Entre technique et conseil, découverte du métier de consultant IAM


Mehdi est consultant IAM (Identity and Access Management).

 En quelques mots simples, il gère les identités professionnelles des collaborateurs et leur parcours dans l’entreprise. L’objectif : Nous donner les bons accès au bon moment, au bon endroit. Explications.

Je rencontre Mehdi à un afterwork au boulot. Pour animer la soirée, l’équipe Com a organisé un blind test musical. La bonne idée. Universelle, la musique rassemble des collaborateurs autour de 2 tables et de 3 buzzers.
Parmi les joueurs, Mehdi et son équipe. Ils sont forts, très forts. J’en perds ma voix, un peu de mon ego et le prénom de Balavoine. Mehdi est arrivé en stage 2016 chez Orange Cyberdefense avec l’envie de trouver du challenge. L’expérience devait durer 6 mois, c’est le coup de foudre professionnel pour son équipe. Et le sentiment est réciproque. Depuis 2 ans.

Pour découvrir la playlist de Mehdi, c’est ici (ouvre un nouvel onglet).

Tu es consultant en sécurité IAM (Identity and Acces Management), raconte nous ce que c’est.

Au travail chacun a une identité professionnelle. Toi, moi, nous sommes quelqu’un pour l’administratif, nous avons un numéro de session, un accès à l’entreprise avec un badge personnel ou un accès à des ressources au sein du bâtiment (salles, serveurs). Nous avons aussi accès à d’autres applications de l’entreprise (un dossier partagé, un intranet, un serveur, des outils RH).

Notre travail est de nous assurer que tu as les droits et les accès qui correspondent à ton poste, à ton environnement professionnel et dont tu as besoin pour travailler correctement.
Et bien sûr nous devons sécuriser tous ces accès.

Mais nous devons aussi définir les ressources et applications auxquelles tu ne peux pas avoir accès.

C’est une autre façon de sécuriser l’entreprise. Par exemple, certains documents stratégiques sur lesquels la direction a la main, doivent rester confidentiels. Ainsi, mon rôle est de m’assurer que seules les personnes concernées par ces dossiers peuvent les consulter et pas les autres.

Ce qu’on aime bien dire pour expliquer notre mission, c’est que nous donnons accès à la bonne personne, pour la bonne ressource, au bon moment et pour les bonnes raisons. Qui que la personne soit, et où qu’elle soit dans le monde. C’est ce qu’on appelle « un rôle », et on lui donne un droit ou pas un droit, en fonction de son cycle de vie professionnelle (par exemple en contrat ou pas) et en fonction de sa légitimité à accéder à telle ou telle ressource.

Une bonne raison de faire de l’IAM, c’est par exemple de s’éviter de subir ce qu’a vécu une grande banque avec son illustre trader : donner des droits sur une application à qui n’est pas censé les avoir.

Et êtes-vous en capacité de construire ce parcours pour tous les collaborateurs d’une entreprise ?

Oui. Et c’est essentiel pour sécuriser l’entreprise.
Gérer toutes les identités et les accès revient à créer un écosystème qui s’organise autour de processus métiers bien définis. C’est en fait créer une architecture de sécurité complexe.
Notre travail consiste en :

  • Une mission technique pour intégrer ces rôles et processus métiers au sein du système informatique de l’entreprise. C’est un gros challenge de sécurité car on s’interconnecte dans toute son application,
  • Et aussi en une mission dite fonctionnelle qui permet d’accompagner nos clients à définir ces processus.

Ainsi, un consultant IAM doit être à la fois dans le conseil et dans la technique.

Toi, par exemple, gères-tu la conception de l’architecture et aussi sa maintenance ?

On travaille en équipe : il y a des équipes chargées du BUILD, c’est-à-dire chargées de la création de l’architecture de la solution IAM. Le client nous expose sa problématique, on part d’une page blanche et on conçoit la méthode d’intégration à son infrastructure. Ce sont souvent de gros projets, sur 2 ans et demi ou 3 ans, même si nous gérons aussi des plus petits projets comme de la migration vers le Cloud d’une App SAP par exemple.

Et puis il y a les équipes de RUN qui une fois la solution IAM conçue sont chargées de l’exploitation de cette solution : son contrôle, surveillance, ses corrections. C’est un service managé par nous.

Il arrive aussi qu’une entreprise Tierce opère la solution IAM que nous avons pensée. Dans ce cas-là on peut intervenir sur de la réponse à incidents.

Quels challenges relèvent aujourd’hui tes clients ?

J’en vois 3. La migration vers le Cloud. Je travaille en ce moment sur un projet de migration. Notre client veut créer des applications et clients messagerie. Nous devons les pousser dans le Cloud.

La seconde problématique sur laquelle on les accompagne est plus d’ordre réglementaire puisqu’elle concerne le RGPD. Le but de ce règlement européen étant de protéger les données et les identités utilisateurs, notre équipe gère aussi des problématiques de protection de données.

On intervient chez des clients qui se posent la question de gérer les identités et si cette gestion est « RGPD compliant ». Dans ce cas-là nous travaillons avec la partie Conseil et Audit chez nous.

Le dernier challenge que nos clients rencontre, c’est celui du volume d’identités et d’accès à gérer.
Dans de grosses entreprises, avec plusieurs milliers de collaborateurs, cela peut vite devenir un casse-tête chinois.

Avec une difficulté à déterminer qui peut avoir accès à quoi. Quand cette situation émerge, on peut installer une solution qui va faire de la fédération d’identités et permettre d’avoir une connaissance précise de ces dernières.

C’est une solution de Single Sign On (SSO), un logiciel d’authentification unique qui va venir vérifier toutes les identités sur ce référentiel.

Mehdi, ton identité Social Media, tu la gères comment ?

Avec discrétion et parcimonie.
J’utilise surtout Messenger. Un peu Twitter pour l’aspect immédiat, pour aller chercher l’info vite, notamment pour ce qu’il se passe dans le monde. Et Reddit, un forum de discussions notamment des sous-forums techniques sur des spécialistes de la sécu, sur des publications de nouvelles vulnérabilités.
Ça me permet de faire une veille technique.

Merci Mehdi.

Écrit par : l’équipe Communication Orange Cyberdefense

Mehdi, consultant IAM chez Orange Cyberdefense

A propos du blogueur

Passionné de musique et guitariste, Mehdi Mtimet est diplômé de Telecom Sud Paris en tant qu’ingénieur « Sécurité des systèmes et des réseaux » depuis 2016.

Il a rejoint les équipes d’Orange Cyberdefense en 2016 en tant que stagiaire consultant IAM puis comme consultant IAM.