40 minutes pour tout comprendre de Microsoft EMS

Microsoft Cloud Platform vient de poster une vidéo de présentation de Microsoft EMS (Enterprise Mobility & Security) extrêmement bien réalisée. La vidéo mêle la présentation globale de chaque module EMS et les enjeux rattachés en termes de productivité ou de sécurité ainsi que des démonstrations techniques extrêmement bien ciblées.

En 40 minutes, cette vidéo permet à chacun de comprendre le positionnement d’EMS et les fonctionnalités principales des différents modules. cette vidéo est tellement simple qu’elle peut même être envoyée à un manager, c’est dire !  😉

L’ensemble des modules est passé en revue, Azure AD Premium, AIP, Conditional Access, etc.

La vidéo est accessible ici:

 

 

Okta rachète Stormpath

La nouvelle est tombée hier, la société Okta a réalisé l’acquisition de la société Stormpath. Pour ceux qui ne connaissent pas Strompath, la société propose une solution d’AUTHentification as a Service à destination des développeurs Web.

Attention, on ne parle pas ici d’une solution complète IDaaS comme  le propose déjà Microsoft, Centrify ou Okta, mais d’une brique à destination des développeurs permettant d’intégrer dans des services ou des applications web n’importe quel type d’authentification directement au niveau du code de l’application. Typiquement la solution Stormpath ne propose pas son propre annuaire Cloud (du moins pas du même niveau fonctionnel que Microsoft/Centrify/Okta) mais va permettre d’utiliser de nombreuses sources d’authentification différentes en intégrant au passage des mécanismes d’authentification forte ou de SSO:

Je m’étais intéressé à cette société quand elle avait fournie une Gateway permettant d’utiliser directement dans les applications SaaS un modèle d’authentification basé sur Active Directory ou LDAP:

Un modèle technique extrêmement intéressant axé sur les développeurs mais vraisemblablement un modèle trop réducteur pour résister aux points lourds de l’IDaaS qui commencent à proposer ce type d’API en standard dans leurs propres solutions. Voir par exemple chez Centrify:

Centrify Cloud API Guide: http://developer.centrify.com/site/global/documentation/api_guide/index.gsp
Centrify Cloud API Reference: http://developer.centrify.com/site/global/documentation/api_reference/index.gsp

Reste à savoir la raison de ce rachat de la part d’Okta. Pour moi la raison majeure n’est pas au niveau des APIs d’intégration (Okta a commencé à travailler sur ses propres APIs depuis quelques mois) mais au niveau de la technologie de gateway avec les éléments on-premises tels qu’un annuaire LDAP, Active Directory ou même un ADFS. En effet, sur cette brique majeure pour une entreprise d’une certaine taille, Okta était bien mal équipé… voulant imposer une vision à l’Américaine basée sur une approche pure Cloud Public à ses clients.

A noter, que la plupart des analystes ne sont pas d’accord avec moi et mettent en avant la partie API – voir par exemple: https://techcrunch.com/2017/03/06/okta-stormpath/ – ceci est normal puisque Stormpath est majoritairement connu pour cela… Mais pour moi ce n’est pas la raison principale, à moins que les équipes interne d’Okta aient vraiment fait du mauvais travail depuis quelques mois..

Il sera intéressant de suivre et comprendre comment les technologies Stormpath vont être intégrées à l’environnement Okta… Quelles briques technologiques vont être abandonnées… A suivre…

Mise à jour des plans Azure Active Directory

Microsoft propose une mise à jour des plans spécifiques pour Azure Active Directory, et fait apparaitre un nouveau plan « basic ». A priori le prix pour le plan basic serait de 1$ par utilisateur et par mois. Ce qui est très intéressant dans ce plan, c’est qu’il peut correspondre à des petites structures qui n’auraient pas besoin d’un AD on-premise mais avec des besoins sur quelques fonctions d’annuaire telles que la gestion des accès par des groupes ou la réinitialisation des mot de passe en self-management.

 

 

Microsoft UAG: chronique d’une mort annoncée…

rip-tombstoneCa y est, c’est fait, après quelques mois de rumeur, la nouvelle est tombée: Microsoft arrête UAG (Unified Access Gateway). Il ne reste qu’environ 6 mois pour acheter des licences UAG depuis le tarif Microsoft.

Ma première remarque: quel gâchis…

Rappelons qu’UAG provient du rachat de la société Whale Communications et a été le fer de lance de la publication de la publication d’applications Microsoft telles qu’Exchange ou Sharepoint depuis plusieurs années.

