attribution des habilitations qui portent sur des ressources non sensibles. Un des moyens de
simplification est l’auto-enrollement de l’utilisateur à partir d’un catalogue de rôles et services
techniques.
Deux options sont alors possibles :
L’utilisateur effectue une demande qui est ensuite approuvée (ou non) par un valideur Métier.
Les droits techniques en découlant sont alors implémentés sur les ressources.
L’utilisateur s’enrolle lui-même sur une ressource à partir d’un catalogue et les droits techniques
nécessaires sont mis en œuvre automatiquement. Une recertification postérieure des
habilitations est effectuée régulièrement par un valideur Métier, notamment pour garantir le
« droit d’en connaitre ».
L’utilisateur pouvant avoir tendance à « consommer » toutes les habilitations qui lui sont proposées
sans réels besoins, il est important de bien définir le catalogue des ressources en auto-enrollement.
Pour cela, il faut essayer de minimiser les cas d’auto-attribution d’habilitation qui donneront lieu à une
annulation après vérification.
Plusieurs catalogues de rôles et services peuvent être définis pour plusieurs sensibilités d’utilisateur.
Les 6 piliers de la gestion des identités et des accès 18 Forum des Compétences
Février 2014
Fiche 6 : CONTRÔLE
« Accorder un droit à un utilisateur est plus facile que de le retirer »
L’essentiel
Au fil du temps, des habilitations sont accordées aux utilisateurs et ne sont pas toujours revues
lorsqu’ils changent de fonction au sein de l’entreprise. De même lorsqu’un utilisateur quitte
l’entreprise, certains de ses comptes et de ses habilitations perdurent parfois.
Des revues d’habilitation doivent donc être menées régulièrement pour s’assurer que la politique de
gestion des identités et des accès est bien appliquée.
Ces revues doivent avoir une fréquence adéquate en regard du niveau de sensibilité des applications
ou des identités concernées
À titre d’exemple, la revue des comptes et des habilitations :
pour une application standard comme la gestion des congés pourra être effectuée chaque
année voire tous les 2 ans ;
pour une application Métier sensible pourra être effectuée tous les 3 mois.
Dans la pratique, une revue peut s’avérer complexe, car le système d’information est souvent
hétérogène : windows, unix, zOS, AS400, appliance, application en cloud, application externalisée…
Les contrôles essentiels portent sur la bonne déclinaison des règles établies pour la gestion des
comptes et des habilitations ainsi que la gestion des demandes.
Il est également souhaitable de contrôler la bonne adéquation des droits accordés avec les fonctions
remplies.
Lorsque ces premiers niveaux de contrôles sont maitrisés, il est nécessaire de contrôler la
gouvernance de la gestion des identités et des habilitations et notamment sa nature transverse à
l’entreprise.
Les contrôles peuvent être pris en charge :
par les Métiers: adéquation entre les droits théoriques et les droits réellement mis en œuvre ;
par les responsables des comptes : rattachement des comptes à des identités.
En complément, le contrôle interne effectue des revues de différentes procédures de gestion et de
leur efficacité.
Des contrôles de surveillance, plus ou moins ponctuels, sont également effectués en fonction des
priorités et risques pour l’entreprise, par exemple :
vérification de la bonne désactivation des comptes des personnes en longue absence (maladie
– congés – formation) ;
habilitations accordées unitairement sans passer par un groupe Métier ;
authentification sur une ressource en dehors des plages horaires habituelles.
Les résultats de ces différents contrôles font l’objet de reporting à plusieurs niveaux :
au niveau opérationnel, en vue de traiter les écarts avec les règles d’attribution et de
dérogation ;
au niveau pilotage voire stratégique, en vue d’améliorer les processus mis en place ;
au niveau conformité, lorsque des obligations réglementaires le nécessitent.
Les 6 piliers de la gestion des identités et des accès 19 Forum des Compétences
Février 2014
Pratiques constatées
Des contrôles sont effectués régulièrement. Ils portent a minima sur les identités et les habilitations les
plus sensibles.
C’est en général, le propriétaire des applications qui procède à la recertification des habilitations de
son périmètre. En ce qui concerne les comptes des utilisateurs, les recertifications sont effectués par
les responsables des annuaires ou des systèmes.
Les actions de contrôle font l’objet de reporting au niveau des opérationnels comme au niveau des
directions.
Points d’attention
Les 6 piliers de la gestion des identités et des accès 20 Forum des Compétences
Février 2014
Glossaire
Terme Définition
Annuaire Composant informatique qui renferme notamment des
informations d’identités (nom, prénom, identifiant …) de
collaborateurs, de partenaires voire de fournisseurs.
Authentification Processus permettant de vérifier l'identité déclarée d'une
personne ou d’une ressource.
L'identification permet de communiquer l'identité,
l'authentification permet de la vérifier.
Les principaux moyens d'authentification sont :
le mot de passe ;
le certificat électronique ;
la biométrie.
Cycle de vie d’une identité Ensemble des évènements affectant l’identité depuis son
arrivée au sein de l’entreprise, jusqu’à son départ ; en prenant
en compte des évènements tels que : changement d’état civil,
absence longue durée…
Cycle de vie des habilitations Ensemble des évènements affectant les habilitations
accordées à une identité depuis son arrivée au sein de
l’entreprise, jusqu’à son départ ; en prenant en compte des
évènements tels que : mutation dans l’entreprise, nouvelle
fonction…
Gestion des identités et des accès Ensemble de processus qui vise à assurer la gestion du cycle
IAM (Identity Access Management) de vie d’un accédant au SI (Identification, Authentification,
Habilitation, Implémentation, Contrôle)
Identité Ensemble des informations qui caractérisent un individu au
sein d’une entreprise.
Identifiant Attribut lié à une identité numérique afin de pouvoir identifier
un utilisateur de façon fiable. Cet identifiant généralement est
centralisé dans le référentiel d’identités.
Un utilisateur possède un seul identifiant relatif à son identité
physique (parfois l’ID RH), et peut posséder plusieurs
identifiants d’accès aux ressources sur lesquelles il est habilité.
Utilisateur Personne physique à laquelle il est accordé un accès à une
ressource du SI.
Référentiel d’identités Annuaire référençant les informations qui caractérisent chaque
individu.
Les 6 piliers de la gestion des identités et des accès 21 Forum des Compétences
Février 2014
Les 6 piliers de la gestion des identités et des accès 22 Forum des Compétences
Février 2014