Avec une croissance de près de 30% par an, les attaques cybernétiques concernent une entreprise sur cinq, et le coût moyen d’une telle infraction avoisine 13 millions de dollars. Si les États-Unis restent la principale cible des cybercriminels, la France se positionne en quatrième position de ce triste palmarès. Le sujet de la protection des données devient un enjeu majeur, au point que le marché de l’IAM (Identity and Access Management) devrait croître de près de 23 % sur les quatre prochaines années selon le cabinet ResearchAndMarkets.
Les principaux acteurs, tels que AS Cognito, MS AD (Microsoft Active Directory) et ForgeRock, Sail Point, Okta … traitent principalement des sujets d’audit, de conformité et de gouvernance, de services d’annuaires, d’authentification multifactorielle, de provisionnement, gestion des mots de passe et d’authentification unique. La maison est bien gardée, à l’instar d’un hôtel dont les chambres seraient protégées par des fermetures à quatre points, une vidéosurveillance omniprésente, un détecteur de mouvement et une alarme dissuasive.
Pourtant, vous en conviendrez, si à l’accueil l’hôtesse vous donne la clé d’une chambre qui n’est pas la vôtre, toutes ces protections deviennent caduques et vous pourrez dévaliser le mini-bar de votre voisin sans en régler la facture.
Le sujet de savoir qui est qui et qui a accès à quoi à chaque instant devient un sujet central qui vous assigne d’être à jour en temps réel de votre cartographie applicative, quel que soit le nombre de vos collaborateurs (endogènes ou exogènes) et quel que soit le nombre d’applications utilisées par votre organisation (généralement plusieurs centaines de services cloud).
En pratique pourtant, seulement un tiers des entreprises est en mesure de produire cette cartographie applicative sous 24 heures. La responsabilité est partagée entre la Direction des Systèmes d’Information (DSI) et les services, et il est difficile d’accabler celui qui aurait zappé un mail ou un ticket ou celui qui, pris par son activité, aurait oublié de demander le retrait d’un droit.
Sans responsabilité centralisée, sans synchronisation automatique, sans connaissance partagée, il ne peut y avoir de solution satisfaisante. Actuellement, les outils d’ITSM qui viennent au secours des outils d’IAM ne performent que si une action initiale manuelle est entreprise, sous réserve qu’ils couvrent l’exhaustivité du périmètre en cohérence avec les systèmes d’information des ressources humaines (SIRH), annuaire et autres outils de suivi des acteurs non-salariés. Dans tous les cas, et quelle que soit la profondeur du provisionning, ils n’indiquent à aucun moment le pourquoi des accès, ce qui en réduit significativement la capacité d’audit.
ROK est conçue autour d’une approche organique et systémique de votre organisation soutenue par un algorithme disruptif unique (ROKe TM).
L’axe organique va vous permettre de modéliser vos organigrammes en intégrité avec vos SIRH et annuaires en y rajoutant si nécessaire les collaborateurs non-salariés ; un who’s who digital à jour sera ainsi à tout moment consultable et éditable pour un partage rassuré. Voir article Who’s Who
L’axe systémique consiste en une plateforme NoCode qui va vous permettre de dessiner vos flux de collaborateurs autour de ces organigrammes afin d’en suivre les mouvements en entrée, sortie et mobilité au plus près de vos spécificités métiers. La solution va exposer des connecteurs afin de garantir l’intégrité avec les logiciels de gestion préexistants (SIRH, annuaires, ITSM …). Le provisionnement des droits sera assuré quand il n’est pas soutenu par une autre solution. Voir article No Code
A titre d’exemple, ROK, provisionne avec succès SAP sur un périmètre de 200 sites couvrant toute l’Europe pour le groupe Elis.
Témoignage François Blanc – DSI Elis
« ROK permet la standardisation des droits d’accès … la délégation de cette gestion aux fonctions …l’amélioration de la sécurité des systèmes d’information, la réduction des couts d’administration ».
Globalement, l’implémentation de vos organisations, quelle que soit leur complexité, ainsi que les règles de synchronisations avec vos supports préexistants, peuvent être réalisées en quelques jours (en fonction de vos supports). Ce travail préliminaire fait, tout mouvement de collaborateur sera suivi en temps réel.
Votre cartographie applicative sera pilotée en mode projet directement via la plateforme. Le travail de provisionnement sera accéléré par l’IA adjointe à la solution. En quelques semaines, tout mouvement de collaborateur, ou de méthode de travail, entraînera la mise à jour automatique des droits applicatifs liés.
En bonus, la solution va nativement gérer les SOD (Segregation of Duties).
Techniquement, il s’agit d’une plateforme Cloud (multi-tenant, multi-instances) accessible sur tout laptop et mobile à travers une interface web responsive distribuée en direct en mode SaaS pour moins de 5 € par user ou via notre revendeur ATOS.