L’arrêt de TMG avait annoncé la couleur: Microsoft ne souhaitait pas continuer dans le firewall applicatif, mais il semblait nécessaire de conserver une solution pour publier de manière sécurisée les différentes services applicatifs, de plus, on pouvait trouver des redondances entre TMG et UAG, donc cela pouvait sembler logique…

Mais là, la nouvelle est brutale, que d’énergie dépensée pour rien, quid des nombreux clients qui utilisent la solution, il y avait à mon avis beaucoup mieux à faire.

Ma deuxième remarque: les constructeur de firewall/reverse-proxy se frottent les mains…

C’est clair, déjà depuis la mort de TMG, c’était la fête du slip, mais là c’est la fête au village ! tous les constructeur de firewall avec des notions de filtrage applicatif et des fonctions de publication avancées ont le sourire des bons jours – Il n’y a qu’à regarder leur communication, elle est même de plus en plus spécialisée du genre « venez vers moi, mon produit le meilleur pour remplacer TMG »…

Bref, le cloud continue ses ravages, certaines personnes chez MS doivent penser que comme il ne faut plus rien mettre on-premise, il n’y a plus rien à publier, je crois qu’ils rêvent un peu, voir beaucoup…

Plus d’infos ici: http://blogs.technet.com/b/server-cloud/archive/2013/12/17/important-changes-to-the-forefront-product-line.aspx

 

Microsoft créé une société spécialisée dans l’Open Source !

  Microsoft vient d’annoncer la création d’une société indépendante de Microsoft (MSFT) nommée « Microsoft Open Technologies » dont l’objectif sera de créer et de promouvoir les technologies Open Source.

Cette nouvelle société sera dirigée par un Français ! Jean Paoli (rien à voir avec Jean-Michel Paoli de Mafiosa…) sera en charge de gérer cette nouvelle société d’une petite centaine de personne – je ne sais pas ce que les référents OpenSource et Interopérabilité Microsoft des différents pays vont devenir, restent ils chez Microsoft (MSFT), leur contrat est il basculé vers cette nouvelle entité ? aucune idée, cela doit dépendre des problématiques de droit social de chaque pays.

Il est clair pour moi que cette initiative marque une étape extrêmement importante dans l’engagement de Microsoft envers l’interopérabilité et vers le développement de solutions liant les technologies Microsoft et les technologies non-Microsoft. Le développement de cette nouvelle entité peut aussi passer par des rachats stratégiques de sociétés pure-player proposant des solutions logicielles pour lier les deux mondes (Centrify ? Jalasoft ?).

Souhaitons longue vie à la nouvelle entité, j’ai pour ma part hâte de voir comment les choses vont évoluer 😉

Plus d’information [ ici en anglais ]

Oracle fait la promotion du SSO via une vidéo

Oracle a réalisé un film promotionnel sur le thème du SSO visant via le biais de l’humour à présenter Oracle Enterprise Single Sign On Suite. Pour rappel il s’agit ici des solutions développées par Oracle et de l’intégration des solutions PassLogix rachetées par Oracle en Février 2011. Malheureusement les solutions de SUN, et notamment les solutions Open Source telle que OpenSSO ayant été mise de côté.

 

C’est officiel, NetIQ récupère le portofolio IAM de Novell

C’est fait ! on y voit un peu plus clair au niveau de l’avenir et du traitement de la gamme IAM de chez ex-Novell. En effet, de nombreux clients Novell étaient dans l’expectative afin de connaitre l’avenir consacré à leur module stratégique de gestion des identités interne, poussant certains clients vers les bras de Microsoft et de FIM 2010. N’oublions pas que Novell est, et, était un acteur majeur dans le domaine de la gestion des identités et des accès avant le rachat par Attachmate – rappelons que NetIQ est une division d’Attachmate. Le 19 Mai dernier, une communication nous donne les informations suivantes:

Les produits de la gamme IAM de chez Novell rejoignent la Business Unit NetIQ avec les détails en terme de répartition dans les divisions produits de chez NetIQ:

•Identity and access management – Novell Identity Manager, Novell Access Governance Suite, Novell Cloud Security Service, Novell Access Manager, Novell SecureLogin, Novell Privileged User Manager
•Security and compliance management – Novell Sentinel, Novell Sentinel Log Manager, Novell Compliance Management Platform
•Data centre management – Novell Operations Centre, Novell Cloud Manager, PlateSpin Forge, PlateSpin Migrate, PlateSpin Orchestrate, PlateSpin Protect,PlateSpin Recon

Cette communication met en exergue le fait qu’il y a au final très peu de recouvrement entre l’offre ex-Novell et l’offre NetIQ, ceci nous amenant à imaginer que cette fusion amènera de vraies synergies et une véritable complémentarité de fonctions et de solutions. Il est clair que NetIQ-Attachmate est en train de devenir un acteur majeur dans le domaine de la gestion des identités et des accès, remplissant le trou béant laissé par feu-SUN et par feu-Novell. Cette neo-stratégie Novell faisant suite à l’intégration de Centrify DirectControl en OEM dans le produit NetIQ Identity Integration Suite afin d’étendre la gestion des identités NetIQ aux environnements Unix, Linux et Mac.

