Interview de David Leporini - Garantir les bons accès aux bonnes personnes

Dans cette interview, David Leporini, directeur des produits Cyber IAM et directeur général d'Evidian, évoque les changements majeurs affectant le marché de la cybersécurité et l'approche d'Evidian en matière de gestion des identités et des accès (IAM).

Paru dans Informations Entreprise N°188 Octobre, Novembre, Décembre 2023

La gestion des identités et des accès devient la pierre angulaire des systèmes d’information modernes. Evidian, fleuron français de la technologie, allie expertise et innovation, au service d’un monde en pleine mutation.

Informations Entreprise : Pouvez-vous nous éclairer sur les principaux changements qui ont affecté le marché de la cybersécurité ?

David Leporini (Directeur Produits Cyber IAM & Directeur Général d’Evidian) : L’évolution du marché de la gestion des identités et des accès est inexorablement bouleversée par plusieurs dynamiques. La première, à ne pas négliger, est l’impact de la pandémie sur le monde professionnel. Le télétravail, déjà existant mais confidentiel en termes d’échelle, a connu une accélération sans précédent, obligeant les entreprises à reconsidérer leurs protocoles de sécurité en termes de connexions à distance.

Les entreprises s’étaient structurées autour d’un périmètre de sécurité interne, protégé par des firewalls et des VPN. Mais cette conception a cédé la place à des architectures plus complexes. Désormais, employés et partenaires tiers doivent accéder à des applications professionnelles à partir de localisations diverses, hors du réseau interne de l’entreprise, y compris par des voies qui ne transitent pas nécessairement par ce réseau. Cela introduit une complexité accrue dans la gestion des identités et des accès.

De surcroît, le paysage réglementaire se densifie. La Directive Européenne NIS 2, par exemple, étend les exigences en matière de sécurité, et rentrera en vigueur en France au plus tard en octobre 2024. Cette directive impose aux entreprises de formaliser davantage leurs politiques relatives à l’analyse des risques, d’accélérer le traitement et la divulgation des vulnérabilités, et d’améliorer le traitement des incidents de sécurité, en particulier la détection et la réponse aux incidents.

Concernant la souveraineté, notamment en France, il est indéniable que le contrôle des données revêt une importance cruciale. Le chiffrement est souvent évoqué comme mécanisme de premier ordre pour garantir cette souveraineté, mais il ne peut être dissocié d’un système robuste de gestion des identités et des accès.

I.E : Pourriez-vous évoquer les principaux défis et opportunités que vous identifiez dans l’évolution actuelle du marché de la gestion des identités et des accès ?

David Leporini : Dans le paysage complexe de la gestion des identités et des accès au sein des systèmes d’information de l’entreprise, deux grandes catégories de projets ont vu le jour. D’une part, il y a le désir stratégique de rétablir la maîtrise intégrale sur les identités, qu’il s’agisse des employés, des consultants ou d’autres partenaires qui interagissent avec les données de l’entreprise. En effet, les méthodes antérieures, souvent manuelles et peu documentées, ont montré leurs limites.

Dans cette optique, le rôle de solutions telles que les systèmes de gouvernance des identités, notamment ceux basés sur l’IGA (Identity Governance and Administration), est crucial. Ces systèmes permettent la gestion automatisée du cycle de vie des utilisateurs, des permissions et des rôles au sein de l’entreprise. Ils offrent également des mécanismes d’audit, de reporting et de tableau de bord pour une vue d’ensemble.

Ce type de démarche nécessite une coordination étroite avec toutes les fonctions de l’entreprise. Les processus de ressources humaines, notamment en matière d’arrivées et de changements organisationnels, doivent être parfaitement intégrés. De même, il faut prêter une attention particulière aux mutations internes, aux intégrations de collaborateurs externes et à l’évolution des rôles et permissions au sein de l’organisation. Certaines réglementations imposent par ailleurs la séparation des fonctions afin d’éviter des conflits d’intérêts ou des abus potentiels.

I.E : Pourriez-vous nous éclairer sur la manière dont Evidian aborde la gestion des identités et des accès ?

David Leporini : La gestion rigoureuse des identités et des accès s’avère indispensable. Notre démarche consiste d’abord à établir la politique de sécurité de l’entreprise au tour de règles organisationnelles et opérationnelles précises qui encadrent la gestion des permissions. Nous développons ce que l’on pourrait qualifier de «workflows d’approbation» pour réglementer les accès sur des critères hiérarchiques ou opérationnels liés à des projets spécifiques.

