🔍 Focus sur l'état des lieux de la gestion électronique des identités

🔍 Focus sur l'état des lieux de la gestion électronique des identités

A partir des différents état des lieux menés par les lauréats, une liste de questions organisées en thématiques permettant d'évaluer sa maturité vis-à-vis de la gestion des identités électroniques des professionnels est mise à disposition de l'ensemble des acteurs souhaitant s'engager dans le projet :

PDF document 386KB
  • Sécuriser la chaîne d’identification des professionnels dans sa structure revient à repenser chacune des étapes ci-dessous.
  • Plusieurs chantiers sont à mettre en place, en parallèle, pour déployer cette chaîne de bout en bout (ces chantiers sont décrits sur la  partie chapeau de la partie 2 )
  • Pour plus de détails, sur les étapes de la chaîne ci-dessous, vous pouvez vous référer au focus  « Le cycle de gestion des identités de bout en bout » 


https://slite.com/api/files/TD7WIGRj2yLsql/image.png?apiToken=eyJhbGciOiJIUzI1NiIsImtpZCI6IjIwMjMtMDUtMDQifQ.eyJzY29wZSI6Im5vdGUtZXhwb3J0IiwibmlkIjoiaEdpNXNjck1JSERoY2giLCJpYXQiOjE3NzU0MDk4NjYsImlzcyI6Imh0dHBzOi8vc2xpdGUuY29tIiwianRpIjoiUURZWFN0SW91WEphdHgiLCJleHAiOjE3NzgwMDE4NjZ9.K_GOcOz_DpkYosoP6sXehs1juZjAQL_SQ2aIY4J1--k
Les identités des professionnels
  • Est-ce que toutes les identités sont dans le système d’informations ?
  • Est-ce que toutes les identités numériques sont contrôlées systématiquement avec l’identité physique ?
  • Est-ce que chaque identité possède un compte informatique nominatif ?
  • Quelles sont toutes les sources de données des identités dans ma structure, en fonction des populations ?
  • Ai-je des doublons d’identité ?
Le système d'information
  • Est-ce que mon SI-RH est synchronisé avec les annuaires locaux ?
  • Quels sont les outils que je possède ? (SI-RH, AD, Entra-ID, IAM…)
  • Quelles applications sont considérées comme sensibles hors DMP / DPI / DUI ? Exemple : messagerie…
  • Est-ce qu’il existe des règles pour la gestion des comptes ?
  • Comment sont gérées les personnes présentes dans plusieurs structures ?
Les processus organisationnels
  • Est-ce que j’ai une procédure de gestion des entrées et sorties ? Est-ce que les créations et suppressions de comptes font partie de ce processus ?
  • Est-ce que j’ai des automatisations dans les processus ?
  • Comment sont gérés les intervenants externes (hors système de paie) ?
La gestion des droits
  • Quel est le processus d’attribution des droits dans les applications ?
  • Est-ce qu’une matrice d’habilitation est en place ?
  • Ma matrice est-elle "reliée" à mon AD voire à mon IAM ?
  • Quelle est la stratégie mise en place ou que je souhaite mettre en place pour la gestion des droits ?
  • Existe-t-il un système d’approbation des droits ? Un système de délégation ?
  • Est-ce que ces droits sont revus régulièrement ?
SSO
  • Quelles sont les applications concernées par la brique SSO ? Sont-elles en local, sur client lourd, web… ?
  • Quelles sont les usages derrières ce SSO (nombre d’authentifications, authentification forte…) ?
  • De quoi est composé mon parc informatique ? Est-ce que certains postes sont partagés ?
  • Est-ce que le temps de déconnexion est un enjeu fort pour les équipes ?
  • Est-ce que des postes sont virtualisés ?
  • Comment s’assurer de la sécurité des postes avec la brique SSO ?
Fédération d'identités
  • Quels seraient les intérêts de fédérer les identités dans votre structure (services accessibles en ligne, applicatifs cloud, besoin d’accès distant…) ?
  • Est-ce que je possède un annuaire unique et à jour ?
  • Est-ce qu’il est possible de garantir l’unicité de l’identité ?
  • Est-ce qu’une politique unique de login/mot de passe existe ?
  • Est-ce qu’une politique des accès externe existe (VPN, MFA…) ?
  • Est-ce que le DPD/DPO ou le RSSI est impliqué ?
MIE
  • Quels sont les applicatifs traitant des données sensibles ?
  • Quels sont les MIE utilisés aujourd’hui ?
  • Si le MIE utilisé est des cartes, est-ce que des lecteurs sont déployés sur les postes qui le nécessitent ?
  • Existe-t-il des restrictions d’usage (gants, bloc…) ?
  • Est-ce que les professionnels ont des smartphones pour des MIE comme la e-CPS ?
  • Quelles contraintes de déploiement du MIE existent dans ma structure (stock, gestion des pertes, ergonomie…) ?
Gouvernance
  • Qui sont les parties prenantes dans ce projet ?
  • Quelle est la comitologie mise en place ?
  • Qui est le sponsor de ce projet ? Le chef de projet ?
  • Quel est le budget et le planning de déploiement ?
  • Est-ce que ce projet est aligné avec d’autres projets informatiques ?
  • Est-ce que les rôles et responsabilités sur l’ensemble des processus décrits sont clairs ?
  • Comment sont accompagnés les professionnels dans ces changements ?