RTE consolide la gestion de ses identités avec Novell
Nadège Sahakian, responsable du Centre de Compétence Sécurité de RTE (Réseau de Transport Electricité) a profité d’un atelier organisé sur les Assises de la Sécurité, qui se déroulaient la semaine dernière à Monaco, pour présenter son projet d’IAM conduit avec des outils Novell. Un projet qui met bien en lumière certaines des difficultés inhérentes à la gestion des identités et des accès.
RTE est la filiale d’EDF chargée du réseau de transport de l’électricité – les lignes à haute tension, notamment. L’organisme emploie plus de 8 000 personnes et prévoit, à terme, de s’appuyer sur environ 1 500 prestataires externes. Des personnels qui ne sont pas salariés de RTE mais ont néanmoins besoin d’accéder à certaines parties de système d’information. Au total, la population d’utilisateurs du SI de RTE affiche donc une certaine hétérogénéité. C’est l’une des raisons qui ont motivé le projet d’IAM (Identity and Access Management, Gestion des Identités et des Accès) de l’organisation. Nadège Sahakian, responsable du Centre de Compétence Sécurité de RTE, précise les raisons du projet : réduire les coûts de gestion des comptes et des accès – « parce que quand on a plus qu’un seul outil, c’est beaucoup mieux que de devoir inscrire un même utilisateur quinze fois en quinze endroits différents… » –, assurer la fiabilité et l’exhaustivité des informations relatives aux habilitations, et optimiser le provisionnement des ressources.
La composante organisationnelle reste lourde |
Ce n’est pas forcément la dimension technique du projet d’IAM de RTE qui semble avoir été la plus lourde. Ni même, contrairement à ce que certains auraient attendu, le durcissement de la politique des mots de passe – comme il n’y en avait plus qu’un à retenir… Nadège Sahakian souligne la difficulté de la définition des habilitations en fonction des métiers : « créer les profils métiers, c’est une catastrophe… savoir quel métier utilise quelles applications, savoir si le comptable de Bézier utilise les mêmes applications que celui de Paris… C’est un travail qu’il faut faire avec les métiers, main dans la main. C’est à eux de procéder à cette qualification. » Et pour l’instant… « on n’y arrive pas parce que on est une organisation extrêmement décentralisée avec des applications parfois redondées. Ca, c’est une vraie difficulté. » |
Cliquez pour dérouler |
Ainsi, RTE compte s’appuyer sur l’IAM pour gérer efficacement le cycle de vie des utilisateurs, consolider la gestion de l’accès aux applications et assurer la traçabilité de ces accès, le point de départ vers des audits.
Une architecture de méta-annuaire
« En 2005, on a créé un méta-annuaire unique dans lequel on ne rentre rien. Toutes les données y sont provisionnées à partir de l’annuaire des salariés et, à l’époque, d’un carnet d’adresses Notes pour les prestataires – ils ne sont pas salariés et ne sont donc pas référencés au niveau RH. » Un ensemble sur lequel viennent se greffer des fonctions d’administration du méta-annuaire, voire d’auto-administration pour permettre aux utilisateurs de - par exemple - changer leur mot de passe. Les données sur méta-annuaire sont partagées avec les applications – pour les accès – via LDAP, avec une brique de gestion des accès : en fonction du métier, l’utilisateur peut accéder à des applications avec un certain nombre de droits, etc. « Le bénéfice, pour les utilisateurs, c’est de pouvoir accéder à toutes les applications avec un seul login/mot de passe. » Un gain de confort qui se traduit en gains de sécurité : le méta-annuaire permet d’en finir avec les habitudes du type « et je te colle un post-it sous le clavier ; la secrétaire qui imprime une fiche plastifiée pour conserver les mots de passe de tout le monde… » Non pas qu’une solution de SSO soit déjà déployée à ce stade : simplement, les utilisateurs peuvent utiliser le même couple login/mot de passer pour s’authentifier sur leurs applications. Côté administration, la gestion de l’ensemble du cycle de vie des utilisateurs et de leurs droits est consolidée.
Une extension fonctionnelle et de périmètre progressive
En 2006, RTE a décidé d’imposer le raccordement au méta-annuaire de chaque nouvelle application ou de chaque application existante dans le cadre d’un grand palier de développement. Globalement, Nadège Sahakian estime à 20 le nombre de nouvelles applications raccordées par an, pour un total d’environ 80 en 2009.
En 2007, des briques supplémentaires ont été greffées à l’ensemble, à commencer un processeur d’habilitations : là, les droits sont rassemblés au travers de rôles, eux-mêmes rassemblés en profils. Au niveau du méta-annuaire, un outil de reporting vient compléter la console d’administration. Côté applications, une brique SSO est ajoutée pour les applications Web. Enfin, un connecteur ActiveDirectory est ajouté pour assurer la cohérence du couple login/mot de passe avec les sessions Windows sur les postes de travail.
Une menace : la panne
Si elle présente de nombreux avantages, l’architecture retenue chez RTE pour la consolidation de la gestion des identités et des accès n’en présente pas moins quelques défauts. Certains sont propres à la structure – deux personnes sur le projet, qui doivent parfois mettre la main à la pâte pour la connexion des applications au méta-annuaire – d’autres à l’architecture : le méta-annuaire « est de plus en plus sensible » ; en cas de plantage, l’ensemble des applications raccordées est paralysé mais « on s’arrête tout de suite, en quatre ans, il a planté deux fois, » rassure Nadège Sahakian, « une fois une heure et une fois une journée. » Quelques bémols, aussi, dans la mise en œuvre de l’ensemble : « au début, on voulait ajouter les utilisateurs dans le méta-annuaire », mais c’est au niveau du référentiel ActiveDirectory que l’opération est réalisée, quand bien même les RH seraient les premiers à connaître les mouvements des salariés… Des considérations d’organisation internes et un « petit problème technique » non précisé ont contraint à l’inversion du processus.