Simplifier la gestion des accès aux systèmes
La complexité grandissante des systèmes d’informations est un véritable casse-tête pour les sociétés et organismes publics qui se doivent de maîtriser la sécurité de leurs données et des données qui leurs sont confiées. Pour faire face à cette problématique est né l’ «Identity and Access Management», une approche intégrée de gouvernance d’informations. Interview de Michael Hofmann, associé au département gestion des risques informatiques chez KPMG Luxembourg, Ralf Mutzke, Senior Manager, et John Cant, Assistant Manager.
Légende photo : Michael Hofmann
Monsieur Mutzke, que doit-on comprendre par «Identity and Access Management»?
Ralf Mutzke: L’«Identity and Access Management» pose la question de la gestion de l’accès aux informations ou aux applications dans une société ou dans une institution publique, en d’autres termes de qui a le besoin et le droit d’accéder à quel type d’informations ou d’applications.
L’ «Identity and Access Management» consiste en une approche intégrée de gouvernance d’informations incluant la gestion de ces dernières et des accès à travers un système d’informations complexe. Plusieurs équipes gèrent leurs applications ou une partie de ces dernières, et une multitude d’interventions et d’intervenants sont nécessaires pour ajouter, modifier ou supprimer des accès.
Dans le secteur privé comme public, nombreuses sont les structures qui possèdent des systèmes multiples aux fonctions différentes et avec différents niveaux d’accès. Dès lors, si l’on compte par exemple un millier d’applications contenant un millier de niveaux d’accès et un millier d’utilisateurs, cela devient à la fois dangereux et rapidement très difficile à gérer.
John Cant : Pour la petite anecdote, vous connaissez sans doute l’histoire du soldat américain Bradley Manning qui a fourni à WikiLeaks des milliers de documents confidentiels.
Un autre exemple, dans le secteur privé, est celui des traders qui changent de service au sein d’une banque tout en conservant des accès relatifs à leur poste précédent. Plus d’une fois, des établissements bancaires se sont ainsi vu confrontés à des fuites d’informations ou des fraudes, avec à la clef des pertes d’argent colossales et une image dégradée.
Quelles sont les mesures que l’on peut prendre pour parer à ces risques majeurs?
John Cant: La grande faiblesse dans la démarche de sécurisation des données est que l’on pense à mettre en œuvre les solutions techniques mais que l’on oublie de considérer le caractère continu de la démarche qui doit prévaloir dans ce domaine. C’est ce que l’on dénomme en anglais «mismanagement», soit un management défaillant.
Il faut avouer qu’il s’agit là de projets complexes et onéreux, ce qui pousse souvent les managers à fermer les yeux sur le problème, et ce, malgré le niveau de risque extrêmement élevé, que ce soit donc au niveau financier ou au niveau de l’image de la société ou de l’organisme public.
Nous, chez KPMG, nous avons une grande expérience dans le domaine. Notre méthodologie a fait ses preuves, les clients en sont très satisfaits.
Nous sommes d’ailleurs en train de réaliser une étude de marché poussée en matière de sécurité informatique dans tous les secteurs d’activités au Luxembourg dont les résultats devraient être publiés d’ici la fin de l’année.
Quelles sont ces méthodologies?
John Cant: Nous avons des méthodes visant à sélectionner et implémenter un outil approprié aux besoins de la société qui peut gérer les accès et qui permet d’avoir une vue globale sur toute la durée de vie des informations. Il renferme un «Role-based access control», c’est-à-dire un modèle de contrôle d’accès dans lequel chaque décision d’accès est basée sur le rôle auquel l’utilisateur est attaché. Grâce à ce modèle, les entreprises peuvent réduire leurs coûts opérationnels, améliorer la maturité de leurs services et augmenter leur niveau de conformité. Simplifier la gestion des accès aux systèmes est l’unique approche viable à moyen et long termes dans un environnement de plus en plus complexe.
Michael Hofmann: Nos études sur le marché mondial nous montre que la majorité des projets IAM (Identity and Access management) échoue. Il n’empêche qu’avec la complexité accrue des systèmes d’informations, la tâche est ardue, et il n’est donc pas possible de résoudre toutes les problématiques d’accès. Par conséquent, les attentes sont bien souvent supérieures à ce qui est envisageable de faire. Grâce à nos méthodologies, nous avons su diminuer les risques associés au projet et fournir la qualité de service attendue.
Cette complexité accrue des systèmes d’informations n’oblige-t-elle pas les entreprises à mettre toujours davantage de moyens pour faire face aux dangers?
Michael Hofmann: C’est ce qu’on pourrait croire a priori. Or, il n’en est rien. C’est ce que l’on a fait jusqu’à présent, mais on a fini par se rendre compte qu’ajouter des systèmes aux systèmes ne fait que rendre les choses plus compliquées.
Ce qu’il faut faire, c’est les rendre plus «intelligents», et ce, en alignant les rôles.