Afin de formaliser notre expérience acquise et d’aller plus profondeur, nos experts ont créé un outil d’évaluation de maturité IAM.

Entretien avec Anatole CATHERIN, Manager et expert IAM depuis presque 10 ans chez Wavestone.

Bonjour Anatole, merci pour ton temps ! Pour commencer, pourrais-tu nous expliquer ce que c’est (vraiment) l’IAM ?

L’Identity and Access Management (IAM) est une discipline à la croisée de trois mondes.

Évidemment, celui de la cybersécurité puisqu’il s’agit de gérer les identités, les droits accordés à ces identités et l’accès des utilisateurs aux ressources de l’entreprise. Concrètement, chaque utilisateur a des accès dans le cadre de son rôle au sein d’une organisation. Les organisations doivent savoir qui peut faire quoi, quand et pourquoi au sein de leur système d’information. L’IAM est ainsi une condition sine qua non de la cybersécurité, notamment pour mettre en place une politique Zero Trust.

La gestion des identités et des accès doit aussi être perçue comme un business enabler, un facilitateur pour la réussite des programmes de transformation numérique des organisations , tout en offrant des processus opérationnels plus efficaces à ses collaborateurs et clients. Il permet par exemple de contrôler et fluidifier la gestion des arrivés, des départs ou des mobilités : l’IAM assure que chaque nouveau collaborateur bénéficie des bons accès, qu’en cas de mobilité ou de départ, les accès pertinents soient coupés et qu’il n’y ait pas de perte d’informations.

Le troisième volet est que l’IAM fluidifie l’expérience utilisateur des collaborateurs au sein d’une organisation. D’ailleurs, le meilleur système IAM ne se voit pas ; pouvoir travailler dès son arrivée ou bénéficier d’une connexion renforcée lorsque le contexte de sécurité le nécessite devraient être considérés comme normal, par tous.

Pourquoi est-ce si difficile de construire un système IAM qui fonctionne ?

Vous l’aurez compris, l’enjeu de l’IAM c’est de trouver (et garder) l’équilibre entre sécurité et fluidité de navigation et ce n’est pas simple.

Et pour progresser, il faut savoir où on en est… Mais d’expérience, nous avons constaté que nos clients éprouvaient des difficultés à mesurer l’efficacité de leur système IAM en place… et pour cause ! Il n’existe pas sur le marché de référentiel dédié pour s’évaluer. Les piliers du NIST restent très haut niveau et ne permettent pas de couvrir toutes les questions liées à l’IAM évoquées précédemment ; les référentiels existants ne traitent l’IAM que sous le volet cybersécurité sans mesurer son impact sur l’efficacité opérationnelle des procédures internes d’une organisation et sans mesurer non plus la fluidité du parcours utilisateur.

Le but en créant l’IAM Framework était donc de proposer un cadre qui évalue l’ensemble de la discipline et qui puisse servir à construire un plan d’actions concrètes.

Justement, peux-tu nous parler brièvement de l’outil d’évaluation de maturité IAM ?

Plus qu’un outil, je parlerais surtout d’un cadre de travail et d’une méthodologie outillée pour accompagner clients et les aider à faire un état des lieux de leur maturité IAM.

Le Framework permet de savoir où en est l’organisation à date : sur quel périmètre l’IAM est déployé (ou non) et quels sont les grands axes sur lesquels travailler. Il donne ainsi une vue d’ensemble, avec le bon cadre, le bon angle et la bonne résolution pour parcourir tous les sujets IAM.

Cette évaluation de maturité permet ensuite de prioriser les chantiers et de mettre en place un plan d’action IAM !  Grâce à ce cadre, nous pouvons identifier les grands axes d’amélioration, tout en tenant compte des spécificités de chaque organisation, via l’introduction de la notion de périmètre.

En résumé, il répond à trois objectifs : Evaluer, Améliorer et Etendre l’IAM sur d’autres périmètres, par exemple, au-delà des internes et prestataires, avec les clients ou partenaires. Il a été voulu exhaustif afin de mettre en lumière les manquements de nos clients et mesurer par la suite leur progression et l’efficacité de leur programme de transformation.

Notre ambition serait d’en faire le premier standard d’évaluation, intégralement dédié à l’IAM, avec un niveau de granularité suffisant pour couvrir toutes les thématiques !

Comment est-il construit ?

Concrètement, notre outil est composé d’une cinquantaine de questions qui couvrent les 6 thématiques IAM :

1. Gouvernance
2. Gestion des identités
3. Gestion des habilitations
4. Contrôle des accès
5. Gestion des accès à privilège
6. Rapport et contrôles

Il peut être utilisé dans plusieurs cas, dont voici 2 exemples :

Peux-tu nous parler de la dernière fois que tu l’as utilisé avec un exemple concret ?

