En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 15/11/2017
    Cloud Expo Europe Paris 2017

    Cloud Expo Europe, Paris 2017, c'est le grand rassemblement d'experts dédiés au Cloud. Parmi les…

    en détail En détail...
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
Sigma_ebook_hybridation_leaderboard

Usercube renforce son offre d’Identity and Access Governance (IAG) avec Usercube Control Management

09/12/2015 | commentaires 0 commentaire |
GlobalK_Azure _pave

La maitrise des accès au système d’information est une problématique de plus en plus présente dans les audits de conformité. Elle est particulièrement importante pour les entreprises soumises à règlementation comme les institutions financières ou les sociétés cotées.

L’IAG ou « Identity and Access Governance » porte sur la maitrise et le contrôle des accès au système d’information ainsi que sur la traçabilité des actes de gestion.

Il s’agit de pouvoir répondre aux questions de base :

– qui peut accéder à quelle ressource de l’entreprise ?
– ce droit d’accès est-il légitime au regard du profil métier du récipiendaire ?
– quel a été le processus d’attribution de ce droit d’accès ?
– quels étaient les droits d’accès pour une personne à un instant T dans le passé ?
– est-ce que les droits réels dans les applications correspondent bien aux droits théoriques ?

Pour atteindre cet objectif, les entreprises procèdent généralement à des campagnes de révisions de droits couplées à des campagnes de contrôles des droits d’accès.

Déjà déployé chez de nombreux clients, Usercube Compliance Management permet de gérer toute l’activité de recertification (on parle aussi de révision) des droits d’accès au Système d’Information. Le principe consiste à faire réviser régulièrement par un responsable la validité d’une collection de droits applicatifs ou de ressources. On va par exemple faire valider par son manager un certain nombre de droits d’accès du collaborateur, mais on va également faire valider par un responsable applicatif la légitimité des droits attribués au collaborateur. La réalisation de campagnes de recertification permet de s’assurer de la conformité du SI à intervalles réguliers tout en engageant la responsabilité du réviseur.

Cependant, même s’il s’agit d’une avancée majeure dans la maitrise du SI, la réalisation de campagnes de recertification n’est pas suffisante. Entre deux campagnes, tout est possible, y compris l’attribution de combinaisons de droits « toxiques » (par exemple un demandeur hérite également d’un droit de valideur). C’est la raison pour laquelle, il est nécessaire de coupler les campagnes de recertification avec des campagnes de contrôles des habilitations.

Néanmoins, la mise en place des campagnes de contrôles est compliquée et coûteuse, car il s’agit de transformer un besoin métier (par exemple un commercial ne peut pas valider lui-même ses demandes de rabais dans l’ERP sauf s’il est également chef d’agence) en combinaison de rôles et droits applicatifs. De la même manière, les campagnes d’audit, par leur aspect imprévisible et non récurrent, sont lourdes et très consommatrices de ressources IT pour un usage unique.

Usercube Control Management entend modifier radicalement ce paradigme en offrant une interface conviviale de génération et d’exploitation des campagnes de contrôles et d’audit afin d’en permettre l’automatisation et l’industrialisation.

Usercube Control Management s’appuie sur le moteur et les connecteurs de Usercube Identity Management pour constituer un référentiel des identités et des droits d’accès aux applications. Une fois ce référentiel consolidé, il est maintenu à jour en permanence.

Une interface simple d’accès permet de mettre en œuvre et de gérer toute l’activité de contrôle et d’audit du SI. A l’aide d’un assistant, on commence par réaliser des contrôles de base, par exemple le respect des conventions de nommage ou la détection des comptes orphelins. Ces contrôles de base sont ensuite combinés en « groupes ». Par exemple, l’application « ingénieur d’affaires » regroupe les contrôles de base à réaliser pour ce type de population.

Une fois les contrôles regroupés en groupes, on peut alors programmer des « sessions » de contrôle en définissant la période d’application, la récurrence, la portée. On peut par exemple programmer une session sur le groupe « ingénieur d’affaires » avec une récurrence mensuelle.
Les résultats des contrôles sont présentés au format Excel avec la possibilité d’importer ses propres modèles. Les résultats de toutes les « sessions » de contrôle sont historisés et les rapports sont disponibles à chaque instant pour comparaison et analyse de l’évolution.

« Au-delà de l’effet de mode lié à la Cyber sécurité, il ne faut pas oublier le « back to basics » si cher à l’ANSSI et parfaitement illustré dans « le guide d’hygiène informatique, explique Christophe Grangeon, Directeur général associé de Usercube. Il convient ainsi de décliner la PSSI (Politique de Sécurité du Système d’Information) en règles d’accès logiques aux applications et de contrôler régulièrement l’application de ces règles. Avec Usercube Control Management, nous apportons au marché une solution extrêmement innovante qui remplace très souvent des procédures de contrôles quasi manuelles très coûteuses en ressources humaines, généralement peu documentées et réalisées par des techniciens. Usercube Control Management permet d’industrialiser la conception et la réalisation des campagnes de contrôles et induit un changement majeur de paradigme en permettant aux donneurs d’ordres (RSSI, auditeurs, responsables de la conformité…) de gérer eux même la conception des contrôles et la réalisation des campagnes. En conséquence, notre principale plus-value est d’augmenter drastiquement le niveau de sécurité global du système d’information sans augmenter la taille des équipes. En effet, alors que les approches traditionnelles sont basées sur des audits trimestriels ou semestriels des applications les plus sensibles dont chaque campagne est fortement consommatrice de ressource, Usercube Control Management permet d’enrichir au fil de l’eau aussi bien le nombre d’applications contrôlées que la profondeur du niveau des contrôles ainsi que la fréquence des campagnes. La conséquence est de pouvoir maintenir en permanence les droits applicatifs théoriques alignés avec les droits réels. Nous avons actuellement une très forte demande dans les secteurs de la banque-finance et chez les OIV (Organisme d’Importance Vitale). Notre offre est disponible « on premise » ou en mode Software as a Service », complète Christophe Grangeon.

Usercube renforce son offre d’Identity and Access Governance (IAG) avec Usercube Control Management
Notez cet article

Formations Cloud Computing

Les services IT ont plus que jamais besoin de formations pour soutenir leurs processus d’amélioration continue et de performance. Global Knowledge offre un vaste catalogue de formations Cloud.

Plus d’info

Sondage

Windows 10 et vous

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  •  Amende record de l'UE : la contre-offensive judiciaire de Google

    Google a lancé une contre-offensive envers la Commission européenne en déposant un recours contre l'amende…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Tribune - Protégez vos données grâce à l’innovation

    Il est de plus en plus nécessaires pour toutes les entreprises d’avoir des mesures de…

    > En savoir plus...
Etudes/Enquêtes
  • Gestion de l'expérience collaborateurs : à charge des RH ou des DSI ?

    Les ressources humaines (RH) ont longtemps été considérées comme étant responsables de l'expérience des employés.…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

GlobalK_Azure _Skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Les bonnes pratiques pour implémenter une solution de personnalisation

    > Voir le livre
  • Usages et technologies : concrétisez la transformation digitale de votre métier

    > Voir le livre
Global Knowledge_Docker_Skycraper