Souhaitons bon vent à cette nouvelle gamme et à cette initiative IAM !

Un nouveau portail de référence sur l’univers de la biométrie: www.planetbiometrics.com

planet_biometricsUn nouveau portail (site en anglais) vient de se mettre en place et propose un contenu de référence sur le thème de la biométrie. Malgré les nombreux sponsors, les thèmes sont abordés avec beaucoup d’indépendance et de profondeur. L’approche à la fois technique et business permet de découvrir progressivement l’univers quelques fois abscons de la biométrie. Les WhitePaper sont particulièrement bien réussis. Bonne lecture sur www.planetbiometrics.com

L’ogre Attachmate avale Novell: une vision du Gartner, mais pas que…

ogre Earl Perkins, analyste IAM au Gartner, a publié un article fort intéressant en ce qui concerne l’acquisition d’une grande partie de Novell par la société Attachmate. Ce billet est disponible sur le blog du Gartner.

Earl Perkins énumère les 3 « BIG » vendeurs de solution IAM comme étant CA, IBM et Oracle. Je partage cette vision. Il présente ensuite Microsoft comme un quatrième larron potentiel, et, chose intéressante, positionne Courion dans la liste des 5, avec une opportunité réelle sur le marché IAM international.

Courion cherche actuellement à se développer en dehors des Etats-Unis qui reste leur marché principal: vont ils réussir à attirer des sociétés pour porter leur offre face au 4 autres ? Vont ils rester indépendants encore longtemps ? Est ce que par exemple une société comme HP qui cherche à se développer sur le marché du software et de la sécurité n’aurait pas intérêt à racheter Courion afin de rajouter une brique IAM à son offre ?

Concernant ex-Novell, la vraie question tourne autour de la vraie raison du rachat par Attachmate. Ce qui est certain, c’est que cela représente une prise de guerre plus qu’intéressante pour Attachmate. En effet, la section Suse Linux va pouvoir directement rajeunir la gamme « gros système & émulation » disponible chez Attachmate qui assure encore la plus grande partie de ses revenus récurrents. La grande question tourne autour de la partie IAM de Novell. Pour ma part, je suis persuadé qu’il y a une synergie très importante à réaliser entre les produits IAM de Novell et les produits annuaires de NetIQ – une fusion des deux gammes pourrait amener à terme à l’éclosion d’un poids lourd de l’IAM sur le marché international, pouvant venir se battre avec les 5 fournisseurs de solution IAM cités précédemment. De plus la fusion des gammes Novell et Netiq peut egalemment permettre de fournir au marché un compétiteur plus que sérieux aux gammes produits présentes chez Quest Software.

Au final, cette acquisition est une très belle opportunité pour la société Attachmate, reste à savoir quelle stratégie va être adoptée par les instances dirigeantes de cette société, et si cette stratégie sera efficace. A suivre… de très près…

Attachmate et Microsoft se partagent Novell

msft_attchLe démantèlement annoncé de Novell a donc eut lieu. Finalement valorisés à hauteur de 2.2 Milliards de Dollars, les actifs de Novell sont donc « rachetés » par Attachmate et Microsoft.

Microsoft se contente de racheter via un consortium de sociétés un ensemble de brevets pour environ 450 Millions de dollars. Le contenu exact de ces actifs n’est pas connu précisément pour l’instant. Pour rappel, lors d’un billet datant de 2009,  je conseillais à Microsoft de racheter Novell, je ne sais pas si Steve B. lit mon blog ou si quelqu’un lui fait une traduction anglais->francais 😉

Attachmate de son coté, remporte le gros des actifs, en divisant à priori (il y a fort à parier que la stratégie globale de gestion des actifs Novell n’est pas encore pleinement définie) cela en deux grandes familles: une famille Suse contenant les actifs Linux éponyme, et une famille Novell qui contient la nébuleuse de produits du catalogue Novell. Il est à noter que la stratégie produits de Novell n’était pas très claire depuis quelques mois, avec une multitude de domaines très différents, le patchwork technologique de Novell a perdu en visibilité, au détriment, d’ailleurs, de l’offre IAM.

Quel avenir pour les produits IAM de Novell ? Si il est incontestable que les produits IAM de Novell ont révolutionné le marché de la gestion des identités en leurs temps, il est maintenant évident que l’influence de ces produits va en déclinant. Il est d’ailleurs tout à fait remarquable de constater que malgré un effort minium en la matière, Microsoft tire son épingle du jeu dans le marché de l’IAM grâce au sabordage technologique de ses concurrents. D’abord SUN, puis Novell vont disparaitre petit à petit de l’échiquier IAM, laissant le champs libre aux trois acteurs principaux que sont maintenant IBM, Oracle et Microsoft.