Nous avons confronté le questionnaire à la réalité terrain lors de plusieurs missions, au cours desquelles l’exploitation de l’IAM Framework a permis d’accélérer la démarche mise en œuvre. Ces missions concernaient :

• la définition d’une feuille de route IAM pour une grande entreprise de l’énergie
• le cadrage d’une migration vers un outil IAM pour le compte d’un groupe bancaire, qui a permis de mesurer les écarts entre leur solution existante et la nouvelle
• l’évaluation de maturité IAM pour un acteur de l’assurance, afin d’identifier les points de frictions et les axes d’amélioration et d’établir une roadmap

Pour ces trois projets, la grille d’évaluation a permis d’identifier l’ensemble des sujets à traiter (connus ou non du client au départ) afin de fournir une roadmap actionnable couvrant l’intégralité des enjeux IAM. En d’autres termes, le Framework peut être utilisé comme cadre d’analyse pour la réalisation d’un projet.

De nouvelles missions vont se lancer sur le sujet et nous avons hâte d’accompagner de nouveaux clients pour améliorer leur structure IAM !

Un mot pour la fin ?

Je terminerai par rappeler toutes les qualités du Framework !

• Prêt à l’emploi, il permet de couvrir tous les sujets IAM grâce ses cinquantaines de questions, pensées par les experts Wavestone,
• Il offre une vision standardisée et formalisée de sa maturité sur le sujet de la gestion des accès et des identités. Cette évaluation est d’ailleurs l’occasion d’impliquer tous les acteurs clés impactés par l’IAM: les équipes cyber bien sûr, avec les équipes IT, mais aussi les équipes d’audit interne et surtout métier,
• Il facilite la priorisation des actions à mener dans le cadre d’un programme de transformation. Comme expliqué précédemment, il peut par ailleurs être utilisé à différent moment et peut donc s’inscrire comme support dans le cadre d’une réflexion plus large,
• C’est enfin un moyen flexible d’utilisation: soit à utiliser pour du très haut niveau (un niveau stratégique) soit à utiliser pour développer des actions très précises.

Envie de vous évaluer ? Contactez nous !

Cet article [INTERVIEW] Maturité IAM : où en êtes vous et pourquoi est-ce essentiel de le savoir ! est apparu en premier sur RiskInsight.

Pour cela, il est nécessaire de savoir d’où vous partez, et de connaitre votre positionnement par rapport au marché. C’est avec cette conviction que Wavestone a construit son framework d’évaluation de maturité cybersécurité, qui capitalise aujourd’hui sur l’accompagnement de 100 organisations internationales.

Découvrez le fonctionnement du CyberBenchmark avec Anthony GUIEU, Manager Cybersécurité chez Wavestone.

Bonjour Anthony. Pour commencer, peux-tu présenter le CyberBenchmark en une phrase ?

Le CyberBenchmark est un outil complet qui permet aux entreprises d’évaluer leur niveau de cybersécurité, de se positionner par rapport au marché, et d’établir une feuille de route – grâce à un questionnaire et à une base de données de près de 100 clients dans le monde entier.

Pourquoi avoir créé le CyberBenchmark, alors qu’il existe déjà de nombreux frameworks sur le marché ?

Nous avons créé le CyberBenchmark car beaucoup de clients nous demandaient où ils se positionnaient par rapport au marché. Historiquement, nos clients recherchaient des évaluations en valeur absolue par rapport à des frameworks connus comme le NIST ou l’ISO. Aujourd’hui, ils souhaitent de plus en plus connaître leur position relative par rapport à leur écosystème. Notre CyberBenchmark permet de traiter ces deux approches simultanément.

Cela nous permet de sortir des angles d’attaque un peu différents : il y a des thématiques sur lesquelles nos clients ne sont pas matures par rapport au marché, donc ils peuvent progresser, et il faut prioriser ces actions-là. À l’inverse, il y a des thématiques où ils ne sont pas bons, mais le marché n’est, lui, pas mature ; il faut alors relativiser l’urgence du sujet. Des entreprises comme Gartner ou Forrester fournissent des tendances générales sur des grandes thématiques cyber, nous y ajoutons une vision concrète de nos observations sur le terrain, auprès de nos clients.

Quand nous avons construit le CyberBenchmark, nous avons vite réalisé que beaucoup de concurrents proposent leur version enrichie des questionnaires de cybersécurité. Notre vraie valeur ajoutée, c’est la comparaison avec le marché : près de 100 clients nous font confiance et ont été évalués avec ce cadre de référence à date !

Comment fonctionne le CyberBenchmark ?

Pour avoir un cadre cohérent, nous nous sommes basés sur des frameworks existants, c’est-à-dire les normes de sécurité qui font référence sur le marché : ISO 27001/2, NIST… C’était un point de départ obligé, car nos clients utilisent ces standards pour s’évaluer. Nous avons ensuite enrichi le questionnaire avec notre propre retour terrain, pour affiner les niveaux de maturité par thématique.