Après dix années de développement, la plateforme ROK devient la première plateforme No-Code « compliant » et sécurisée par conception, vous permettant de modéliser vos organisations et, dans le même temps, de créer, en intégrité, vos propres applications en no-code créant ainsi un lien unique en l’organique (vos équipes), le systémique (vos flux) pour une vision centralisée partagée des responsabilités et droits applicatifs.
ROK Décodeur : Vos Questions, Nos Réponses !
L’IAM n’a jamais été aussi clair.
Il y a plusieurs façons d’aborder le sujet de la sécurité, quelles sont-elles ?
On distingue plusieurs approches présentant chacune des avantages et inconvénients :
- Les méthodes restrictivesque sont le Zéro trust, le principe du moindre privilège (PMP) complétés du PAM (gestion des accès privilégiés). L’avantage de ces méthodes résident en l’exposition de la surface d’attaque qui est réduite. L’inconvénient réside en la complexité de sa mise en œuvre et maintenance mais également en des couts liés importants conjugués à des performances réduites.
- Le contrôle d’accès basé sur les Rôles (RBAC), qui simplifie la gestion sauf dans le cas d’environnements complexe en l’absence de données organisationnelles
Auxquelles on peut rajouter en complément
- Les méthodes à double contrôle que sont les Authentifications Multi facteur (MFA) ou l’Authentification Basée sur le Risque (RBA) contraignante pour la première, complexe pour la seconde qui nécessite en outre un suivi continu. C’est par ailleurs une méthode qui ne se suffit pas à elle seule.
Si la méthode du RBAC semble être la plus adaptée, on comprend rapidement qu’au regard de la taille ou complexité du Groupe à protéger sa mise à jour en temps réel va poser un réel sujet expliquant qu’1/4 des entreprises seulement est en capacité de produire une cartographie applicative à jour en moins de 48 h.
Dans ROK les accès où les permissions sont attribuées aux utilisateurs selon leur rôle au sein de l’organisation ce qui simplifie la gestion des permissions et améliore la sécurité en limitant l’accès aux ressources nécessaires.
On se rapproche donc d’un RBAC (Role Based Acces Control) ; toutefois ROK va au-delà de la notion de « rôle basé sur les autorisation »et c’est ce qui en fait une offre unique plus simple à mettre en œuvre et maintenir, adaptée à des environnements complexes présentant des exigences d’accès nuancées.
Pour réaliser cette promesse ROK présente 3 spécificités que l’on ne trouve pas dans les offres IAM du marché :
- Une fusion des « rôles autorisations » et des « rôles organisationnels » ce qui permet en une seule interface de rendre intègre les SIRH avec l’IAM et d’automatiser les iTsm
- Une gestion en temps réel et automatisée des flux de collaborateurs grâce à son module No-Code
- Une intégration sans effort des risques liés à la SoD (ségrégation Of Duties)
Par son approche holistique, ROK va permettre d’utiliser (s’interfacer) les outils préexistant dans l’entreprise (IAM, annuaires … etc.) afin d’orchestrer en temps réel la sécurité du système d’information.
Quel est l’effort à produire pour mettre en place ROK ?
ROK est une plateforme Cloud multi-tenant et multi-instances qui peut être servie par un cloud privé ou public. Généralement commercialisée en mode SaaS pour un cout unitaire de moins de 5 € par user, la mise à disposition de la plateforme est « instantanée ».
Le paramétrage de l’organisation est relativement rapide si l’information existe sur un ou plusieurs supports. La modélisation des flux de collaborateur est simplifiée par l’IA et personnalisable afin de tenir compte des spécificités d’organisations complexes importantes.
Un POC rapide permet en amont de valider la charge à produire pour une couverture à 360°.
La maintenance quotidienne est réduite à son minimum et concentrée sur le changement organisationnel (acquisition, fusion …)
Quel est le niveau de provisionning permis par ROK ?
A défaut d’outils préexistant (IAM intégrant du WF et/ou outils d’iTsm de type service Now), ROK peut provisionner n’importe quelle application présentant des API au travers de flux no-code personnalisés.
ROK peut également déclencher via des API un outil d’iTsm par exemple, dès lors qu’il identifie automatiquement un mouvement de collaborateur ou un changement organisationnel métier.
A titre d’exemple, ROK automatise le provisionning des droits SAP et remplace avantageusement IDM en automatisant le process de mise à jour et en présentant les autorisations en langage IT avec sa traduction métier.
Dans ce cas particulier ROK porte également le volet SoD sans cout additionnel.
Cette performance a été reconnu par Atos qui est distributeur de cette offre.
Comment ROK aborde il ce sujet ? quelle est la méthode utilisée ?