Une consolidation inquiétante pour les clients ? En effet, l’effet pervers de ces rachats successifs (MaxWare, Sentillon, SUN, Novell, etc…) est de réduire l’offre et la concurrence potentielle face à la demande des clients. Lorsque l’on comprend l’engagement hautement stratégique que représente le choix d’un fournisseur IAM dans une grande organisation, il est regrettable de constater que le choix se réduit comme peau de chagrin pour ces clients grands comptes, amenant l’effet pervers de la hausse des prix et surtout celui d’un engagement technologique moindre de la part des fournisseurs. En effet, SUN et Novell étaient les leaders incontestés du marché IAM, du moins d’un point de vue technologique, que deviennent leurs technologies ? Je vous invite à poser la question aux équipes SUN qui « étaient » responsables du développement de OpenDS et OpenSSO ou de deviner la réponse…

ASSA ABLOY réalise l’acquisition d’ActiveIdentity

ActiveIdentity_logo ASSA ABLOY, maison mère de HID Global renforce sa position dans le domaine de la gestion des identités et des accès en réalisant l’acquisition de la société ActiveIdentity. ActiveIdentity propose des solutions dans les domaines suivants:

# Strong Authentication
Prominently featured in several Gartner research reports (e.g., “MarketScope for Enterprise Broad-Portfolio Authentication Vendors,” published in April 2009; and “Market Overview: Authentication,” published in September 2008), the ActivIdentity Strong Authentication suite of products enables organizations to securely address a variety of end-user access control scenarios, ranging from remote access via virtual private networks (VPN) and secure access to Web-based applications, to secure access to data and applications from the local network.

# Credential Management
ActivIdentity Credential Management products enable organizations to securely deploy and manage smart cards and USB tokens containing a variety of credentials, including public key infrastructure (PKI) certificates, one-time passwords, static passwords, biometrics, demographic data, and virtually any other application.

# Security Clients
ActivIdentity Security Clients software extends ActivIdentity strong authentication and credential management offerings by either enabling the use of smart cards and smart USB tokens for a wide variety of desktop, network security, and productivity applications or enhancing the productivity of employees with easy single sign-on capabilities to network resources.

# Authentication Devices
Rounding out the ActivIdentity product portfolio, ActivIdentity Authentication Devices provide organizations with a one-stop shop experience. Organizations can choose from a broad range of authentication devices (e.g., smart USB tokens, one-time-password tokens in a variety of form factors, soft tokens, display cards, and smart cards) and accessories (e.g., smart card readers and hardware security modules) to complement their strong authentication and credential management solution.

Avec un tel panel de solutions, ASSA ABLOY / HID Global se positionne comme un des leaders dans le domaine de la gestion des identités et des accès, positionnement déjà amorcé avec la sortie de l’offre « HID On The Desktop »  et le développement des offres Crescendo et Fargo.

Couplage de l’accès physique et logique – l’exemple de SOCOMEC

crescendo_card_2La société HID propose des solutions permettant le couplage de l’accès physique ou logique grâce à  des cartes hybrides comportant des technologies de connexion et de transmission complémentaires.

Globalement une antenne permettant la technologie RFID (Iclass, Prox ou Mifare) est au cœur de la carte et permet de communiquer avec les déclencheurs reliés aux serrures de porte gérantes l’accès aux bâtiments ou aux zones contrôlées.

La même antenne permettra de communiquer avec un lecteur RFID connecté en USB au poste de travail. Le logiciel maison, NAVIGO, permettra à l’utilisateur d’ouvrir une session en utilisant la même carte que pour l’accès physique, uniquement en posant la carte à proximité du lecteur RFID.

Enfin, si l’organisation a des besoins liés à l’utilisation de certificats stockés émis depuis une PKI, une puce permet de transformer la carte en SmartCard avec la capacité de fournir des services de type SmartCard logon, S/MIME, Encryption de disque, etc.

Une vidéo didactique explique comment la société SOCOMEC a mis en place ce type de solution:

Safran serait sur le point d’acquerir L1-identity.

