Laser Cofinoga gère ses identités avec le français Brainwave
Aux Assises de la Sécurité, Philippe Canétos, RSSI de Laser Cofinoga, est revenu sur la problématique de gestion des identités. En insistant sur la composante organisationnelle d’un tel projet.
Assurer une gouvernance précise des identités n’est pas un luxe pour Laser Cofinoga, filiale de Cetelem dont l’activité est réglementée : maîtriser les accès au système d’information, et notamment sur la partie crédit, est un impératif, a expliqué Philippe Canétos, RSSI groupe et France de l’entreprise, lors d’un atelier organisé aux Assises de la Sécurité, à Monaco, début octobre. Avant de lancer, début 2014, le déploiement des outils de Brainwave, les équipes de Philippe Canétos assuraient « 26 contrôles de niveau 2 en France, permettant de faire une revalidation manuelle du bien-fondé des accès sur différents systèmes. » Constat sans appel : « ces contrôles étaient coûteux pour nos équipes, et d’une qualité et d’une fiabilité perfectibles. » Réalisés à partir de fichiers Excel, ils étaient en outre d’une portée limitée.
Prix de l’innovation de l’édition 2011 des Assises de la Sécurité, Brainwave a été retenu fin 2013 à l’issue d’un processus d’appel d’offre. Le RSSI de Laser Cofinoga a alors voulu profiter d’un reliquat de budget pour lancer un projet de modernisation de la gouvernance des identités, afin de répondre aux besoins de conformité réglementaire et de maîtrise des risques. Le français a été sélectionné à l’issu des soutenances : « ils étaient les mieux placés sur la grille d’évaluation de nos besoins, basée notamment sur la complétude fonctionnelle, la complétude technique, la capacité d’appropriation de l’outil par nos équipes internes, et surtout, la simplicité et la facilité de la réconciliation. » Un point clé.
L’identité, une notion étrangère à l’informatique
Philippe Canétos résume : « les métiers voient le monde comme tout un chacun, à savoir, une personne rattachée à une organisation, avec des droits liés à sa fonction. L’informatique voit des comptes, des identifiants, des ressources, des autorisations. » Deux mondes, donc, qui ne parlent pas le même langage. Et aujourd’hui, les systèmes d’information sont tellement complexes « qu’il n’est pas simple de dire : Voil les droits de cette personne dans le SI. Ni même de dire : voici la liste des individus qui ont accès directement ou indirectement à cette ressource par héritage. Mais à un moment, il faut rattacher des identités à des comptes. C’est la réconciliation. » Et le processus n’a rien de trivial. Les outils de Brainwave permettent de procéder à un premier rapprochement automatique, qui demande ensuite à être affiné manuellement.
La mise en œuvre de la solution a commencée fin janvier 2014, suivant un processus itératif, application par application. Et l’adhérence du projet à l’organisation a alors pu montrer toute sa mesure. Pour chaque application, il a fallu des entretiens de cadrage avec les experts fonctionnels, mettre au point les extracteurs, effectuer un premier chargement, lancer le processus de découverte des données, parfois les redresser. « Le moteur d’ETL a permis de découvrir des modifications ignorées ou oubliées », relève le RSSI de Laser Cofinoga. De quoi aboutir, après un premier croisement, à une restitution de type reporting aux experts fonctionnels.
C’est finalement au début du mois d'avril 2014 que l’entreprise a pu mettre en production les outils de Brainwave avec la base des identités et sur des applications du SI plutôt liées à des considérations techniques, avant de commencer à déployer sur le périmètre initialement défini.
Mobiliser les bonnes personnes au bon moment
L’occasion de découvrir l’une des difficultés liées à un tel projet : mobiliser les bons interlocuteurs au bon moment, avec le bon niveau de priorité, pour s’assurer qu’ils fournissent au plus vite les éléments nécessaires à l’avancement du projet. D’où une maîtrise du calendrier particulièrement difficile.
Mais aujourd’hui, les équipes de Philippe Canétos « peuvent travailler en autonomie sur le périmètre prévu pour lancer des requêtes ad hoc, détecter les comptes orphelins, les anomalies, voire les violations des règles de sécurité. Nous sommes en train de mettre en place les règles pour identifier les incohérences fonctionnelles : par exemple, si quelqu’un de la compta dispose de droits dans le SI crédit. Avant, à partir de tableaux Excel, c’était impossible. »
L’étape suivante consistera à mettre en œuvre la revalidation des comptes à intervalles réguliers, et mettre en place « un portail pour permettre aux managers de voir les droits de leurs collaborateurs et les ressources qu’ils gèrent. »