Le département de l’Aude renforce sa gouvernance des accès
L’Aude a fait le choix de la solution de gestion des identités Usercube voici quelques années pour gérer les accès de ses agents aux espaces de partage. Une architecture qui va prochainement évoluer vers le SaaS et intégrer la gestion des comptes des applications métiers.
C’est en 2015 que le Conseil départemental de l’Aude a fait le choix de déployer en mode on-premise la solution d’IAM (Identity and Access Management) de l’éditeur français Usercube. L’objectif est alors d’automatiser la mise à jour des annuaires des différents environnements informatiques de la collectivité locale, ainsi que des applications, pour disposer d’un référentiel unique et centralisé des comptes utilisateur.
Le logiciel allait éviter les ressaisies manuelles, mais aussi, et surtout, mettre en place des automatismes permettant la mise à jour des annuaires en temps réel, dès qu’une modification était apportée sur l’un d’entre eux, qu’il s’agisse de l’Active Directory, du système de téléphonie, du logiciel de gestion des accès badge, de l’annuaire Intranet, ainsi que dans les applications transverses du Conseil départemental.
« L’objectif du déploiement de Usercube était d’automatiser le partage d’information entre annuaires. »
Laurent MaravittiDSI, Conseil départemental de l'Aude
« Toutes ces mises à jour n’étaient pas manuelles et nous avions bien évidemment écrit des scripts d’automatisation », souligne Laurent Maravitti, DSI du Conseil départemental de l’Aude. « Néanmoins, ces scripts avaient été développés au fil du temps par différentes personnes et leur maintenance était difficile. L’objectif du déploiement de Usercube était d’automatiser le partage d’information entre annuaires. Ainsi, lorsque les ressources humaines déclarent l’arrivée d’un nouvel agent, le logiciel crée automatiquement un compte de messagerie, lui donne des accès aux espaces réseau partagés liés au service auquel il appartient ».
Le Conseil départemental de l’Aude compte environ 2 600 agents, mais ce sont environ 3 000 comptes qui doivent être gérés si l’on intègre au calcul les intervenants qui travaillent pour la collectivité, les membres d’associations qui doivent avoir accès à certains locaux, etc. En outre, pour les agents territoriaux, une automatisation était plus que souhaitable.
C’est la solution Usercube qui a été choisie pour mener à bien ce projet. Le DSI résume ce choix : « les solutions de gestion des identités sont réputées complexes à mettre en œuvre et particulièrement coûteuses. La proposition de l’éditeur Usercube était nettement moins chère que les offres concurrentes. Nous avons un budget modeste et nous ne pouvions pas nous permettre de lourds investissements. Or sur le papier, Usercube répondait à tous nos besoins ».
Le projet de mise en place fut relativement long, car un projet IAM demande aux administrateurs de laisser la machine modifier les droits des utilisateurs à leur place, notamment la création et la suppression de comptes, ce qui impose d’avoir confiance dans l’outil, une confiance qui s’acquiert avec le temps.
Le RGPD a poussé le Conseil départemental à revoir ses procédures
Le Conseil départemental de l’Aude gère beaucoup de données personnelles des usagers des services du département et les obligations de protection des données personnelles apportées par le RGPD ont poussé le directeur de l’information à faire évoluer les pratiques internes vis-à-vis des accès : « passer d’une simple automatisation de processus sur les annuaires à une vraie gestion des identités représente un vrai palier à franchir. C’est une problématique qui entre dans la politique de sécurité de la collectivité, car une bonne gestion des droits est un élément essentiel de la politique de sécurité, notamment pour le volet RGPD et protection des données personnelles. Dans ce cadre, nous ne pouvions plus nous contenter de nos anciennes procédures et attendre qu’une demande de modification de droits soit envoyée alors qu’une personne a changé de service et n’a plus de raison d’utiliser telle application ».
Lors de la mise en place de Usercube, l’équipe projet a pu affecter les droits d’accès aux répertoires et aux agents en fonction de la position de chaque agent dans l’organigramme, mais il ne s’agissait que d’une petite partie des droits que doit gérer la DSI. Car gérer les droits accordés sur les applications métiers est beaucoup plus complexe.