Safran_logo La Groupe Safran présent dans les domaines de la sécurité, de la défense et de l’aéronautique serait sur le point d’acquérir la société américaine L1-identity. L1-identity produit principalement des solutions de biométrie complexes ainsi que des solutions d’accès sécurisé pour les entreprises et organisations gouvernementales. Safran souhaite très certainement renforcer son offre Morfo de gestion des empreintes digitales. L’offre Safran étant plutôt positionnée dans le domaine des sociétés privées (Aéroports notamment) , l’expérience produit de L1-identity dans le monde gouvernemental peut être un avantage concurrentiel majeur dans la course à la consolidation qui contamine les grands fournisseurs de solutions des gestion d’accès physiques et logiques cette année. Reste à savoir si le gouvernement américain, gros client de L1-identity, verra d’un œil bienveillant cette acquisition potentielle… A suivre…

Sortie de Novell Identity Manager V4

Novell-Identity-ManagerNovell Identity Manager 4 complète les fonctionnalités de Novell Identity Manager 3.6 en proposant une intégration avec Microsoft MOSS – SharePoint, une intégration avec les ERP les plus courants du marché ainsi qu’avec les applications en mode SAAS telles que SalesForce ou Google Apps.

Novell Identity Manager 4 Advanced Edition assure une gestion précise des identités grâce à une administration des rôles plus sophistiquée, à des capacités avancées de workflow et à la création de rapports intelligents conçues pour répondre aux besoins des entreprises ou fournisseurs de services administrés les plus évolués. Cette version intègre également des fonctions de nettoyage des données, une gestion des identités et des rôles simplifiée, et la possibilité de créer des workflows personnalisés de demande d’accès en toute simplicité.

Novell Identity Manager 4 est pour l’instant disponible en version beta, le lancement officiel aura lieu au cours du troisième trimestre 2010.

www.identity-management.fr – un nouveau blog en Français sur l’identity management

im_fr Une belle initiative de monsieur Paul Baas de la société Tools4ever, qui propose un nouveau blog en français sur l’Identity Management. Avec www.iamthefrenchblog.com il s’agit d’une nouvelle brique permettant de fournir des éclaircissements ( en français ! ) sur une technologie et des principes qui ne sont pas toujours bien compris par les administrateur système ou même par les consultants infrastructure. Gageons que ce nouveau blog soit plein de vie et de nouveautés dans les semaines, mois et années à venir.

Microsoft Forefront Identity Manager 2010 disponible en RTM

FIM2010_logoMicrosoft a annoncé il y a peu la mise à disposition en RTM de FIM 2010 ( enfin !!! ) –  Il est possible de télécharger une version d’évaluation sur le site de Microsoft. Après les annonces en cascade autour de Geneva, le rachat de Sentillion et les accords autour de l’interopérabilité, il était extrêmement important pour Microsoft de lancer la version définitive de sa solution de gestion des identités. L’attitude des « ex »-partenaires IAM de Microsoft qui sont maintenant des concurrents directs va être très intéressante à observer…

Réunion de la CADIM (Communauté Active Directory & Identity Management) le 17 mars 2010 dans les locaux de Microsoft France

cadim_logo

La prochaine réunion de la CADIM aura lieu le 17 Mars 2010  dans les nouveaux locaux de Microsoft France, à Issy-les-Moulineaux – Cette prochaine réunion sera l’occasion d’évoquer les nouveautés produit de chez Microsoft sur les annuaires et la gestion des identités:

  • FIM 2010  – les nouveautés sur le portail utilisateurs et le système de Workflow
  • Utilisation de Kerberos en tant que système de Single Sign On (SSP) à l’ensemble des systèmes et des applications
  • Couplage de la gestion des accès physique (accès aux bâtiments) et logique (gestion de l’ouverture de session Windows) via la solution HID on the Desktop

Comme d’habitude, les démonstrations et l’interaction entre les personnes présentes seront privilégiées. Venez découvrir des éléments techniques que vous ne verrez QUE dans le cadre de la communauté  CADIM !

***   DEBUT DE LA REUNION A 14H – VOUS POUVEZ VOUS INSCRIRE A CETTE REUNION DU 17 MARS 2010   ***

[ INSCRIPTION ICI ]

Sortie de OpenDS en version 2.2

opends_logoMalgré le rachat par Oracle, les équipes de SUN semblent continuer le développement des logiciels OpenDS et OpenSSO. Il est vrai que ces deux briques sont des piliers essentiels de l’offre IAM de SUN et de son maintien sur le marché de la gestion des identités. La version 2.2 d’OpenDS peut être téléchargée sur le site web du projet et propose les nouveautés suivantes:

# Fonctions supplémentaires pour le panneau de configuration graphique:

  • Management des serveurs distants
  • Gestion des taches planifiées

# Amélioration du mécanisme de réplication:

  • Commande dsreplication pour gérer les réplications d’annuaire à large échelle
  • Support de la réplication fractionnée
  • Journaux des changements effectués

# Amélioration du mécanisme d’import depuis LDIF, dans le cas d’import en masse

# Amélioration du support des syntaxes et des règles(subsititution, expressions régulières, temps relatif, etc…)

# Amélioration du temps de traitement prou la construction de l’index des entrées dans des cas avec des annuaires très chargés

Il est clair que l’on perçoit très vite que l’objectif de SUN est de produire le meilleur annuaire possible en terme de performance et de gestion de la charge dans des environnements à très grand nombre d’entrées dans l’annuaire. En effet, ce fut l’un des écueils de SUNone. L’évolution de OpenDS et surtout les différentes décisions d’Oracle quand à la stratégie à appliquer vont nous fournir plus de lisibilité sur ce marché dans les mois à venir.

