Sun : « l’affaire Kerviel donne corps à la tendance vers plus de conformité et de gouvernance »
Alors que Sun vient de mettre à jour son offre en matière de gestion des utilisateurs, Dominique Perrin, directrice de la division logicielle de l’éditeur, et Jean-Yves Pronier, son directeur marketing produits, font le point sur l’état du marché français pour ce type de solutions.
LeMagIT : Qu’est-ce que l’affaire Kerviel a fait changer, dans les mentalités, en termes de sécurité et de gestion des identités ?
Jean-Yves Pronier : L’affaire Kerviel a contribué à rendre plus concrète une tendance déjà présente en faveur d’une plus grande adoption des solutions de mise en conformité réglementaire et d’aide à la gouvernance. C’est une tendance qui vient des Etats-Unis. Jusqu’ici, elle n’était pas très prononcée en France car le législateur ne s’était pas saisi du sujet. Avec l’affaire Kerviel, les sensibilités ont été renforcées. Mais attention, on reste loin de la prise de conscience généralisée. De notre point de vue, environ 10 % des entreprises, toutes tailles confondues, se sentent véritablement concernées.
Dominique Perrin : Aujourd’hui, ce qui fonctionne dans les entreprises, c’est une vision de la sécurité et de la gestion des identités très technique : il s’agit de gérer les utilisateurs et leurs habilitations. Cela se répand de plus en plus car ça répond vraiment à un besoin pragmatique. Mais certains mouvements vers la conformité et la gouvernance remontent à avant Kerviel, avec la réglementation américaine Sarbanes-Oxley par exemple, qui a introduit le besoin de traçabilité dans les échanges.
[Retrouvez notre dossier sur les projets IT de la Société Générale suite à l'affaire Kerviel]
Mais, globalement, en France, dans beaucoup d’entreprises, on reste dans une vision technique de l’utilisateur et de ce qu’il a le droit de faire, par opposition à une vision tournée vers les métiers, avec gestion des droits basée sur les rôles plutôt que sur les identités. Mais cette situation doit pouvoir évoluer dans le temps vers la ségrégation des droits, avec l’association des métiers dans la définition des règles et leur validation.
J.-Y. P. : Il faut dire que les solutions de gestion des rôles ne sont apparues qu’assez récemment. Mais la tendance est clairement en train de se renforcer ; la compréhension du marché et des entreprises est en train de se renforcer. Il y a encore quelques années, la sécurité était exclusivement entre les mains du RSSI. Avec le développement de la gestion du risque et de la problématique de la conformité, on touche d’autres populations.
LeMagIT : Mais la question des prérogatives des responsables de la sécurité du système d’information (RSSI) et de leur rattachement hiérarchique reste entière…
J.-Y. P. : C’est exact. Même dans les 10 % d’entreprises qui se sentent vraiment concernées par ces problématiques, les RSSI aux prérogatives étendues et pas seulement techniques sont minoritaires aujourd’hui. Reste que le renforcement des obligations légales et réglementaires pousse à l’élargissement des prérogatives des RSSI.
D. P. : Surtout, il y a quelques moteurs très pragmatiques qui poussent dans le sens de la responsabilisation des métiers. Par exemple, en dehors d’une approche par les rôles, on peut tracer des couples utilisateurs/applications mais les rapports produits sont impossibles à auditer : on obtient des listing de millions de lignes avec des codes utilisateur et des codes application ; c’est parfaitement inexploitable. Et puis, sur le terrain, le cœur du problème est que les métiers ne s’en sortent pas dès qu’il y a des mouvements dans les effectifs : la perte de productivité est énorme dès qu’il faut faire évoluer les accréditations.
LeMagIT : La mise en place d’une gestion des droits basée sur les rôles demande un effort de modélisation important. Est-il possible de capitaliser sur la modélisation des processus réalisée par exemple dans le cadre de la mise en place d’un ERP/PGI ?
D. P. : C’est d’autant plus vrai qu’avec la mise en œuvre de solutions de provisionnement, les entreprises sont amenées à mettre en place des notions proches de la gestion des rôles avec des groupes, des groupes de groupes, etc. La gestion des rôles est finalement sous-jacente.
J.-Y. P. : La gestion des rôles arrive en complément des solutions existantes de gestion des identités. Elle amène le RSSI à aborder les problématiques des métiers avec des outils efficaces vis-à-vis des processus. C’est là que l’on fait le lien avec les processus métiers. Mais la différence est grande avec les projets ERP. Dans le cadre de la mise en œuvre d’une solution de gestion des rôles, on se contente de copier le modèle d’organisation de l’entreprise ; il n’est pas question de le transformer.
D. P. : En fait, la mise en œuvre se fait de manière très souple, métier par métier et entité par entité. En termes de méthodologie, on ne décrète pas une organisation en cascade : on utilise déjà les informations sur la réalité de l’organisation pour décliner les rôles. On analyse les annuaires, la cartographie des habilitations ; on découvre qui a le droit à quoi. C’est déjà souvent une grande surprise. On dégage les véritables rôles et ce à quoi ils ont accès.
Quand on fait cette analyse, on se trouve généralement à gérer des situations de surdroit.
LeMagIT : Quelles autres tendances observez-vous sur le marché de la sécurité et de la gestion des identités ?
J.-Y. P. : Les entreprises déploient de plus en plus de solutions de SSO [Single Sign-On ; authentification unique]. On est à peu près à 60 % sur les grands comptes. Dans le même temps, la fédération des identités connaît une accélération sensible, notamment chez les banques. Nous avons beaucoup de projets signés ou en cours d’étude. Dans de nombreuses entreprises, le SSO et la fédération sont un préalable aux solutions de provisionnement.