Accorder de nouveaux droits est simple au moment de la réception du ticket émis par la DRH. Mais lorsqu’un agent quitte son poste, il est beaucoup plus rare que la DSI soit informée par un ticket de demande de suppression de droits. « La DSI n’est pas en capacité de dire qui doit avoir accès à quoi. C’est à l’ensemble de la collectivité d’intervenir sur le sujet dans un partage de responsabilité entre la DSI et les métiers. C’est une nouvelle responsabilité de plus qui échoit aux cadres qui en assument de plus en plus, comme ce fut déjà le cas à l’entrée en vigueur du RGPD, avec une responsabilité partagée entre notre DPO et les métiers ».
Une importante problématique de recertification des droits à résoudre
Maîtriser les droits sur des applicatifs métiers très divers nécessite donc une première phase de recertification des droits de chacun pour l’ensemble des agents. « La gestion des droits peut être très différente d’une application métier à une autre ; or nous comptons entre 100 à 200 applications métiers dans le portefeuille d’une collectivité comme la nôtre, dont une trentaine majeures. Le nombre de droits à gérer pour chaque agent peut être très élevé ».
Illustration de cette complexité, la matrice des droits utilisateurs sur les espaces réseau représente à elle seule 50 000 lignes sous Excel. C’est aux chefs de service que le DSI veut faire valider ces droits : « la lisibilité des droits est très compliquée et nous comptons sur Usercube pour présenter les droits de manière lisible aux chefs de service ».
« Nous automatiserons tout ce qui pourra l’être et nous traiterons manuellement les cas restants. L’outil doit générer les tickets pour les cas qui nécessiteront une intervention humaine ».
Laurent MaravittiDSI, Conseil départemental de l'Aude
Un portail sera dédié à cette remédiation des droits : les chefs de service disposeront de la liste de l’ensemble des agents sous leur responsabilité et des droits accordés à chacun. Ils n’auront qu’à cocher des cases « Oui/Non » pour accorder ou révoquer un droit d’accès. La DSI traitera les écarts avec des processus automatisés préparés au préalable. « Nous automatiserons tout ce qui pourra l’être et nous traiterons manuellement les cas restants. L’outil doit générer les tickets pour les cas qui nécessiteront une intervention humaine ».
La grande inconnue du projet porte sur l’adoption réelle de l’outil par les cadres. « Nous avons besoin de leur expertise pour gérer les droits de leurs agents, donc l’ensemble de l’encadrement devra se saisir du sujet. Nous entreprendrons la démarche progressivement, avec les droits les plus simples à comprendre au début du projet, en commençant par les applications les plus critiques. Le N+1 de l’agent, généralement le chef de service, doit superviser ses droits informatiques ».
Un premier travail a été mené avec la DRH pour la création des agents et la prise en compte le plus tôt possible des départs, mais avec ce nouveau projet, la direction de l’information va devoir convaincre 80 services ! « Même si ce ne sera pas exhaustif dès le départ, avec ce projet nous allons clairement améliorer la situation vis-à-vis de la confidentialité des données ».
Un basculement vers le SaaS en préparation
En 2021, le Conseil départemental va lancer son projet de migration de sa plateforme Usercube vers le service SaaS de l’éditeur. « Comme beaucoup d’éditeurs, Usercube bascule son modèle vers le SaaS. Cela signifie que nous allons devoir permettre à une solution externe de venir écrire dans notre AD à distance. Nous avons obtenu des garanties de l’éditeur quant aux couches de sécurité qui seront mises en œuvre, mais nous les testerons et nous vérifierons la solidité de la solution avant de lancer cette migration ».
En parallèle, Laurent Maravitti a initié un projet d’évolution de l’Active Directory du Conseil Départemental, avec une montée de version et une refonte de la structure de l’annuaire qui ne répond plus aux besoins d’automatisation. Cette nouvelle organisation de l’AD va impliquer de modifier les routines mises en place par la DSI, une évolution à laquelle vient s’ajouter la gestion des identités de Usercube.
Les équipes travaillent actuellement sur la connexion des applications métiers du conseil départemental à Usercube. « Ces intégrations doivent être sur-mesure, application par application, car nous n’avons pas deux applications métiers qui gèrent de la même manière l’accès aux données », déplore le DSI. « Normaliser les accès est un vrai challenge et je pense que nous allons devoir changer d’approche vis-à-vis de nos applications métiers ». Désormais tout appel d’offres ou consultation pour une nouvelle application intégrera une dimension accès, afin de simplifier son intégration dans l’IAM.
Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)