Microsoft annonce l’acquisition de Sentillion et investi dans le domain du SSO

sentillionlogoMicrosoft annonce l’acquisition « surprise » de la société Sentillion, par cette acquisition, Microsoft fait d’une pierre deux coups:

  1. Microsoft conforte son positionnement sur le marché de la santé, en effet Sentillion se positionne comme un fournisseur vertical de solution de gestion des identités sur ce marché précis – Microsoft complète donc son « portofolio santé » commencé avec l’acquisition d’Amalga il y a quelques années
  2. Microsoft affiche sa volonté de se renforcer sur le marché de la gestion des identité et des accès en se positionnant sur le marché concurrentiel du Single Sign On (SSO) – il y a fort à parier que la volonté est de venir à terme compléter les fonctionnalités de Forefront Identity Manager avec une couche SSO

Il y a pour l’instant aucune visibilité sur l’intégration à court terme au sein des solutions Microsoft ni sur la disponibilité des solutions en dehors des Etats-Unis, mais il sera extrêmement intéressant de suivre cela pendant les deux prochaines années…

RSA et Courion annoncent leur partenariat

rsa_courion Les sociétés RSA et Courion annoncent leur nouveau partenariat avec notamment la création d’un site dédié: www.identityandaccessassurance.com et la mise à disposition de livres blancs traitants de la gestion des identités et des accès. Les bases de ce partenariat puisent essentiellement leurs racines dans l’intégration de la gestion des tokens RSA directement depuis le portail des gestion des identités et du module de provisionnent proposés par Courion.

Il y a fort à parier que des rapprochements de ce types vont se réaliser dans le futur, avec peut être certains rachats de sociétés afin pour les poids lourds de proposer une offre globale.

La CNIL met en avant la sécurité par la gestion des identités et des accès

cnil10 conseils de la CNIL pour sécuriser votre système d’information: La loi « informatique et libertés » impose que les organismes mettant en œuvre des fichiers garantissent la sécurité des données qui y sont traitées. Cette exigence se traduit par un ensemble de mesures que les détenteurs de fichiers doivent mettre en œuvre, essentiellement par l’intermédiaire de leur direction des systèmes d’information (DSI) ou de leur responsable informatique. Il apparait clairement que la gestion des identités et des accès est au coeur de la sécurité du système d’information. Voici la liste des 10 recommendations de la CNIL:

1. Adopter une politique de mot de passe rigoureuse

L’accès à un poste de travail informatique ou à un fichier par identifiant et mot de passe est la première des protections. Le mot de passe doit être individuel, difficile à deviner et rester secret. Il ne doit donc être écrit sur aucun support. La DSI ou le responsable informatique devra mettre en place une politique de gestion des mots de passe rigoureuse : un mot de passe doit comporter au minimum 8 caractères incluant chiffres, lettres et caractères spéciaux et doit être renouvelé fréquemment (par exemple tous les 3 mois). Le système doit contraindre l’utilisateur à choisir un mot de passe différent des trois qu’il a utilisés précédemment. Généralement attribué par l’administrateur du système, le mot de passe doit être modifié obligatoirement par l’utilisateur dès la première connexion. Enfin, les administrateurs des systèmes et du réseau doivent veiller à modifier les mots de passe qu’ils utilisent eux-mêmes.

2. Concevoir une procédure de création et de suppression des comptes utilisateurs

L’accès aux postes de travail et aux applications doit s’effectuer à l’aide de comptes utilisateurs nominatifs, et non « génériques » (compta1, compta2…), afin de pouvoir éventuellement être capables de tracer les actions faites sur un fichier et, ainsi, de responsabiliser l’ensemble des intervenants. En effet, les comptes « génériques » ne permettent pas d’identifier précisément une personne. Cette règle doit également s’appliquer aux comptes des administrateurs systèmes et réseaux et des autres agents chargés de l’exploitation du système d’information.

3. Sécuriser les postes de travail

Les postes des agents doivent être paramétrés afin qu’ils se verrouillent automatiquement au-delà d’une période d’inactivité (10 minutes maximum) ; les utilisateurs doivent également être incités à verrouiller systématiquement leur poste dès qu’ils s’absentent de leur bureau. Ces dispositions sont de nature à restreindre les risques d’une utilisation frauduleuse d’une application en cas d’absence momentanée de l’agent du poste concerné. Par ailleurs, le contrôle de l’usage des ports USB sur les postes « sensibles », interdisant par exemple la copie de l’ensemble des données contenues dans un fichier, est fortement recommandé.

