Une vision pour la gestion de l’identité Frédérique Malherbe, Chef de projet Business Frank Van de Heijning, Chef de projet ICT Jean-Michel Lamby, Chef de projet UC 23 January, 2004
Agenda. Situation Objectifs de la réunion Gestion de la sécurité Role Based Access Control Gestion de l’identité Cadre de référence pour la gestion de l’identité Protection de la vie privée Bénéfices potentiels Objectifs du SPF Finances Principes Directeurs Poursuite du projet
Situation (1) La raison d’être de cette présentation Limiter les risques auxquels un tel projet est généralement exposé Manque de visibilité Manque de support Manque d’adhérence L’implémentation du projet de Gestion de l’Identité aura un impact sur chacune des entités constituant le SPF Finances La solution de Gestion de l’Identité deviendra le « Sésame » pour l’accès aux systèmes d’information du SPF Finances La seule approche valide de la sécurité de l’information est une approche globale supportée par le top management Limiter les risques Typiquement dans le cadre d’une solution de gestion de l’identité, le département ICT acte en qualité de fournisseur de services, services qui sont mis à la disposition du business pour définir et gérer au mieux les profils utilisateurs et les droits d’accès aux éléments d’information. Nous verrons plus tard que c’est précisément cette délégation qui permet d’escompter un certain nombre de bénéfices Ceci situe à quel point un tel projet est critique. Une solution de gestion de l’identité ne peut que s’inscrire dans un approche de la sécurité de l’information. Identifier et authentifier les personnes afin de leur permettre ou non l’accès à l’information est un fonction de sécurité. Pour être véritablement efficace une telle solution doit s’intégrer dans un cadre cohérent de gestion de la sécurité de l’information.
Situation (2) Portée du projet Phases principales du projet Pré-étude d’une solution de Gestion de l’Identité pour le SPF Finances Phases principales du projet La Vision Le modèle futur (Haut niveau) Le modèle existant (Haut niveau) Le modèle futur (Détails) Le modèle de référence RBAC Les polices de sécurité Planning haut niveau Pré-étude: de janvier à mai 2004 Attribution du Lot 2 (implémentation): 4Q 2004 Implémentation d’une phase pilote: 2005
Situation (3) Organisation du Projet
Objectifs de la réunion Identification de la vision de la Direction Identification des objectifs du SPF Finances Identification des principes directeurs
Gestion de la Sécurité
Role Based Access Control(1) Avantages Soutient l’alignement des droits d’accès sur les besoins du métier. Fournit un cadre de référence cohérent et gérable pour la définition des droits d’accès pour les différentes positions au sein de l’organisation. Améliore le contrôle sur les droits d’accès accordés et contribue ainsi à l’amélioration de la sécurité de l’information. (1) RBAC is a standard developed by the National Institute of Standard and Technology (NIST)
Gestion de l’identité Le bloc de services au bénéfice de l’utilisateur final Le bloc de service au bénéfice des gestionnaires Intérêt de la délégation au business La base de donnée authentique
Cadre de référence pour la gestion de l’identité (1)
Cadre de référence pour la gestion de l’identité (2)
Protection de la vie privée Législation existante et directives Européennes Seront investiguées par le Prof. Folon, expert national et européen en matière de protection de la vie privée. Protection de la vie privée des employés Données privées Contrôles (utilisation et gestion de la plate-forme de gestion de l’identité, accès aux informations métier) Protection de la vie privée du Citoyen Afin de garantir la sécurité des données à caractère personnel, le responsable du traitement et, le cas échéant, son représentant en Belgique, ainsi que le sous-traitant doivent prendre les mesures techniques et organisationnelles requises pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification, l'accès et tout autre traitement non autorisé de données à caractère personnel. Ces mesures doivent assurer un niveau de protection adéquat, compte tenu, d'une part, de l'état de la technique en la matière et des frais qu'entraîne l'application de ces mesures et, d'autre part, de la nature des données à protéger et des risques potentiels.
