Le 20 juin, Solutions IT et Solutions-numeriques.com animait une table ronde sur le thème : l’identité est une faille de sécurité. L’Essec est venu témoigner au côté de l’éditeur RSA, entité sécurité d’EMC. Compte-rendu.
Les usurpations d’identité sont des maux quotidiens. Selon le cabinet Forrester, 71% des utilisateurs admettent accéder à des données auxquelles ils ne devraient pas accéder. L’incapacité de maîtriser «qui a accès à quoi», représente un risque considérable de perte de données et financières. Dans ces conditions, la sécurité passe par la prévention (voir notre article), et notamment une bonne gestion des accès et des identités. Il y a de plus en plus de systèmes et services à gérer et de privilèges d’accès associés à maîtriser notamment avec une forte mobilité interne des employés. Il devient alors difficile de «fournir le bon accès, à la bonne personne et au bon moment », pourtant but ultime de la gestion des identités et des accès.
L’éditeur RSA venait exposer sa démarche en compagnie de l’Essec, un de ses clients. Connu pour son célèbre Token, qui équipe des millions d’utilisateurs et contrôle l’accès au poste de travail, RSA fait partie de la fédération EMC, VMware et Pivotal depuis 2005. Avec l’augmentation du shadow IT et la déstructuration du SI, RSA a adapté ses activités, avec trois axes de développement : le SOC, la GRC et, socle de base, l’IAG, la gestion des identités et des accès. Dans ce dernier domaine, RSA équipe l’Essec avec sa solution RSA Via.
Essec : 100 000 comptes à gérer !
La dynamique Catherine Croiziers, directrice des systèmes d’information de l’Essec, rappelle quelques chiffres, qui permettent de mettre en perspective leurs besoins. L’Essec, école d’abord catholique créée en 1907– on le sait peu – c’est trois campus : La Défense, Cergy-Pontoise et Singapour, et bientôt deux autres au Maroc et à l’Ile Maurice, 5 000 étudiants en formation continue, 5 000 autres en formation professionnelle, 166 professeurs permanents, 800 vacataires et 600 personnels. 2 000 étudiants diplômés chaque année ont aussi droit à un compte à vie…
Au final, l’Essec gère 100 000 comptes, 7 annuaires différents, 300-400 applications, des applications « industrielles » (finances, SIRH…) aux outils Cloud, SaaS, etc… Autant de problématiques de droits d’accès, de gestion des entrées et des sorties… que la DSI a pris à bras le corps à son arrivée il y a 1 an et demi. Après avoir renoncé à l’impossible mission de réunir rapidement les 7 annuaires en 1 seul – « Il fallait s’entourer de pro » – l’Essec a cherché l’outil qui saurait s’adapter à son cahier des charges, et un fournisseur travaillant en mode agile. Les experts des trois sociétés présélectionnées ont dû répondre à toutes les questions de l’équipe (une vingtaine !) lors de leur « pitch » respectif. Le cabinet conseil en sécurité, systèmes d’information et management Synetis est choisi, à l’unanimité, notamment pour sa méthode agile. Éric Derouet, son co-fondateur qui s’occupe de la direction commerciale, choisit parmi d’autres solutions celle de RSA. « Cette solution s’est avérée la plus pérenne dans le cadre de notre contexte », précise Catherine Croiziers.
RSA et Synetis à l’essai avec un POC
« Nous avons d’abord fait un POC (Proof of Concept) de deux mois, qui nous a permis de faire une sorte d’audit de départ sur nos données et de remonter toutes nos problématiques liées. Cela a été une réussite et nous a mis en confiance. Nous avons signé, parce que nous avons vu d’abord. », précise-t-elle, comme aurait dit Saint Thomas.
« L’Essec souhaitait une solution orientée utilisateurs. Jusqu’à présent le marché proposait des solutions sur lesquelles il fallait faire énormément de développement afin de pouvoir répondre aux différentes attentes. Le client devait s’adapter au produit. Avec une solution comme RSA Via, c’est l’inverse : la solution se plie aux attentes du client. Le POC de deux mois a été très complet sur une volumétrie relativement fournie, et RSA a dû développer un connecteur Google qui n’existait pas en l’espace de deux semaines », explique Éric Derouet.
En cours de déploiement, le projet s’attaque maintenant aux métiers. Un projet « cadencé », selon Catherine Croiziers, pour qu’il ne dérive pas dans le temps.
« On est en train de dessiner les processus RH, d’entrées et de sorties, qui sont très complexes, avec beaucoup de mouvements en interne, avec la gestion des vacataires et des étudiants. Des processus qui diffèrent selon les populations… ». L’Essec est donc en train de valider des workflows de validation, de l’accès d’un ordinateur à celui de la cantine… avec un prestataire et un éditeur qui ont fait leurs preuves.