4. Identifier précisément qui peut avoir accès aux fichiers

L’accès aux données personnelles traitées dans un fichier doit être limité aux seules personnes qui peuvent légitimement y avoir accès pour l’exécution des missions qui leur sont confiées. De cette analyse, dépend « le profil d’habilitation » de l’agent ou du salarié concerné. Pour chaque mouvement ou nouvelle affectation d’un salarié à un poste, le supérieur hiérarchique concerné doit identifier le ou les fichiers auxquels celui-ci a besoin d’accéder et faire procéder à la mise à jour de ses droits d’accès. Une vérification périodique des profils des applications et des droits d’accès aux répertoires sur les serveurs est donc nécessaire afin de s’assurer de l’adéquation des droits offerts et de la réalité des fonctions occupées par chacun.

5. Veiller à la confidentialité des données vis-à-vis des prestataires

Les interventions des divers sous-traitants du système d’information d’un responsable de traitement doivent présenter les garanties suffisantes en terme de sécurité et de confidentialité à l’égard des données auxquels ceux-ci peuvent, le cas échéant, avoir accès. La loi impose ainsi qu’une clause de confidentialité soit prévue dans les contrats de sous-traitance. Les éventuelles interventions d’un prestataire sur des bases de données doivent se dérouler en présence d’un salarié du service informatique et être consignées dans un registre. Les données qui peuvent être considérées « sensibles » au regard de la loi, par exemple des données de santé ou des données relatives à des moyens de paiement, doivent au surplus faire l’objet d’un chiffrement.

« A noter » : l’administrateur systèmes et réseau n’est pas forcément habilité à accéder à l’ensemble des données de l’organisme. Pourtant, il a besoin d’accéder aux plates-formes ou aux bases de données pour les administrer et les maintenir. En chiffrant les données avec une clé dont il n’a pas connaissance, et qui est détenue par une personne qui n’a pas accès à ces données (le responsable de la sécurité par exemple), l’administrateur peut mener à bien ses missions et la confidentialité est respectée.

6. Sécuriser le réseau local

Un système d’information doit être sécurisé vis-à-vis des attaques extérieures.

Un premier niveau de protection doit être assuré par des dispositifs de sécurité logique spécifiques tels que des routeurs filtrants (ACL), pare-feu, sonde anti intrusions, etc. Une protection fiable contre les virus et logiciels espions suppose une veille constante pour mettre à jour ces outils, tant sur le serveur que sur les postes des agents. La messagerie électronique doit évidemment faire l’objet d’une vigilance particulière. Les connexions entre les sites parfois distants d’une entreprise ou d’une collectivité locale doivent s’effectuer de manière sécurisée, par l’intermédiaire des liaisons privées ou des canaux sécurisés par technique de « tunneling » ou VPN (réseau privé virtuel). Il est également indispensable de sécuriser les réseaux sans fil compte tenu de la possibilité d’intercepter à distance les informations qui y circulent : utilisation de clés de chiffrement, contrôle des adresses physiques des postes clients autorisés, etc. Enfin, les accès distants au système d’information par les postes nomades doivent faire préalablement l’objet d’une authentification de l’utilisateur et du poste. Les accès par internet aux outils d’administration électronique nécessitent également des mesures de sécurité fortes, notamment par l’utilisation de protocoles IPsec, SSL/TLS ou encore HTTPS.

« A noter » : Un référentiel général de sécurité, relatif aux échanges électroniques entre les usagers et les autorités administratives (ordonnance 2005-1516), doit voir le jour prochainement (voir projet sur le site http://www.ssi.gouv.fr/). Il imposera à chacun des acteurs des mesures de sécurité spécifiques.

7. Sécuriser l’accès physique aux locaux

L’accès aux locaux sensibles, tels que les salles hébergeant les serveurs informatiques et les éléments du réseau, doit être limité aux personnels habilités. Ces locaux doivent faire l’objet d’une sécurisation particulière : vérification des habilitations, gardiennage, portes fermées à clé, digicode, contrôle d’accès par badge nominatifs, etc. La DSI ou le responsable informatique doit veiller à ce que les documentations techniques, plans d’adressages réseau, contrats, etc. soient eux aussi protégés.

