Alain Bouillé partage son point de vue d’expert sur les nouvelles stratégies d’IAM

Découvrez l’interview d’Alain Bouillé, l’actuel délégué général du CESIN, qui nous livre son expérience et ses retours sur les nouvelles stratégies d’IAM en entreprise.

Alain Bouillé, tout d’abord, quel est votre parcours professionnel ?

Avec une carrière de plus de 40 ans dans l’IT, dont une grosse moitié dans la sécurité, je suis l’actuel délégué général du CESIN, association qui réunit près de 600 CISO, représentant environ 500 entreprises. Les fonctions de CISO sont aujourd’hui très représentées quel que soit le secteur ou la taille d’entreprise.

En tant qu’expert du secteur de la cybersécurité, pouvez-vous retracer l’historique des sujets IAM au sein des entreprises françaises ?

Dès le début de ma carrière de RSSI, j’ai constaté que les sujets IAM sont très vite devenus un des enjeux principaux en matière de sécurité au sein des entreprises. Au début des années 2000, beaucoup d’entre elles avaient alors des kyrielles de droits à gérer, pour une multitude de plateformes le plus souvent hétérogènes. A cette époque il y avait autant de circuits d’habilitations et de processus que d’applications. Et derrière cela, chacun avait des pressions assez fortes de la part des auditeurs, alors qu’il n’y avait alors que peu de contraintes sur la partie réglementaire. De nombreux CISO se sont alors très vite rendus compte que finalement « le bon accès, au bon moment et à la bonne personne » était le B.A.-BA de la sécurité et si nous ne maitrisions pas cela correctement, c’était presque pire que de ne pas avoir d’anti-virus ! Du coup on s’est très vite lancés dans des projets d’IAM. Certains événements en ont fait leur sujet principal tel que les RIAMs d’Athéos dès 2005.

Qu’en est-il aujourd’hui ?

En 15 ans les choses ont évolué, les objectifs ne sont plus les mêmes mais les problématiques restent inchangées. Au milieu des années 2010, le Cloud a commencé à s’imposer et on a vu petit à petit des services disponibles dans le Cloud être utilisés en lieu et place d’applications « on premise ». Le challenge était à l’époque de pouvoir offrir le même niveau de service pour les applications legacy et celles dans le Cloud.

La vraie deuxième génération des projets IAM est arrivée aux alentours de 2015. Il fallait tout repenser pour réintégrer totalement les accès en mode SaaS car les risques d’usurpation d’identité et de droits s’étaient entre-temps considérablement aggravés et le service de gestion des identités est lui-même proposé, de plus en plus souvent, depuis le cloud.

Quels sont ces risques ?

Selon moi, quand on bascule en mode SaaS, les problèmes de gestions d’accès sont bouleversés et si on n’intègre pas une stratégie bimodale (Cloud et On Premise) dans son approche IAM, on n’adresse pas correctement le problème. Ce qui importe vraiment d’un point de vue sécurité, c’est la suppression des droits, leur attribution est davantage une question de productivité. Cette deuxième génération de projets IAM est en pleine expansion. Du fait de toutes les solutions implantées, sans nécessairement suivre ces évolutions et ce nouveau paradigme lié au cloud, il faut de nouveaux outils du XXIe siècle qui adressent véritablement toutes ces problématiques.

Toutes les entreprises sont-elles concernées ?

Aujourd’hui, les grandes entreprises sont évidemment extrêmement attentives sur ces sujets mais les petites et moyennes entreprises sont nombreuses à créer de petites missions de transition pour se sécuriser. On constate que les grandes entreprises mettent en place un programme complet de gestion des identités intégrant la gouvernance alors que les plus petites sont-elles plus préoccupées par la productivité et la capacité à mettre en place une solution rapidement. Cependant, je trouve qu’il y a globalement un sous-investissement des directions des ressources humaines dans les entreprises sur tous ces projets alors que ce sont elles qui sont responsables des entrées (embauches) et sorties (démissions, licenciements, mutations…), et donc devraient être au centre du dispositif pour accorder, modifier ou supprimer les accès.

Que faut-il envisager pour responsabiliser les services des ressources humaines sur cette problématique ?

Il faudrait simplifier les méthodologies d’habilitations et de suppressions des accès. Mais la gestion des droits des actuels multiples prestataires externes ne sont plus du ressort des ressources humaines. Sans oublier qu’avec l’externalisation extrême, il est nécessaire de trouver des solutions efficaces pour adresser les risques de requalifications des droits et de délits de marchandage. Cependant, le risque d’aller un peu trop en profondeur dans le système d’information peut rendre le projet interminable et très couteux.

Comment compenser cela ?

Il y a nécessité d’effectuer une analyse de besoins en amont par les RSSI pour savoir si finalement il n’y a pas des éléments particuliers à prendre en compte en matière de risques. Un autre écueil très répandu, ce sont les projets lancés par la DSI, pour la DSI et du coup dans une perspective de simplifier la vie de la DSI mais pas nécessairement pour rendre service aux utilisateurs finaux. Un projet de gestion des identités est en quelque sorte un programme de transformation d’entreprise et nécessite que la DSI, les ressources humaines et la Sécurité travaillent ensemble.

En quoi cela est-il problématique ?

Un projet d’IAM qui n’intègre pas les problématiques de l’utilisateur risque de passer à côté des sujets. Une dernière menace est corrélée au stade d’habilitation et d’approbation. Il y a toujours un moment donné où on rentre dans un process digital automatisé et il faut faire confiance au système. Donc il y a peut-être des étapes que l’on peut simplifier. Il ne faut pas qu’un projet d’IAM soit un projet de dématérialisation de circuit manuel, il faut simplifier les circuits en les étudiant en amont avant de les dématérialiser.

Avez-vous d’autres recommandations pour les entreprises ?

Selon moi, ces sujets d’IAM et de gouvernance doivent impérativement être intégrés à un process Zéro Trust. De par la situation actuelle et la nouvelle importance du télétravail au sein des entreprises, les systèmes d’information ne sont désormais plus physiquement contrôlés en permanence et tout ceci doit entrer dans le large spectre de l’IAM, comme toutes les questions d’identifications à géométrie variable.

Point de vue d’Hervé Liotaud Vice-Président Western Europe chez SailPoint :

« Je suis heureux qu’Alain Bouillé, qui est pour moi la référence du marché de la sécurité informatique depuis plus de 20 ans, soutienne le fait qu’aujourd’hui on ne peut pas gérer son business sans technologie et qu’on ne peut pas utiliser la technologie sans intégrer la sécurité des identités. »

« Face à l’évolution de la menace, une entreprise doit améliorer sa posture sécuritaire et pour cela elle doit fournir le bon accès aux bonnes personnes au bon moment, de manière intuitive, avec une visibilité et une automatisation du cycle de vie complet.

Seule une solution de sécurité des identités comme SailPoint peut garantir que chaque personne a accès aux seules données et ressources auxquelles elle a droit. »


Discussion