Notre système, tel une tour de contrôle, modélise ainsi l’ensemble des processus de sécurité en rapport avec les autorisations d’accès au sein de l’entreprise. Ce socle solide garantit qu’à tout instant, chaque utilisateur ait accès uniquement aux données et applications strictement nécessaires à l’exercice de ses fonctions. Une fois cette base établie, nous pouvons alors déployer des règles de sécurité supplémentaires pour renforcer les protocoles d’authentification, conformément aux politiques de sécurité.

Par ailleurs, il faut souligner que la gouvernance ne s’arrête pas à la mise en place de ces processus. Des audits réguliers sont effectués pour contrôler les accès et identifier les écarts ou exceptions qui pourraient survenir. En fait, l’exception est plutôt la règle dans notre milieu. Que ce soit un projet créant des accès hors des processus habituels, ou des employés utilisant leurs propres équipements, notre outil permet de surveiller et de ramener ces cas sous gouvernance.

Indépendamment de ces revues, notre système peut générer des alertes en temps réel en cas de non-conformité aux politiques de sécurité établies. Cela peut aller de l’authentification renforcée pour des accès externes à l’entreprise jusqu’à des mécanismes d’identification spécifiques, pilotés par nos politiques de sécurité globales.

Enfin, notre produit intègre également des fonctionnalités analytiques permettant de générer des rapports réguliers sur l’application des politiques en place, offrant ainsi une visibilité complète sur la conformité et les exceptions, et garantissant le maintien des standards de sécurité définis.

I.E : Quelle est l’évolution que vous observez dans les modes de déploiement ?

David Leporini : Indubitablement, l’évolution du marché de la gestion des identités et des accès est un sujet prépondérant qui nécessite de supporter plusieurs approches de déploiement et d’exploitation.

Historiquement, nos solutions ont été déployées selon deux modalités essentielles. Premièrement, le modèle traditionnel où le client accueille la solution en ses propres infrastructures, gérant dès lors le produit en toute autonomie. C’est une option qui, bien entendu, subsiste encore aujourd’hui.

Deuxièmement, un modèle dans lequel le client opte pour un déploiement hors site, confiant la gestion du produit à nos équipes ou à des hébergeurs tiers, souvent en collaboration avec les équipes de cybersécurité d’Eviden, Groupe Atos. Cette méthode a également fait ses preuves.

Toutefois, une troisième voie s’est frayée un chemin au sein de notre gamme d’offres au cours des dernières années. Il s’agit du modèle SaaS, qui permet aux entreprises de se concentrer sur l’utilisation fonctionnelle de nos solutions sans les tracas inhérents au déploiement et à l’hébergement. Bien que ce modèle ne soit pas universellement applicable — certains secteurs, notamment la défense et les infrastructures critiques, de meurent encore réticents — il est de plus en
plus plébiscité, notamment dans un modèle de déploiement logiciel.

I.E : Comment Evidian s’adapte-t-elle à la dynamique des start-ups américaines et aux innovations technologiques ?

David Leporini : Notre marché se caractérise par une certaine maturité, attestée par des mouvements de consolidation, mais également par une effervescence continue, particulièrement outre-Atlantique et en Israël, où les financements affluent vers les start-ups spécialisées dans des thématiques novatrices. Bien que les principes fondamentaux de la sécurité demeurent constants, les modalités d’accès et d’administration évoluent en raison des innovations technologiques, notamment l’avènement du cloud et des modèles SaaS

Evidian, forte de plus de 900 clients actifs à travers le monde, ne saurait demeurer immobile face à ce tableau changeant. Notre stratégie s’appuie autant sur l’innovation que sur la fidélisation de notre base installée. Nous nous investissons notamment dans des projets de R&D financés à l’échelle française et européenne, axés sur l’exploitation de l’intelligence artificielle pour automatiser davantage de processus, ou encore sur le développement des identités numériques souveraines. Ces dernières ouvrent la voie à de nouveaux modèles de contrôle des attributs d’identités par les utilisateurs eux-mêmes.

I.E : Quels sont les enjeux et les réussites d’Evidian en termes de rayonnement international ?

David Leporini : Il serait erroné de présumer que l’ancienneté d’une entreprise française puisse constituer un frein à son expansion internationale. Au contraire, nous avons l’honneur de compter parmi nos clients une entité japonaise, un pays dans lequel nous avons déployé l’une des plus vastes infrastructures en matière de gouvernance des identités. Il s’agit d’un partenariat de longue date avec Nippon Telegraph and Telephone, ou NTT, qui a vu le déploiement d’une solution pour plus de 350 000 utilisateurs. Cette référence est indubitablement une carte de visite de premier ordre pour notre entreprise, surtout en Asie et au Japon.