L’incapacité de maîtriser « qui a accès à quoi », représente un risque considérable de perte de données et financières. Dans ces conditions, la sécurité passe par la prévention, et notamment une bonne gestion des accès et des identités. L’Essec a mis en place en tel dispositif avec l’aide du cabinet Synetis et des solutions de l’éditeur RSA.
Compte-rendu de la table ronde animée par Solutions iT
Les usurpations d’identité sont des maux quotidiens. Selon le cabinet Forrester, 71% des utilisateurs en entreprise admettent accéder à des données auxquelles ils ne devraient pas accéder. Il y a de plus en plus de systèmes et services à gérer et de privilèges d’accès associés à maîtriser notamment avec une forte mobilité interne des employés. Il devient alors difficile de «fournir le bon accès, à la bonne personne et au bon moment », pourtant but ultime de la gestion des identités et des accès.
Essec : 100 000 comptes à gérer !
La dynamique Catherine Croiziers, directrice des systèmes d’information de l’Essec, nous rappelle quelques chiffres, qui permettent de mettre en perspective les besoins de la grande école de commerce. L’Essec, école d’abord catholique créée en 1907– on le sait peu – c’est trois campus : La Défense, Cergy-Pontoise et Singapour, et bientôt deux autres au Maroc et à l’Ile Maurice, 5 000 étudiants en formation continue, 5 000 autres en formation professionnelle, 166 professeurs permanents, 800 vacataires et 600 personnels. 2 000 étudiants diplômés chaque année ont aussi droit à un compte à vie…
Au final, l’Essec gère 100 000 comptes, 7 annuaires différents, 300-400 applications, des applications « industrielles » (finances, SIRH…) aux outils Cloud, SaaS, etc. Autant de problématiques de droits d’accès, de gestion des entrées et des sorties… que la DSI a pris à bras le corps à son arrivée il y a 1 an et demi. Après avoir renoncé à l’impossible mission de réunir rapidement les 7 annuaires en 1 seul – « Il fallait s’entourer de pro » – l’Essec a cherché l’outil qui saurait s’adapter à son cahier des charges, et un fournisseur travaillant en mode agile. Les experts des trois sociétés présélectionnées ont dû répondre à toutes les questions de l’équipe (une vingtaine !) lors de leur « pitch » respectif. Le cabinet conseil en sécurité, systèmes d’information et management Synetis est choisi, à l’unanimité, notamment pour sa méthode agile. Éric Derouet, son co-fondateur qui s’occupe de la direction commerciale, choisit parmi d’autres solutions celle de RSA. « Cette solution s’est avérée la plus pérenne dans le cadre de notre contexte », précise Catherine Croiziers.
RSA et Synetis à l’essai avec un POC
« Nous avons d’abord fait un POC (Proof of Concept) de deux mois, qui nous a permis de faire une sorte d’audit de départ sur nos données et de remonter toutes nos problématiques liées. Cela a été une réussite et nous a mis en confiance. Nous avons signé, parce que nous avons vu d’abord. », précise-t-elle, comme aurait dit Saint Thomas.
« L’Essec souhaitait une solution orientée utilisateurs. Jusqu’à présent le marché proposait des solutions sur lesquelles il fallait faire énormément de développement afin de pouvoir répondre aux différentes attentes. Le client devait s’adapter au produit. Avec une solution comme RSA Via, c’est l’inverse : la solution se plie aux attentes du client. Le POC de deux mois a été très complet sur une volumétrie relativement fournie, et RSA a dû développer un connecteur Google qui n’existait pas en l’espace de deux semaines », explique Éric Derouet.
En cours de déploiement, le projet s’attaque maintenant aux métiers. Un projet « cadencé », selon Catherine Croiziers, « pour qu’il ne dérive pas dans le temps. »
« On est en train de dessiner les processus RH, d’entrées et de sorties, qui sont très complexes, avec beaucoup de mouvements en interne, avec la gestion des vacataires et des étudiants. Des processus qui diffèrent selon les populations… ». L’Essec est donc en train de valider des workflows de validation, de l’accès d’un ordinateur à celui de la cantine… avec un prestataire et un éditeur qui ont fait leurs preuves.
L’Essec utilise la solution RSA
Avec l’augmentation du shadow IT et la déstructuration du SI, RSA a adapté ses activités, avec trois axes de développement : le SOC, la GRC et, socle de base, l’IAG, la gestion des identités et des accès. Connue pour son célèbre Token, qui équipe des millions d’utilisateurs et contrôle l’accès au poste de travail, RSA est une marque du nouveau Dell Technologies, issu de Dell et de EMC.