Une des valeurs ajoutées du CyberBenchmark : la granularité de l’évaluation, qui permet de mesurer précisément quelle part du périmètre atteint chaque palier de maturité. Concrètement, il est possible de répartir le niveau de maturité pour une question donnée entre les différents niveaux : par exemple 30% niveau 2, 60% niveau 3 et 10% niveau 4, ce qui peut être dû à un périmètre hétérogène, à des initiatives en cours… Cela nous permet de valoriser les projets au temps long et aux déploiements complexes sur plusieurs périmètres, en particulier dans les grands groupes, en matérialisant leur avancement.

Par la suite, chaque évaluation donne lieu à un rapport en deux parties :

• Une partie pour le top management avec les ratios budgétaires, ressources humaines et le niveau de maturité par rapport aux référentiels internationaux.
• Une partie pour les opérationnels de la sécurité avec les bonnes et mauvaises pratiques identifiées, ainsi que les actions à lancer en priorité. L’idée, c’est d’aboutir à des recommandations et des mesures concrètes pour augmenter le niveau de l’organisation.

Dans quels cas utiliser le CyberBenchmark ? 

Pour moi, c’est l’outil idéal pour une organisation qui souhaite identifier rapidement ses priorités en cybersécurité.

• Les premiers résultats sont rapides : en un mois, nous sommes en mesure de produire un livrable à présenter au Comité Exécutif, avec des propositions d’actions concrètes.
• C’est l’un des rares outils du marché à offrir une comparaison par rapport aux concurrents.
• A la différence des frameworks classiques, notre questionnaire traite à la fois de problématiques de gouvernance et opérationnelles.

Le CyberBenchmark a aussi l’avantage de se décliner pour tous les besoins et les budgets.

• L’approche « rapide » ne nécessite que quelques entretiens, et repose sur une évaluation déclarative pour rapidement détourer le niveau de maturité de l’entreprise et les projets à lancer.
• L’approche « complète » repose sur un audit approfondi, de plusieurs dizaines d’entretiens et une revue des preuves voire des tests techniques complémentaires (test d’intrusion, Red Team…)

Peux-tu donner un exemple d’utilisation concret du CyberBenchmark ?

Pour illustrer l’approche « rapide », nous l’avons utilisé récemment pour accompagner un grand groupe industriel qui voulait initier une démarche de sécurisation et interpeller son comité exécutif. Après 2 mois de travaux et 5 ateliers de travail, nous avons pu restituer une vision claire du niveau de cybersécurité de la structure et projeter un niveau cible à 3 ans, qui a été accepté par le Comité Exécutif.

En termes d’approche complète, nous avons accompagné ces derniers mois une banque britannique pour évaluer finement son niveau de conformité par rapport aux cadres de référence et sa posture générale en cybersécurité. Dans ce cadre, nous avons mobilisé une équipe de 10 consultants sur 3 pays différents pour réaliser plus de 50 ateliers, en collectant des preuves pour amener un retour concret et fiabilisé du niveau de sécurité tout en identifiant par rapport au marché les points sur lesquels ils devaient investir en priorité. Ces éléments sont également utilisés dans les échanges avec leurs principaux régulateurs.

Un mot pour la fin ?

Le CyberBenchmark de Wavestone fournit une vision large du niveau de maturité du marché, tout en entrant dans des sujets techniques très précis. C’est ce qui en fait un atout différenciant pour nos clients c’est qu’ils ont la capacité de se positionner face aux entreprises de leur secteur sur chacune de leurs thématiques. Les priorités en matière de cybersécurité ressortent alors clairement, ce qui permet de construire efficacement son budget cyber. Il s’agit d’un réel accélérateur de stratégie cyber, testé et approuvé par de nombreux clients !

Grâce aux données exclusives du CyberBenchmark, nous pouvons sortir des statistiques et des tendances très facilement : combien d’entreprises ont déployé un outil de sécurité (EDR, bastion, sondes…) et où en sont-elles sur le déploiement, qui est en avance sur le marché… Par exemple, d’après notre dernière étude sur la maturité des entreprises françaises, le niveau de maturité général sur notre référentiel basé sur les normes internationales (NIST CSF Framework et ISO 27001/2) est de… 46% en moyenne. Chaque année, nous formalisons notre connaissance du marché, et nous anticipons les tendances fortes par secteur et sujet technique.

Enfin, vous l’aurez compris, le CyberBenchmark vit et se développe au fur et à mesure qu’il est utilisé pour de nouvelles entreprises. Nous disposons aujourd’hui d’une base de près de 100 entreprises ce qui va nous permettre dès janvier d’ouvrir une nouvelle catégorie : « Luxury goods & retail », comportant plus d’une dizaine d’entreprises sur lesquelles nous pourrons affiner les analyses relatives à leur secteur d’activité.

Si vous êtes intéressés pour positionner votre organisation par rapport au marché, n’hésitez pas à me contacter ou à prendre contact avec nos experts : nous pourrons vous accompagner sereinement dans cette démarche.

Cet article Interview : Un mois pour évaluer votre posture en cybersécurité ! est apparu en premier sur RiskInsight.