Accueil TÉMOIGNAGES - Des accès et données à protéger partout

TÉMOIGNAGES – Des accès et données à protéger partout

Startup Stock Photos

La gouvernance des identités et des accès aux applications est un projet de consolidation de longue haleine. Elle contraint à définir ce qu’est un accès conforme et légitime, et ce qui ne l’est pas. Partages d’expérience…

 

A l’heure où les responsables métiers choisissent volontiers leurs prestataires et services en ligne, la direction IT doit vérifier la cohérence des workspaces, des terminaux et systèmes hétérogènes qui les alimentent. Il s’agit de veiller à la conformité des données, à la gouvernance des identités et des accès.

Avec plus de 100 000 employés, et de nombreux prestataires et partenaires disposant d’identités numériques pour accéder à son système d’informations,

Le groupe Sanofi doit encadrer les accès à ses données et à ses applications. L’ouverture d’espaces de travail collaboratifs conduit à multiplier les points de connexion et à tolérer de multiples terminaux. Cependant tous ne sont pas gérés par l’entreprise.

Christophe Vernant

« Nos workspaces peuvent contenir des données sensibles, nous devons donc savoir qui accède à quoi et si ces accès sont légitimes. La sécurité doit marcher sur deux jambes : elle comporte un aspect curatif et un aspect préventif, comme un vaccin. Je ne vois pas comment faire du zéro trust sans IAM (Identity and Access Management). Et lorsqu’on a plusieurs IAM en place, il faut chercher une cohérence d’ensemble. C’est ce système global d’IAG (gouvernance des accès et des identités) que nous mettons en place, autour d’un référentiel global, dans le cadre d’un projet pluriannuel », précise Christophe Vernant, le responsable de la gestion des identités et des accès du groupe Sanofi au niveau mondial.

Respecter de bonnes pratiques d’IAG

Son axe de travail pour la mise en place des accès aux applications, c’est la conformité. « Les règlements RGPD, SOX et GXP nous obligent à gouverner les accès aux services IT. » Impossible de mener à bien cette tâche tout seul. Mieux vaut impliquer quelques collègues comme les responsables de la sécurité IT, de la conformité et des infrastructures qui doivent apporter leur soutien durant toute la durée du projet.

Christophe Vernant recommande un dialogue constant avec la gestion des ressources humaines, car mettre en place une solution d’IAM c’est consommer de la donnée RH, en l’occurrence depuis le système WorkDay chez Sanofi. Le co-working oblige à être plus rigoureux sur la gestion des identités explique-t-il : « Nous devons nous assurer que lorsqu’un salarié quitte l’entreprise, tous ses accès sont bien coupés. » La confiance n’exclut pas le contrôle, jusqu’au niveau des administrateurs et sous-traitants munis de comptes à privilèges, souligne l’utilisateur des solutions Sailpoint et ZScaler : « Vérifier la donnée et le processus qui la génère permet de s’assurer qu’on reste dans la vraie vie, que tout fonctionne comme prévu. » Dernière recommandation, « dans le cadre d’une consolidation d’outils d’IAM, il faut challenger les utilisateurs exprimant de nouveaux besoins et s’assurer qu’ils respectent toujours les bonnes pratiques en terme d’IAG. »

Etre alerté en temps réel

Le groupe Lagardère compte quatre business units, dont Travel Retail qui opère des boutiques (comme Relay) et points de restauration dans les gares et les aéroports avec 18 000 employés dans le monde. Vincent Gapaillard, le RSSI y établit les standards et règles de sécurité IT, contrôle leur bonne application et apporte l’assistance aux utilisateurs avec les équipes distantes d’une vingtaines de SI répartis.

Vincent Gapaillard

Le parc mobiles des cadres Lagardère Travel Retail est composé de PC sous Windows et simultanément de smartphones Android, ou iOS avec quelques ordinateurs Apple sous MacOS. Une dizaine de tenants Office365, ces bulles privées de l’offre bureautique Microsoft dans le Cloud, sont sous haute surveillance : « Depuis un an, nous déployons l’analyse de logs d’Idecsi sur les boîtes e-mails des équipes de direction, afin d’expliquer ce qui se passe en cas de suspicion ou non d’accès frauduleux. De 150 à 200 personnes bénéficient de cette supervision en temps réel, à raison de 5 à 10 personnes par pays. »

Le service managé inspecte la messagerie, le compte Office 365, les partages de fichiers et prochainement les espaces de collaboration Teams. Il apporte un examen continu des flux avec une remontée d’alertes simples à comprendre et des synthèses courtes, en une page, faciles à partager avec les utilisateurs distants.

Conserver une exploitation légère

« Notre objectif consiste à avoir un cycle d’améliorations continues autour des aspects de sécurité ; Nous élargissons le nombre d’utilisateurs et les services couverts progressivement. En termes de modèle économique, j’ai fait le choix de partir sur une souscription annuelle, et j’utilise les services de support d’assistance de l’éditeur pour traiter les premiers niveaux d’alertes. Ainsi je ne reçois que les alertes nécessitant la validation ou non de l’utilisateur. »

L’analyse de flux d’Idecsi ajoute peu de charge de travail en termes d’exploitation mais délivre une véritable valeur ajoutée sans être intrusive : « Les usages des smartphones et la liste de leurs applications ne sont pas révélés. Seule la partie de services en lien avec Office 365 est concernée. On sait comment ils sont utilisés, depuis quel endroit géographique, et qui a délégation sur ces outils. Après une première phase d’implémentation rapide, vient la formation des utilisateurs et la validation des profils. Ensuite, ce n’est que du traitement d’alertes, de temps en temps, à mener avec les utilisateurs. »

Parmi les améliorations constatées, la détection de nouveaux smartphones apparaît aussitôt dans la console de supervision. Dans ce cas, un échange avec le gestionnaire de la flotte mobile permet de vérifier si le smartphone a été changé ou non. « Nous gagnons un peu d’optimisation de process en tant que tel mais pas encore d’industrialisation pour traiter l’alerte de façon automatique. Aujourd’hui, nous n’en sommes pas encore là », conclut Vincent Gapaillard.