Technical Development Manager le grand dossier Sécurité //// Auprès de Luxtrust //// Au Luxembourg, Secur<strong>IT</strong> est actif dans le projet LuxTrust via le développement d’une plateforme de validation des smartcards et des certificats sur Trustbuilder. Contrairement aux certificats dont le contrôle est effectué via la signature donnée par LuxTrust, les smartcards sont vérifiées sur des listes noires, soit online via un protocole de standardisation défini par LuxTrust, soit offline en téléchargeant des listes mises à jour régulièrement. «Tout dépend du degré de sécurité voulu et de l’importance de la transaction, dit Marc Vanmaele. Or, parfois la connexion elle-même fait défaut. Une institution financière peut-elle refuser de valider la demande si elle ne peut accéder aux données désirées ?» Je danse le IAM À la différence des firewalls et des antivirus, les solutions Identity and Access Management peuvent contribuer directement à l’amélioration du business. Créée en 1999, la société Secur<strong>IT</strong>, développeur de logiciels et intégrateur de solutions dans l’IAM d’IBM, s’est concentrée sur un domaine encore neuf de la sécurité : l’Identity and Access Management. «Au lieu de nous concentrer sur ‘keeping the bad guys out’, on a préféré l’approche ‘let the good guys in’», résume Marc Vanmaele, CEO de Secur<strong>IT</strong>. L’IAM est de plus en plus important dans le secteur de la sécurité en raison de réglementations plus contraignantes comme SOX (Sarbanes-Oxley) et Bâle II. L’IAM est une approche intéressante pour développer plus rapidement les capacités du business, tout en consolidant les accès aux données. L’avantage majeur de la gestion d’identité est de pouvoir restructurer la façon dont les entreprises traitent leurs accès, en interne comme en externe. L’administration des différentes plateformes (ERP, Windows, mainframe…) est peu souvent centralisée au même endroit. Or, il faut pouvoir simplifier le traitement des départs et arrivées des utilisateurs, ainsi que leurs éventuels changements de fonction. «L’user provisioning passe par donner aux utilisateurs les outils nécessaires pour accéder, de manière évolutive et instinctive, aux ressources dont ils ont besoin, dit Marc Vanmaele. De plus, la centralisation des processus d’accès va de pair avec leur automatisation. La catégorisation des personnes se fait dans le Role Management. C’est cette catégorisation des utilisateurs a priori qui permet l’automatisation, pour un meilleur contrôle des accès. Les clients réfléchissent à leur sécurité aussi pour avoir plus de consistance entre leurs systèmes.» PAS À PAS Secur<strong>IT</strong>, intégrateur de système totalement investi dans le domaine de l’IAM, dispose d’une expertise dans la gestion des projets complexes tant du point de vue technique et technologique. «Nous changeons les rapports de pouvoir au sein des entreprises, ce qui n’est pas à négliger», rappelle Marc Vanmaele. À partir des solutions d’IBM Tivoli Security, Secure <strong>IT</strong> a développé trois produits principaux : Role Manager, D-man et Trustbuilder. «L’Identity Management est essentiel dans la gestion des infrastructures eBusiness, car toute l’information est canalisée via cette plateforme», dit Marc Vanmaele. Une fois l’infrastructure ouverte à des utilisateurs externes, la sécurité doit être monitorée différemment, pour assurer une disponibilité à 100%. Dans ce secteur, D-man est une solution de monitoring qui permet de gérer la complexité entre différents composants. Le D-man fonctionne comme un gatekeeper, afin de pouvoir accéder aux registres, au serveur web, aux applications, ainsi qu’aux composants firewall. Enfin, Trustbuilder permet de répondre aux besoins d’authentification et d’autorisation. Trustbuilder peut supporter tout type d’authentification, comme le token, même en dehors des plateformes IBM. Trustbuilder est bâti sur des standards ouverts, tels XML et XSL, et est souvent utilisé dans le monde Java. Trustbuilder est capable de supporter un système élaboré avec une forte redondance, afin de gérer un million de logs par jour. 34 AVRIL 08
Who needs expensive, proprietary virtualization software when, hey, you can get it free with open source Solaris. © 2007 Sun Microsystems, Inc. All rights reserved. All logos and trademarks are property of their respective owners.