Le Crédit Agricole Assurances contrôle ses habilitations avec Brainwave

Un contrôle mensuel des habilitations

Caagis a ainsi mis en place une extraction mensuelle des habilitations en vu de leur intégration dans IdentityGRC, « pour procéder ensuite à des analyses dans le cadre de nos procédures de contrôle permanent ». Il s’agit notamment là de vérifier que les comptes des personnes ayant quitté l’organisation ont bien été clos, ou encore que les comptes techniques génériques sont clairement identifiés. L’outil de Brainwave permet en effet d’identifier les comptes qui n’ont pas été utilisés depuis un certain temps. De quoi, le cas échéant, se retourner vers le manager responsable de l’utilisateur concerné et lui demander : « n’auriez-vous pas oublié de nous déclarer un départ ? »

Car comme le relève Hervé Juel, l’un des principaux risques tient à l’omission de déclaration du départ d’un utilisateur en régie : « c’est le chef de projet qui connaît ces personnes, pas les ressources humaines. Lorsque le projet démarre, il est toujours enclin à créer des comptes le plus rapidement possible. C’est normal ; c’est son besoin immédiat ». Las, la déclaration des départs ne relève pas spontanément du besoin assorti de la même immédiateté.

Mais pour les équipes de Hervé Juel, il s’agit également de garder la maîtrise de comptes à privilèges dont les activités seront d’ailleurs prochainement suivies à l’aide d’un AdminBastion. Certes, les administrateurs « doivent signer une charte » selon laquelle ils s’engagent notamment à ne pas créer eux-mêmes, directement, d’autres comptes d’administration sur les systèmes dont ils ont la responsabilité, pour des collègues : « il y a un processus dérogatoire pour cela et il doit être suivi ». Mais ce n’est hélas pas toujours le cas.

Dès lors, régulièrement, les équipes de Hervé Juel voient apparaître des comptes d’administrations qui ont été créés sans suivre le processus officiel : « on les fait supprimer dans la foulée ».

Outre le suivi mensuel des habilitations, IdentityGRC sert également à répondre à des demandes d’analyse ponctuelles, de manière quasi immédiate alors qu’avant, il fallait demander l’extraction du fichier utilisateurs pour procéder aux croisement.

Vers une intégration avec l’IAM

Mais le déploiement d’IdentityGRC ne s’est pas fait sans difficultés : « au départ, nous avons voulu intégrer trop de référentiels », explique Hervé Juel. Du coup, ces équipes ont été amenées à découvrir des anomalies trop nombreuses pour qu’il soit possible de les traiter d’un seul coup. D’où le choix de revenir en arrière pour intégrer les référentiels par lots, en hiérarchisant les phases d’intégration suivant la criticité des systèmes concernés. Aujourd’hui, toutes les applications critiques sont couvertes et les équipes de Hervé Juel répondent aux demandes d’intégration venant des métiers.

Autre écueil initial : les extractions. « Au départ, on demandait les fichiers habilitations aux équipes, mais au bout de quelques mois, on a pris conscience de l’impératif d’entrer dans un mode industriel, comme pour tout système de production ». C’est désormais un ordonnanceur qui se charge de ces extractions ; un incident de production est déclaré en cas d’échec.

Toujours dans la même logique, Hervé Juel prévoit de déployer l’an prochain un environnement de recette, afin de gagner en souplesse notamment pour les travaux de maintenance. Et si l’intégration n’est pas encore faite avec la solution de gestion des identités et des accès (IAM), c’est une évolution qui fait déjà l’objet d’une réflexion, notamment pour automatiser les cas les plus classiques de gestion des comptes orphelins, comme les départs non déclarés.