Management des Identités et des Accès (GIA / IAM)

Un tiers des organisations aurait subi une perte de données causée par le fait d'un collaborateur, avec des pertes potentielles pour chaque incident dépassant les 5 millions d'euros , et 43 % des violations de données résultent d'attaques ciblant dans un premier lieu une personne de l'entreprise.

L'accès aux systèmes numériques est la première ligne de défense. Et elle ne concerne pas seulement les collaborateurs de l'entreprise : clients, partenaires commerciaux ou fournisseurs viennent élargir régulièrement le périmètre des identités et des droits d'accès afférents. Et des dispositions réglementaires comme le RGPD et sa nécessité de transparence dans les données pour les tiers en relation avec une organisation viennent rajouter un peu plus de complexité dans la gestion des accès.

Qu'est ce que la Gestion des Identités et des Accès ?

La Gestion des Identités et des Accès (GIA) (en anglais, Identity and Access Management, IAM) est une des composantes majeures de la sécurité informatique.

La multiplication des terminaux connectés au réseau d'entreprise, le développement des politiques de BYOD ("bring your own device" = "venez avec votre propre matériel"), la nécessité de mobilité des salariés pour accéder au application (VPN, SaaS), la gestion des "espaces clients" rendent l'aspect connexion humaine aux systèmes, sites et applications extrêmement critique en terme de sécurité.

La GIA regroupe donc l'ensemble des processus à mettre en oeuvre par une organisation pour gérer les habilitations de tous ses ayants-droits aux différents outils numériques mis à leur disposition, sécuriser les accès et suivre dans le temps quel type d'information a pu être consulté/modifié.

On considère que la gestion des identités et des accès peut être divisée en 3 phases : l'identification de l'utilisateur, l'authentification au système, l'autorisation d'accès aux ressources.

Chacune de ses phases implique des contingences techniques mais aussi, une forte nécessité de transversalité avec d'autres services de l'entreprise : Par exemple, la RH pour l'identification des collaborateurs ou les services commerciaux pour celle des clients. Sans faire l'impasse sur les différentes directions métier car la détermination de quelle façon (lecture, collaboration) et à quelles informations/applications, un utilisateur est susceptible d’accéder, dépendent de leur organisation et de la stratégie de l'entreprise.

Le choix de la bonne plateforme technique et l'optimisation des processus d'identification et d'accès apportent donc des gains qui dépassent les aspects cybersécuritaires. Ils peuvent aussi amener plus d'agilité dans l'utilisation des outils/applications voire permettre de réduire certains coûts en rationalisant la gestion des individus dans leur rapport au système d'information.

Un programme sur mesure

L'Université de technologie de Troyes, en partenariat avec Synetis, a développé une formation sur mesure pour les équipes du service Informatique et Technologie Groupe (ITG) de BNP-PARIBAS.

Un programme co-construit avec les équipes informatiques de la BNP PARIBAS, afin de définir un contenu en parfaite adéquation avec les besoins immédiats et futurs de la banque.

Les objectifs pédagogiques affichés étant l'uniformisation du niveau de connaissances de l’équipe actuelle, l'approfondissement des acquis sur certains sujets spécifiques et le partage de connaissances et de retours d’expériences.

Les 4 journées s'organisaient autour des 4 principes qui définissent communément la gestion des identités et des accès.

• Identification : principes, SSO, cycle de vie des identités, protocoles...
• Authentification : cryptage, gouvernance de l'authentification, modèles de contrôles d'accès et d'authentification....
• Autorisation : délégation d'identité, gestion des droits & habilitations, notion de méta-annuaire...
• Transversalité : formats d'échanges, contraintes juridiques, solutions techniques existantes, notion d'annuaire (LDAP,...), audit et traçabilité...

Une formation présentielle sur mesure alternant théorie et cas pratiques.

Objectifs Pédagogiques

• Uniformisation du niveau de connaissances de l’équipe actuelle (14 salariés)
• Approfondissement des acquis sur certains sujets spécifiques
• Partage de connaissances et retour d’expériences

Durée

4 jours de formation en part-time (avril à juin) / 28h