8. Anticiper le risque de perte ou de divulgation des données

La perte ou la divulgation de données peut avoir plusieurs origines : erreur ou malveillance d’un salarié ou d’un agent, vol d’un ordinateur portable, panne matérielle, ou encore conséquence d’un dégât des eaux ou d’un incendie. Il faut veiller à stocker les données sur des espaces serveurs prévus à cet effet et faisant l’objet de sauvegardes régulières. Les supports de sauvegarde doivent être stockés dans un local distinct de celui qui héberge les serveurs, idéalement dans un coffre ignifugé. Les serveurs hébergeant des données sensibles ou capitales pour l’activité l’organisme concerné doivent être sauvegardés et pourront être dotés d’un dispositif de tolérance de panne. Il est recommandé d’écrire une procédure « urgence – secours » qui décrira comment remonter rapidement ces serveurs en cas de panne ou de sinistre majeur. Les supports nomades (ordinateurs portables, clé USB, assistants personnels etc.) doivent faire l’objet d’une sécurisation particulière, par chiffrement, au regard de la sensibilité des dossiers ou documents qu’ils peuvent stocker. Les matériels informatiques en fin de vie, tels que les ordinateurs ou les copieurs, doivent être physiquement détruits avant d’être jetés, ou expurgés de leurs disques durs avant d’être donnés à des associations. Les disques durs et les périphériques de stockage amovibles en réparation, réaffectés ou recyclés, doivent faire l’objet au préalable d’un formatage de bas niveau destiné à effacer les données qui peuvent y être stockées.

9. Anticiper et formaliser une politique de sécurité du système d’information

L’ensemble des règles relatives à la sécurité informatique doit être formalisé dans un document accessible à l’ensemble des agents ou des salariés. Sa rédaction requiert l’inventaire préalable des éventuelles menaces et vulnérabilités qui pèsent sur un système d’information. Il convient de faire évoluer régulièrement ce document, au regard des modifications des systèmes et outils informatiques utilisés par l’organisme concerné. Enfin, le paramètre « sécurité » doit être pris en compte en amont de tout projet lié au système d’information.

10. Sensibiliser les utilisateurs aux « risques informatiques » et à la loi « informatique et libertés »

Le principal risque en matière de sécurité informatique est l’erreur humaine. Les utilisateurs du système d’information doivent donc être particulièrement sensibilisés aux risques informatiques liés à l’utilisation de bases de données. Cette sensibilisation peut prendre la forme de formations, de diffusion de notes de service, ou de l’envoi périodique de fiches pratiques. Elle sera également formalisée dans un document, de type « charte informatique », qui pourra préciser les règles à respecter en matière de sécurité informatique, mais aussi celles relatives au bon usage de la téléphonie, de la messagerie électronique ou encore d’internet. Ce document devrait également rappeler les conditions dans lesquelles un salarié ou un agent peut créer un fichier contenant des données personnelles, par exemple après avoir obtenu l’accord de son responsable, du service juridique ou du CIL de l’entreprise ou de l’organisme dans lequel il travaille.

Ce document doit s’accompagner d’un engagement de responsabilité à signer par chaque utilisateur.

CIRM & CIPA sont ils les CISSP de l’Identity Management ?

identity_management_institute L’Identity Management Institute est à l’origine de la création de deux certifications dans le domaine de l’Identity Management. L’attribution des certifications CIRM et CIPA se réalise globalement sur le même principe que le CISSP proposé par l’ISC2 dans le domaine de la sécurité. Alors que la certification CIRM (Certified Identity Risk Manager) est portée vers l’aspect fonctionnel et sur l’approche projet liée à la gestion des identités dans les entreprises, la certification CIPA ( Certified Identity Protection Advisor ) est orientée gouvernance des risques en aval de l’implémentation du système de gestion des identités. Ces deux formations et certifications sont bien évidement complémentaires. Même si ces certifications ne sont ni connues, ni reconnues en dehors des Etats-Unis, il s’agit là d’une ébauche remarquable pour standardiser un marché et des connaissances qui en ont bien besoin… Il reste à noter que cet institut de certification est fortement « sponsorisé » par quels acteurs du marché, ce qui pourrait à terme, mettre en doute son indépendance sur les processus proposés comme état de standard dans ses certifications.

CA échange ses licences contre celles de Sun et d’Oracle

ca

L’éditeur CA veut capter les utilisateurs de solutions Identity and Access Management de Sun et d’Oracle en leur proposant un échange gratuit. Seule la maintenance sera payante, pour l’instant…

Pour se constituer un joli portefeuille de contrats de maintenance dans le domaine de l’identity management, l’éditeur CA a en effet eu l’idée de proposer aux clients de Sun – supposés ébranlés par le rachat de leur fournisseur par Oracle – d’échanger gratuitement leurs licences Sun OpenSSO, Sun Identity Manager, Sun Role Manager ou Sun Identity Compliance Manager contre des licences CA Identity Manager, CA Role & Compliance Manager ou CA SiteMinder « pour le même nombre d’utilisateurs à la date de la transaction ». Et pour faire bonne mesure la proposition vaut aussi pour les clients d’Oracle Access Manager, Oracle Identity Manager ou Oracle Role Manager.

Plus d’information sur le site de CA