Le rôle management suscite l'intérêt des RSSI

Par:
fredericmazue

ven, 13/06/2008 - 10:50

La question de la gestion des rôles a été un grand sujet de discussions lors des Rencontres de l'Identity and Access Management. Sun a défendu cette approche majeure de la gestion des identités et des accès, et a tenté de persuader les RSSI que la fédération avait toujours de beaux jours.

La quatrième édition des Rencontres de l'Identity and Access Management (RIAM), organisée par Atheos, a rappelé l'importance de la gestion des rôles (Role Management en anglais). Cette brique de la gestion des identités est un processus de définition et d'assignation de rôles aux utilisateurs, basés sur leur métier au sein de l'entreprise. Elle permet ensuite la gestion de l'accès aux ressources en fonction des rôles de chacun, et non plus simplement de droits individuels.

Les nombreux RSSI ont longuement débattu de cette étape d'un projet de gestion des identités et des accès. Une étape jugée importante ne serait-ce que par l'ampleur de la tâche: "Nous avons tracé un périmètre très large pour la gestion des rôles, en allant du purement fonctionnel jusqu'à la gestion des droits fins, c'est-à-dire ceux définis au sein des applications" rappelle un intervenant. Car trois niveaux de droits sont à traiter. Le premier regroupe les droits inhérents aux applications (la gestion des droits fins évoquée ci-dessus). Le second concerne les rôles IT au sens RBAC (Role-Based Access Control) du terme, c'est à dire selon une vision purement systèmes informatiques . Enfin le dernier niveau recouvre les rôles dits "métiers", qui collent cette fois non plus à l'informatique mais à l'activité de l'entreprise. La plupart des solutions du marché gère surtout des rôles IT, en permettant de décrire le modèle déjà en place. Un outil de Role Management définit, lui, les rôles métiers et s'assure que du côté de la technique le provisioning puisse intervenir convenablement.

L'une des tables rondes a insisté sur le moteur qu'est le Role Management en matière de traçabilité. "La traçabilité relève de deux aspects, l'un technique qui fait la part belle à l'analyse des logs produits par les équipements, l'autre métier qui garantit que l'on maîtrise le comportement de l'utilisateur" explique un RSSI avant de poursuivre "J'ai pu pousser la traçabilité en m'appuyant sur le Role Management". Un consultant renchérit: "La traçabilité est nécessaire au niveau des applications pour une cohérence de la démarche d’administration des droits fins".

Les éditeurs, Sun en tête (présent lors des RIAM) affirment la maturité du marché et des offres. Sun a d'ailleurs eu l'occasion d'exprimer son opinion sur la question des rôles. "Après la gestion du cycle de vie des identités, leur fédération et la traçabilité, le défi des années à venir est la gestion des rôles. Ces derniers permettent des notamment de prouver plus facilement le respect des règlementations par l'entreprise que si elle ne s'attache qu'aux individus", expliquait Dominique Perrin, de Sun, à l'assemblée des RSSI réunis par Atheos. Bien entendu, le sujet n'était guère abordé par Sun avant son rachat de l'éditeur Vauu, développeur justement d'un logiciel de... gestion des rôles. Toutefois laisser entendre que la gestion du cycle de vie des identités s'est banalisée et que la gestion des rôle est le prochain défi à relever est peut-être un peu hâtif, et n'aura probablement pas manqué de faire tiquer Microsoft (également présent), dont l'offre phare en la matière est aujourd'hui, justement, la gestion du cycle de vie.

Toutefois, les débats de ces RIAM 2008 on permit de modérer l'enthousiasme des éditeurs. Car l'existence de solution de role management abouties sur le marché ne masque pas pour autant les limites naturelles de l'exercice, et notamment la difficulté d'automatiser leur création. "Si le produit miracle de génération des rôles existait, cela se saurait" insiste Alexandre Garret, Directeur technique d'Athéos. Un projet de gestion des rôles nécessite ainsi une solide part de conseil et n'intervient généralement qu'après la mise en oeuvre des pré-requis que sont une bonne gestion des identités, et donc - entre autres - un projet d'annuaire(s) réussi.

C'est probablement pour cela que Sun est en parallèle revenu sur la fédération des identités, présenté comme l'autre grand défi à relever. Une position compréhensible sachant que Sun défend depuis longtemps le projet Liberty Alliance, mais plus difficile à justifier face au peu de projets réellement déployés dans le domaine. "Les déploiements existent pourtant. La fédération répond à des besoins différents en fonction des domaines d'activité concernés", justifie Dominique Perrin. Force est de constater que les exemples ne se bousculent pas. D'autres éditeurs ont d'ailleurs calmé leurs ardeurs sur le sujet. Art Coviello, Vice Président de RSA, la division sécurité d'EMC, interrogé par LesNouvelles.net en 2006, reconnaissait que la fédération des identités passait en queue de liste des préoccupations de la majorité des entreprises.

Néanmoins, Sun identifie trois grands secteurs qui gagnent à fédérer leurs identités :

- Les grands industriels, pour qui la fédération permet de mieux communiquer avec leur multitude de petits partenaires.
- Les très grandes entreprises, qui y trouvent le moyen de faire communiquer entre eux les différents silos métiers qui les composent.
- Le gouvernement, dont les projets de e-administration concernent autant la communication inter-administrations qu'avec le citoyen.

Bien qu'il ait présenté une vision très orientée vers ses propres acquisitions et initiatives, Sun était le seul éditeur présent aux RIAM à être concret. Invité à faire de même, IBM n'a tout simplement pas abordé l'IAM mais a remarquablement provoqué l'ire de plusieurs RSSI en affirmant que ceux ci avaient peu de chances dans leur carrière d'évoluer vers une autre fonction, telle que celle de DSI. Microsoft n'a quant à lui guère apporté de nouveautés à sa présentation d'Identity LifeCycle Manager depuis les dernières Assises de la Sécurité, alors que de nombreuses fonctionnalités n'existent encore que sur la roadmap (la date de disponibilité du produit ayant déjà été repoussée). Et la question du Role Management n'a pas été traitée.

Deux des éditeurs présents, enfin, n'ont aucune prétention à gérer les rôles mais s'appuient pour cela sur des partenariats. RSA préférait ainsi mettre l'accent sur le contrôle d'accès (le "AM" de IAM) et s'intégrer aux solutions du marché. De même pour OpenTrust, qui présentait la suite OpenTrust 3.0 en partenariat avec Atheos. Celle-ci s'intègre en standard aux solutions de Sun, IBM/Tivoli et Oracle pour la gestion des identités, et apporte quant à elle la gestion d'un badge unique et l'authentification forte afin de gérer les moyens d'accès physiques et logiques. OpenTrust s'appuie sur l'expertise d'Atheos pour le volet du Role Management lié à cette offre.