Une vision pour la gestion de l’identité

Slides:



Advertisements
Présentations similaires
Démarche Outsourcing SI
Advertisements

Description des services EEN Module B: opportunités technologiques Eric Chataigné Delivery Manager – Intrasoft International Rabat – Maroc 07 Avril 2009.
Module N° 7 – Introduction au SMS
1Développer vos solutions : définir un plan daction Février Organisation internationale de normalisation.
Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.
Groupe de Travail Deux Structure et Culture: créer un environnement pour la transparence Le groupe a échangé sur lenvironnement structurel nécessaire pour.
Les enseignements du projet OPIR. Quelles enseignements pour de nouveaux projets et une révision de la recommandation ECVET ? Alain Bultot, coordinateur.
SCM Supply Chain Management
ECONOMIE BTS 1&2 LES OBJECTIFS
D2 : Sécurité de l'information et des systèmes d'information
LES BONNES PRATIQUES Présentation du 31 Mars 2005
La politique de Sécurité
L’utilisation des Normes ISO 9001 et ISO 9004 dans la démarche qualité
23/05/2006 Résultat Final Business Consulting Services Pré-étude portant sur l'implémentation et l'organisation d'un système de gestion des connaissances.
PARTENAIRE SECURITE - 2 Avenue Aristide Briand Bagneux Tél : Fax : Lexternalisation de lopérationnel de votre Sécurité
La mise en place du Règlement sur la diffusion de linformation Un travail déquipe.
Modernisation de l’Administration Publique - MODAP Comité Local d’Examen de Projet Tunis, le 21 Mai 2009.
MRP, MRP II, ERP : Finalités et particularités de chacun.
Gestion des risques Contrôle Interne
Le portail personnel pour les professionnels du chiffre
le profil UML en temps réel MARTE
[GPM-02] Approche processus de l'organisation
De la RSE au SMI Les référentiels du SMI Le processus de certification
Montage Hors Tension BT
Jean-Noel Guillossou Responsable du Programme SSATP Priorités stratégiques du SSATP Réunion annuelle, décembre 2012.
Guide de gestion environnementale dans l’entreprise industrielle
Management stratégique et management opérationnel
Gouvernance du Système d’Information
1 BeHealth Pourquoi BeHealth ? Cest quoi BeHealth ? Où en sommes-nous ? … mais aussi des réponses Beaucoup de questions …
SEMINAIRE DE CONTACT novembre 2008 Outils de gestion de projet.
- Apporteurs de capitaux.
De la RSE au SMI Les référentiels du SMI Le processus de Certification
La norme ISO ISO TOULOUSE Maj: 22 octobre 2012
Cahier des charges.  I Association AccroCiné  II Objectif et description du projet.  III Système existant  IV Besoins  V Cible (organisationnelle.
Initiation à la conception des systèmes d'informations
Principes directeurs de l'AEG Présentation sommaire.
CREDOC SERVICES L’archivage électronique Best practices 12 novembre 2008 Van der Perre Aurélie Boone Pieter
© 2008 Oracle Corporation – Propriétaire et confidentiel A quelles fonctions de l'entreprise cette campagne s'adresse-t-elle ? Cadres dirigeants Directeurs.
Management de la qualité
Hygiène Sécurité Conditions de Travail AVSC Nord de France
La technologie Shibboleth
1 Current status of the BeHealth platform: Activities and results Current status of the BeHealth platform: Activities and results.
Principes et définitions
STRASBOURG BRUSSELS VICENZA SKOPJE SUBOTICA LOCAL DEMOCRACY CIVIL SOCIETY LOCAL AUTHORITIES EUROPEAN NEIGHBOURHOOD.
TD 1 ? Quels sont les avantages relatifs à la définition d’une politique de sécurité pour une organisation ? Avantage : traiter la problématique de la.
L’authentification Kerberos
Web Services 17/01/2009.
P.E.P.S. Projet d’Elaboration du Pilotage des Services
8eme Conférence de l’AFAPDP Jeudi 25 juin à Bruxelles (Belgique)
1 k9a des principes à la pratique k9a Les principes.
Human Resources in the CF / Les ressources humaines dans les FC Non Public Property Board of Directors Meeting 14 Oct 2003 Conseil d’administration des.
Présentation du référentiel ITIL v3
Le cabinet d’avocat: une entreprise du droit Présentation de Maître Mame Adama GUEYE Formation Continue CIFAF Dakar 2 Décembre 2014.
Système de Management Intégré
Le répertoire de références Mise en place du projet "Hubs-Metahub"
ISO 9001:2000 Interprétation Article 7 Réalisation du produit
Quel dispositif institutionnel de mise en œuvre de APA au Burkina Faso
L’information commerciale, ressource stratégique.
Transformation digitale Comment maîtriser les risques ?
EStrategy Projet SHERPA Compte rendu BERNOUD Patrice EISENHARDT Laurent LARDILLIER Valérian.
PRESENTATION DU PROJET SHINE – OXFAM MALI AU CLUSTER SECURITE ALIMENTAIRE BAMAKO 25 JUIN, 2015 Présenté par: Ir. Cheikhou DIAGANA Emergency Food Security.
Responsabilité en matière de sûreté radiologique
Travail Collaboratif & Open Source Etat de l’art - Solutions - Méthodes.
Projet de gestion des documents. 2 Contexte Loi sur l’information du public, la protection des données et l’archivage du 9 octobre 2008 (art. 41) 1 Les.
VOUS AVEZ DIT ITIL ? Le référentiel ITIL 2011 choisi par la DSP IT pour la mise en œuvre d’une gestion des services informatiques vise à : aligner les.
CONTENU DE L ’ISO Définition métrologie.
Lancement du projet de refonte du portail eaufrance Groupe de coordination inter bassins 28/01/2014 – Anne Macaire.
Gestion des données pour le secteur de l'éducation 20 novembre 2014.
Les Lignes directrices d’Almaty sur les moyens de promouvoir l’application des principes de la Convention d’Aarhus dans les instances internationales.
Lancer et suivre un audit local TRAINING LAF 2009.
Transcription de la présentation:

Une vision pour la gestion de l’identité Frédérique Malherbe, Chef de projet Business Frank Van de Heijning, Chef de projet ICT Jean-Michel Lamby, Chef de projet UC 23 January, 2004

Agenda. Situation Objectifs de la réunion Gestion de la sécurité Role Based Access Control Gestion de l’identité Cadre de référence pour la gestion de l’identité Protection de la vie privée Bénéfices potentiels Objectifs du SPF Finances Principes Directeurs Poursuite du projet

Situation (1) La raison d’être de cette présentation Limiter les risques auxquels un tel projet est généralement exposé Manque de visibilité Manque de support Manque d’adhérence L’implémentation du projet de Gestion de l’Identité aura un impact sur chacune des entités constituant le SPF Finances La solution de Gestion de l’Identité deviendra le « Sésame » pour l’accès aux systèmes d’information du SPF Finances La seule approche valide de la sécurité de l’information est une approche globale supportée par le top management Limiter les risques Typiquement dans le cadre d’une solution de gestion de l’identité, le département ICT acte en qualité de fournisseur de services, services qui sont mis à la disposition du business pour définir et gérer au mieux les profils utilisateurs et les droits d’accès aux éléments d’information. Nous verrons plus tard que c’est précisément cette délégation qui permet d’escompter un certain nombre de bénéfices Ceci situe à quel point un tel projet est critique. Une solution de gestion de l’identité ne peut que s’inscrire dans un approche de la sécurité de l’information. Identifier et authentifier les personnes afin de leur permettre ou non l’accès à l’information est un fonction de sécurité. Pour être véritablement efficace une telle solution doit s’intégrer dans un cadre cohérent de gestion de la sécurité de l’information.

Situation (2) Portée du projet Phases principales du projet Pré-étude d’une solution de Gestion de l’Identité pour le SPF Finances Phases principales du projet La Vision Le modèle futur (Haut niveau) Le modèle existant (Haut niveau) Le modèle futur (Détails) Le modèle de référence RBAC Les polices de sécurité Planning haut niveau Pré-étude: de janvier à mai 2004 Attribution du Lot 2 (implémentation): 4Q 2004 Implémentation d’une phase pilote: 2005

Situation (3) Organisation du Projet

Objectifs de la réunion Identification de la vision de la Direction Identification des objectifs du SPF Finances Identification des principes directeurs

Gestion de la Sécurité

Role Based Access Control(1) Avantages Soutient l’alignement des droits d’accès sur les besoins du métier. Fournit un cadre de référence cohérent et gérable pour la définition des droits d’accès pour les différentes positions au sein de l’organisation. Améliore le contrôle sur les droits d’accès accordés et contribue ainsi à l’amélioration de la sécurité de l’information. (1) RBAC is a standard developed by the National Institute of Standard and Technology (NIST)

Gestion de l’identité Le bloc de services au bénéfice de l’utilisateur final Le bloc de service au bénéfice des gestionnaires Intérêt de la délégation au business La base de donnée authentique

Cadre de référence pour la gestion de l’identité (1)

Cadre de référence pour la gestion de l’identité (2)

Protection de la vie privée Législation existante et directives Européennes Seront investiguées par le Prof. Folon, expert national et européen en matière de protection de la vie privée. Protection de la vie privée des employés Données privées Contrôles (utilisation et gestion de la plate-forme de gestion de l’identité, accès aux informations métier) Protection de la vie privée du Citoyen Afin de garantir la sécurité des données à caractère personnel, le responsable du traitement et, le cas échéant, son représentant en Belgique, ainsi que le sous-traitant doivent prendre les mesures techniques et organisationnelles requises pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification, l'accès et tout autre traitement non autorisé de données à caractère personnel. Ces mesures doivent assurer un niveau de protection adéquat, compte tenu, d'une part, de l'état de la technique en la matière et des frais qu'entraîne l'application de ces mesures et, d'autre part, de la nature des données à protéger et des risques potentiels.