Bénéfices potentiels (1) Amélioration de l’efficacité opérationnelle Réduction du coût total d’acquisition (TCO) de tous les systèmes Amélioration de la correction des informations d’identité et diminution des coûts inhérents à la gestion de ces informations Réduction des risques d’utilisation d’informations incorrectes dans les processus métier Appuie et facilite l’automatisation et l’alignement optimal des processus métier Diminue les coûts et le temps nécessaire pour fournir aux (nouveaux) employés les accès nécessaires aux ressources au sein de l’organisation Limite le nombre de comptes utilisateurs (accounts/passwords) Réduction du TCO de tous les systèmes Développement: les services fournis par la plateforme de gestion de l’identité ne doivent plus être développé, une seule interface standard à prévoir. Opération et maintenance: diminution de nombre de comptes à créer, à gérer, à maintenir et à contrôler Help desk: diminution drastique des coût relatif au support à l’utilisateur final. Amélioration de la correction des informations d’identité et diminution des coûts inhérents à la gestion de ces informations Information dérivée d’une source authentique, Une seule instance (idéalement) des différents attributs d’identité: information plus cohérente et plus facile et plus économique à maintenir Self-service: maintenance de certains attributs par l’utilisateur final Corollaire du point précédent
Bénéfices potentiels (2) Amélioration de la sécurité de l’information Assurer la conformité aux (futures) contraintes légales (protection de la vie privée) Amélioration de la gestion des comptes utilisateurs et des droits d’accès Amélioration de l’alignement des droits d’accès effectivement accordés avec les besoins du métier Limitation du nombre de paires identifiant/mot de passe Imposition cohérente d’une politique des mots de passe Exercice des contrôles nécessaires des clients, fournisseurs et employés, et de la protection des informations les concernant Limitation du risque d’anciens employés et/ou contractants conservant leurs droits d’accès aux ressources de l’organisation
Bénéfices potentiels(3) Amélioration de la qualité de service (électronique) fournie Employés Clients
Objectifs du SPF Finances Fourniture, d’une manière sécurisée et contrôlée, des services et mécanismes relevant de la gestion de l’identité nécessaires à la réalisation des objectifs identifiés dans le cadre du projet CoperFin en matière d’accès à l’information Minimiser les coûts relatifs à la gestion des utilisateurs par le biais, notamment, de l’automatisation, du self-service et de la délégation Amélioration de l’efficacité opérationnelle Amélioration de l’expérience de l’utilisateur final (environnement ergonomique) Amélioration de la sécurité de l’information Conformité avec la législation en matière de protection de la vie privée Permettre un audit étendu
Principes directeurs (1) La solution de gestion de l’identité du SPF Finances supportera la protection de la vie privée et sera conforme à la législation applicable en la matière La solution de gestion de l’identité fait partie du cadre de référence du SPF Finances pour la gestion de la sécurité de l’information Les permissions d’accès à l’information seront accordées exclusivement sur base d’un besoin métier Les éléments d’identité dériveront toujours d’une source authentique et chaque fois que possible il n’existera qu’une une seule instance de ces éléments La solution de gestion de l’identité, fournissant initialement des moyens d’authentification de base (user ID and Pwd) sera ouverte pour l’intégration de nouvelles technologies d’authentification (forte) dans le futur (token, smart cards (eID), biometrics)
Principes directeurs (2) La solution de gestion de l’identité du SPF Finances reposera essentiellement sur des Rôles L’association utilisateur-rôle sera automatisée et basée sur un attribut d’identité clairement identifié Un mécanisme (ex.: polices, règles) sera disponible pour moduler les droits d’accès en fonction des exigences métier (portée d’accès) Un mécanisme (ex.: workflow) sera disponible pour demander, approuver et accorder un accès exceptionnel à un élément d’information Un mécanisme sera disponible pour accorder de manière temporaire des permissions d’accès soutenues par un besoin métier sans corrompre la structure des rôles
Principes directeurs (3) Un mécanisme sera disponible pour la délégation des fonctionnalités nécessaires de gestion de l’identité au métier (business) Les rôles seront organisés de manière à assurer la séparation des responsabilités La solution de gestion de l’identité permettra un audit étendu tant dans le cadre de son exploitation, de sa gestion, que dans le cadre de l’accès à l’information.
Poursuite du projet Composition du groupe de pilotage Composition des groupes de travail ID Mgt (business et ICT)