Comment la CNAV industrialise la revue des habilitations

Un ambitieux projet

De fait, la CNAV a commencé à déployer la solution IdentityGRC de Brainwave avec plusieurs objectifs initiaux qu’il est possible de synthétiser ainsi : vérifier « qui a droit à quoi, comment et pourquoi ». Dans le détail, il s’agit avant tout de faciliter les revues et contrôles des habilitations, mais également d’analyser ces dernières et de détecter des anomalies telles que les comptes orphelins ou dormants, notamment, mais également les conflits de séparation des tâches ou encore les cumuls de droits. La solution doit aussi permettre de disposer d’une vue centralisée des droits, d’industrialiser leur revue et d’en assurer un historique.

Tout cela concerne la CNAV et ses caisses régionales. Mais l’organisme est également opérateur et exploite des systèmes d’information pour de nombreux partenaires – environ 500 : régimes de retraite complémentaire, mais également des organismes de la protection sociale comme la caisse nationale d’assurance maladie (CNAM), ou encore Pole Emploi. Et là, il s’agit d’améliorer le service rendu en mettant à disposition des rapports plutôt que de les réaliser à la demande. Ce qui n’était, de l’aveu même de Christine Jacquemin, ni très fluide, ni très simple.

Un environnement vaste et complexe

De fait, pour l’ensemble de la branche retraite, il faut compter rien moins que 20 000 identités. Mais pour l’activité opérateur de la CNAV, le total tourne autour de 100 000 de plus… Avant la mise en œuvre d’un outil dédié au contrôle des habilitations, les processus reposaient sur des opérations manuelles, avec les outils bureautiques classiques. Ils étaient assurés par les RSSI de la CNAV et des caisses régionales, chacun sur son périmètre.

Comme le relève Christine Jacquemin, la revue des droits n’avait dès lors rien de trivial. La collecte pouvait s’avérer difficile auprès de tous les RSSI concernés. Et c’est sans compter avec l’absence de véritable agilité dans l’introduction de nouveaux contrôles. En outre, le processus manquait d’homogénéité sur l’ensemble du périmètre concerné.

Un outil simple ouvrant de nouvelles perspectives

La solution IdentityGRC a été retenue notamment parce que son éditeur, Brainwave, français, dispose de références solides, à commencer l’Agirc-Arrco, qui gère la retraite complémentaire des salariés du privé. IdentityGRC est en outre référencé par l’Ugap et affiche un modèle tarifaire offrant la souplesse nécessaire à la CNAV : au moment du choix, l’organisme savait déjà qu’il serait amené à augmenter régulièrement ses volumes d’identités.

Christine Jacquemin souligne aussi l’ergonomie et la facilité d’utilisation de la solution, les possibilités d’assistance dans la réalisation des revues, ou encore celles de supervision de l’usage des droits d’accès.

Pour ne rien gâcher, IdentityGRC ne nécessite ni agent ni connecteurs susceptibles d’affecter les performances ou les montées de version : la solution s’avère finalement peu intrusive dans le système d’information. Et elle s’intègre avec les outils de gestion des services IT (ITSM) en place, ainsi qu’avec les portails Web pour donner accès aux rapports. Et cela en tenant compte de profils d’utilisateurs.

Un déploiement progressif

Au moment de l’intervention de Christine Jacquemin aux Assises de la Sécurité, cinq applications avaient été intégrées, six mois après le lancement effectif du projet : l’annuaire Active Directory pour la branche retraite, et quatre applications métiers, dont celle des ressources humaines. Il s’agissait d’avancer de manière progressive pour s’assurer du bon fonctionnement de la solution.

Dans la pratique, IdentityGRC se charge des réconciliations et fournit une vision contextualisée complète des droits des utilisateurs. C’est lui qui assure aussi les analyses et les contrôles de séparation des tâches. Les rapports produits sont mis à disposition des RSSI sur un portail Web ; ils sont limités au périmètre de chacun.

Pour l’heure, les personnes concernées, dans le cadre de l’activité opérateur de la CNAV, reçoivent leurs rapports par courriel. Mais à terme, elles aussi disposeront d’un accès via portail.

En cas d’anomalies ou d’erreurs, des tickets sont créés automatiquement dans l’outil d’ITSM pour lancer le processus de remédiation.

De premiers bénéfices concrets

Même si le périmètre reste limité à ce stade, de premiers résultats concrets sont là. Selon Christine Jacquemin, les revues s’avèrent déjà considérablement plus efficaces. Mais le meilleur est à venir.

Et cela commence par la promesse d’une véritable autonomie des directions métiers, des auditeurs – internes et externes –, des RSSI, de la maîtrise des risques, dans la revue des droits.

L’intégration future d’IdentityGRC avec l’application de demande de droits permettra en outre de vérifier la conformité des droits réellement accordés avec ceux qui auront été demandés. Et la mise à disposition des rapports dans un portail Web pour les tiers partenaires permettra d’élargir le public concerné, de manière ciblée et adaptée.

Plus largement, Christine Jacquemin estime que ce projet doit aider la CNAV à se conformer au RGPD européen. Mais pour donner tout son potentiel, IdentityGRC devra être intégré sur un périmètre applicatif plus étendu. Ce qui se fera avec le temps.