Bénéfices potentiels (1) Amélioration de l’efficacité opérationnelle Réduction du coût total d’acquisition (TCO) de tous les systèmes Amélioration de la correction des informations d’identité et diminution des coûts inhérents à la gestion de ces informations Réduction des risques d’utilisation d’informations incorrectes dans les processus métier Appuie et facilite l’automatisation et l’alignement optimal des processus métier Diminue les coûts et le temps nécessaire pour fournir aux (nouveaux) employés les accès nécessaires aux ressources au sein de l’organisation Limite le nombre de comptes utilisateurs (accounts/passwords) Réduction du TCO de tous les systèmes Développement: les services fournis par la plateforme de gestion de l’identité ne doivent plus être développé, une seule interface standard à prévoir. Opération et maintenance: diminution de nombre de comptes à créer, à gérer, à maintenir et à contrôler Help desk: diminution drastique des coût relatif au support à l’utilisateur final. Amélioration de la correction des informations d’identité et diminution des coûts inhérents à la gestion de ces informations Information dérivée d’une source authentique, Une seule instance (idéalement) des différents attributs d’identité: information plus cohérente et plus facile et plus économique à maintenir Self-service: maintenance de certains attributs par l’utilisateur final Corollaire du point précédent

Bénéfices potentiels (2) Amélioration de la sécurité de l’information Assurer la conformité aux (futures) contraintes légales (protection de la vie privée) Amélioration de la gestion des comptes utilisateurs et des droits d’accès Amélioration de l’alignement des droits d’accès effectivement accordés avec les besoins du métier Limitation du nombre de paires identifiant/mot de passe Imposition cohérente d’une politique des mots de passe Exercice des contrôles nécessaires des clients, fournisseurs et employés, et de la protection des informations les concernant Limitation du risque d’anciens employés et/ou contractants conservant leurs droits d’accès aux ressources de l’organisation

Bénéfices potentiels(3) Amélioration de la qualité de service (électronique) fournie Employés Clients

Objectifs du SPF Finances Fourniture, d’une manière sécurisée et contrôlée, des services et mécanismes relevant de la gestion de l’identité nécessaires à la réalisation des objectifs identifiés dans le cadre du projet CoperFin en matière d’accès à l’information Minimiser les coûts relatifs à la gestion des utilisateurs par le biais, notamment, de l’automatisation, du self-service et de la délégation Amélioration de l’efficacité opérationnelle Amélioration de l’expérience de l’utilisateur final (environnement ergonomique) Amélioration de la sécurité de l’information Conformité avec la législation en matière de protection de la vie privée Permettre un audit étendu

Principes directeurs (1) La solution de gestion de l’identité du SPF Finances supportera la protection de la vie privée et sera conforme à la législation applicable en la matière La solution de gestion de l’identité fait partie du cadre de référence du SPF Finances pour la gestion de la sécurité de l’information Les permissions d’accès à l’information seront accordées exclusivement sur base d’un besoin métier Les éléments d’identité dériveront toujours d’une source authentique et chaque fois que possible il n’existera qu’une une seule instance de ces éléments La solution de gestion de l’identité, fournissant initialement des moyens d’authentification de base (user ID and Pwd) sera ouverte pour l’intégration de nouvelles technologies d’authentification (forte) dans le futur (token, smart cards (eID), biometrics)

Principes directeurs (2) La solution de gestion de l’identité du SPF Finances reposera essentiellement sur des Rôles L’association utilisateur-rôle sera automatisée et basée sur un attribut d’identité clairement identifié Un mécanisme (ex.: polices, règles) sera disponible pour moduler les droits d’accès en fonction des exigences métier (portée d’accès) Un mécanisme (ex.: workflow) sera disponible pour demander, approuver et accorder un accès exceptionnel à un élément d’information Un mécanisme sera disponible pour accorder de manière temporaire des permissions d’accès soutenues par un besoin métier sans corrompre la structure des rôles

Principes directeurs (3) Un mécanisme sera disponible pour la délégation des fonctionnalités nécessaires de gestion de l’identité au métier (business) Les rôles seront organisés de manière à assurer la séparation des responsabilités La solution de gestion de l’identité permettra un audit étendu tant dans le cadre de son exploitation, de sa gestion, que dans le cadre de l’accès à l’information.

Poursuite du projet Composition du groupe de pilotage Composition des groupes de travail ID Mgt (business et ICT)