Natixis prépare le renforcement de la traçabilité des identités
A l’occasion des RIAMS, le responsable maîtrise d’ouvrage sécurité de Natixis a donné son opinion sur ce qu'il estime être les clés de la réussite d’un projet de renforcement et de rationalisation de la gestion des identités et des accès visant à renforcer la traçabilité.
Michel Wurtz, responsable Maîtrise d’ouvrage sécurité chez Natixis, dresse le tableau : le groupe bancaire compte plus de 22 000 utilisateurs, répartis sur de nombreux sites, en France métropolitaine comme à l’international, au sein d’une myriade d’entités. Et là, il faut compter avec de nombreux référentiels, «inexistants» ou qui existent mais sont «parfois incomplets», et même des processus variés «parfois conflictuels.» De manière synthétique, il résume une situation peu glorieuse : la traçabilité est «quasi inexistante et en tout cas faible.» Quant au provisionnement des utilisateurs, il n’est guère plus tendre : «un existant multiple et varié» entre véritables outils de provisioning et simples éléments de «synchronisation.» Et de conclure, sans appel : «au final aucune vision consolidée des droits, des accès, des personnes. Du pain béni pour les auditeurs.»
C’est donc là qu’intervient le projet Thor de Natixis, lancé début 2012 : il doit permettre de maîtriser l’accès aux applications et données critiques tout en répondant aux besoins d’audit internes et externes, et en unifiant pratiques et processus d’habilitation. Dans son document de référence 2012, le groupe explique que ce projet «vise à améliorer, dans le cadre d’une automatisation accrue, les processus de délivrance d’habilitations, de maintenance des référentiels d’habilitation, et de contrôle.» Tout en indiquant que «le déploiement par métier est prévu en 2013 et 2014.» Concrètement, la mise en production est aujourd’hui prévue pour la mi-juin après validation d’un pilote lancé au sein de Banque Privée 1818.
Miser sur les utilisateurs
Michel Wurtz souligne l’attention portée aux utilisateurs finaux : «l’objectif est que l’outil soit accepté par les utilisateurs.» Dès lors, l’ergonomie a été définie comme l’un des critères les plus importants pour le choix de la solution : «nous avons confronté des utilisateurs aux différents outils sélectionnés et ce sont eux qui ont fait le proof of concept.» En clair : l’expérience de six utilisateurs, sur deux jours, a piloté le choix de l’outil. Et c’est une solution Dell Software (anciennement Quest) qui a finalement été retenue. Et tant pis si cela a nécessité le développement d’un connecteur spécifique avec Tivoli Identity Manager, l’outil de privisioning principal du groupe, avec lequel les systèmes de production ont une «forte adhérence.» A cela se sont ajoutées des briques de gestion des habilitations, de recertification, et une autre de «création de valeur ajoutée pour le correspondant de sécurité logique» pour la gestion du modèle d’habilitation «qui lui ne sera plus là pour donner les droits aux personnes mais pour aider le métier à modéliser le profil de ses utilisateurs.»
Un apprentissage laborieux
Si le projet apparaît essentiel tant sur le plan de la sécurité pure que de la conformité - une entité dont relève Michel Wurtz -, il n’a pas été sans difficultés : «on a eu plusieurs échecs», reconnaît le responsable de maîtrise d’ouvrage sécurité. Et de relever un premier écueil : «on s’y prenait tantôt par l’outil informatique» ou par les workflows mais «ça n’a jamais vraiment fonctionné; nous avions des problèmes de déploiement.» Pas question d’abandonner pour autant ni de chercher à aller trop vite : «on a tout posé et laissé murir pendant environ un an.» Et de construire une équipe spécifique en maîtrise d’ouvrage, chargée notamment de la conduite du changement. Et donc, de miser sur les utilisateurs.
Fort de son expérience, Michel Wurtz identifie un premier point clé - «facile à dire, pas facile à faire,» reconnaît-il : «bien choisir son pilote.» Et cela veut dire ne pas retenir, selon lui, une entité trop petite car l’expérience risque de souffrir d’un manque de reconnaissance. Ni une entité trop grande car ce serait trop difficile... «Il n’y a pas de recette miracle pour un bon pilote.» Une entité trop mature peut également s’avérer problématique, du fait d’une confiance trop grande dans le modèle existant. Et «s’il n’y a rien, c’est très chronophage.» Bref, le pilote doit être choisi en fonction de la capacité des utilisateurs à être... «volontaires.» Surtout, il faut trouver les bons sponsors pour le projet. Dans le cas de Natixis, «ce qui ne bouge pas, c’est l’inspection générale.» Un sponsor stable dans le temps et auquel personne ne peut dire non. Une clé en or.