Sergey Nivens - Fotolia

Informatique & Technologies Caisse d’Epargne contrôle les droits avec Usercube

Il y a bientôt trois ans, IT-CE a lancé un projet visant à industrialiser le contrôle des droits des utilisateurs, afin de réduire la charge associée et de pouvoir en élargir le périmètre.

Le contrôle des habilitations est un processus récurrent, mais particulièrement laborieux lorsqu’il est effectué manuellement. Franck Michel, directeur délégué à direction sécurité d’IT-CE, en charge des contrôlées internes de sécurité, se souvient : « il y a trois ans, nous avons regardé le marché pour faire des contrôles non plus basés exclusivement sur des feuilles de calcul Excel, ce que l’on faisait jusque là ». Car maintenir un référentiel du personnel de la sorte, en tenant compte des prestataires – « ce qui fluctue tout de même pas mal » – et en intégrant les droits réels obtenus à partir d’extractions au coup par coup n’a rien de trivial : « il faut être un spécialiste Excel pour croiser toutes ces données, se rappeler qu’il y avait tel ou tel cas avant et que ce n’était pas forcément une anomalie, etc. »

Dès lors, il est difficile de disposer d’un processus « véritablement réplicable d’une fois sur l’autre ». Et la dimension éminemment chronophage de l’opération en limite mécaniquement le périmètre. « L’objectif était de réduire la charge, d’augmenter le périmètre rapidement, d’assurer la réplicabilité, et d’assurer un contrôle au plus proche de la réalité », explique Franck Michel.

Mais encore fallait-il trouver le produit adapté. La recherche s’est concentrée sur des solutions déjà utilisées en groupe, où pour lesquelles une réflexion y était déjà engagée : Kleverware, Brainwave, et Usercube. C’est le dernier qui a été retenu, même si le second répondait un peu plus directement au besoin d’industrialisation des contrôles : la solution de Usercube offrait en fait des perspectives plus vastes à moyen et long terme. Et financièrement, les deux étaient comparables. Le premier est apparu, en 2014, trop « éloigné de la cible ».

Alors oui, Usercube a dû évoluer pour répondre pleinement au besoin. Mais après plus de deux ans de production, la solution couvre désormais plus de 3 000 utilisateurs et entre 25 et 30 annuaires. Certes, certains d’entre eux ont nécessaire des efforts de mise en conformité, parfois assez lourds, mais s’il fallait environ 3 à 4 jours de travail auparavant, par annuaire, pour valider qu’un compte appartenait bien à une personne présente dans l’entreprise, cette opération se fait aujourd’hui quasiment en un clic.

Lorsque le déploiement a été lancé, la solution de Usercube n’était pas jugée suffisamment mature pour en faire le référentiel maître des utilisateurs. Ce rôle est donc resté dévolu à la solution de gestion des identités et des accès (IAM) de CA Technologies. Mais cela n’empêche pas de procéder à des alignements quotidiens : « chaque jour, un fichier Excel est généré à partir d’une extraction de l’IAM, complété par un certain nombre de données. On le récupère alors pour mettre à jour Usercube ».

Tous les mois, le référentiel est contrôlé à partir d’une extraction du SI RH ainsi que des bases de prestataires : « on vérifie les éventuels écarts. Si quelques-uns apparaissent, à la marge, on les corrige ». L’ensemble fonctionne très bien pour les effectifs internes et les prestataires en régie.

La situation est potentiellement plus complexe pour les prestations au forfait : « une demande de droits pour ces personnes survient toujours. Ils sont présents dans l’IAM. La difficulté est de savoir si elles sont toujours actives ». Tous les trois mois, le module de rectification de Usercube est donc mis à contribution pour valider la base. Plus loin, l’objectif est non seulement de réduire au maximum les écarts temporels, mais également d’aligner les droits techniques sur les profils métiers et fonctionnels. 

Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)

Close