CONSERVATOIRE NATIONAL DES ARTS ET METIERS Centre d’enseignement de PARIS ___________________ MEMOIRE présenté en vue d'obtenir le DIPLOME D'INGENIEUR CNAM SPECIALITE : Informatique OPTION : Systèmes d’information par Guillaume HARRY ___________________ Gestion des identités et des accès pour le système d’information du CNRS Soutenu le 19 juin 2013 _________________ JURY PRESIDENT : Mme Isabelle WATTIAU Professeur MEMBRES : M. Jacky AKOKA Professeur M. Yves LALOUM Professeur M. Olivier PORTE Ingénieur de recherche M. Jacques BERLIOZ Ingénieur de recherche Remerciements Je remercie et exprime ma gratitude la plus profonde à mon responsable, Monsieur Olivier PORTE, pour son soutien, son écoute, ses précieux conseils et l’expérience dont il a su me faire profiter. J’adresse également un remerciement spécial à Monsieur Marc DEXET pour son aide tout au long de ce projet. Je n’oublierai pas toutes nos discussions nocturnes tardives. Je remercie Monsieur Jacques BERLIOZ pour sa participation. Mes remerciements s’adressent également au service de la formation permanente qui m’a offert les moyens de suivre le cursus de formation au CNAM. Je tiens à remercier Monsieur Jacky AKOKA qui a m’a accompagné dans cette étude et supervisé mon travail. Je remercie les membres du jury, Madame Isabelle WATTIAU et Monsieur Yves LALOUM, pour le temps passé sur ce mémoire. Je remercie également Madame Edwige BONBARON. Son suivi régulier et son journal de bord m’ont permis de prendre du recul sur le travail réalisé. Ce projet n’aurait pas été possible sans le soutien permanent de ma famille. Je dédie ce mémoire à ma compagne et à mes deux enfants. 1 Liste des abréviations  AC : Autorité de Certification  ACL : Access Control List (anglais) Liste de contrôle des accès (français)  AD : Microsoft Active Directory  AE : Autorité d’Enregistrement  API : Application Programming Interface (anglais) Interface de programmation (français)  ARESU : Architecture Réseau Expertise et Support aux Unités  BPM : Business Process Management (anglais) Gestion de processus métier (français)  BRR : Business Readiness Rating (anglais) Taux d’adéquation au métier (français)  CIL : Correspondant Informatique et Libertés  CMMI : Capability Maturity Model Integration  CNIL : Commission Nationale Informatique et Libertés  CNRS : Centre National de la Recherche Scientifique  CORE : COmmunauté pour la REcherche (français) COmmunity for Research (anglais)  CRBAC : Constrained Role Based Access Control (anglais) Contrôle d’accès base sur les rôles avec contraintes (français)  CRBF : Comité de Réglementation Bancaire et Financière  CRU : Compte Réseau Universel  DAC : Discretionary Access Control (anglais) Contrôle d’accès discrétionnaires (français)  DGDR : Direction Générale Déléguée aux Ressources  DGDS : Direction Générale Déléguée à la Science  DMAS : Directory Management & Administration System (anglais) 2 Système de gestion et d’administration d’annuaire (français)  DR : Délégation Régionale  DSI : Direction des Systèmes d’Information  DU : Directeur d’Unité  EAI : Enterprise Application Integration (anglais) Intégration d’applications d’entreprise (français)  EPST : Etablissement Public à Caractère Scientifique et Technique  ESB : Enterprise Service Bus (anglais) Bus de service d’entreprise (français)  FLOSS : Free/Libre and Open Source Software (anglais) Logiciel libre et Open Source (français)  GIP : Groupement d’Intérêt Public  HRBAC : Hierarchical Role Based Access Control (anglais) Contrôle d’accès base sur les hiérarchies de rôles (français)  IAM : Identity & Access Management (anglais) Gestion des Identités et des Accès (français)  IBAC : Identity Based Access Control (anglais) Contrôle des accès basé sur l’identité (français)  IdP : Identity Provider (anglais) Fournisseur d’identité (français)  IEEE : Institute of Electrical and Electronics Engineers  IGC : Infrastructure de Gestion des Clés (français) Public Key Infrastructure (PKI) (anglais)  INRIA : Institut National de Recherche en Informatique et Automatique  ITA : Ingénieur, Technicien ou Administratif  IUP : Identifiant Unique Personnel  JPA : Java Persistance API (anglais) Interface de persistance Java (français) 3  MAC : Mandatory Access Control (anglais) Contrôle d’accès obligatoire (français)  MCO : Maintien en Condition Opérationnel  MVC : Modèle Vue Contrôleur (français) Model View Controler (anglais)  NIST : National Institute of Standards and Technology  ORM : Object-Relational Mapping (anglais) Correspondance objet-relationnel (français)  PIE : Pôle Ingénierie et Exploitation  PKI : Public Key Infrastructure (anglais) Infrastructure de Gestion des Clés (IGC) (français)  PSSI : Politique de Sécurité des Systèmes d’Information  RBAC : Role Based Access Control (anglais) Contrôle d’accès base sur les rôles (français)  Renater : Réseau National de télécommunications pour la Technologie l’Enseignement et la Recherche  RP : Relying Party (anglais) Consommateur (français)  RSI : Responsable des Systèmes d’Information en délégation régionale  RSSI : Responsable de la Sécurité des Systèmes d’Information  SGBDR Système de Gestion de Bases de Données Relationnelles  SIRHUS Système d'Information des Ressources Humaines des Unités et des Services  SMSI Système de Management de la Sécurité de l’Information  SOAP Simple Object Access Protocol (anglais) Protocole d’accès pour des objets simples (français)  SoD : Segregation of Duty (anglais) Séparation des responsabilités (français)  SOX : Sarbanes-Oxley 4  SP : Service Provider (anglais) Fournisseur de service (français)  SSO : Single Sign-On (anglais) Authentification unique (français)  TCO : Total Cost of Ownership (anglais) Coût total de possession (français)  TWE : Trustworthy Elements (anglais) Eléments de confiance (français)  UMI : Unités Mixtes Internationales  UMR : Unité Mixte de Recherche  UPR : Unité Propre de Recherche  WAYF : Where Are You From (en)  XUL : XML User Interface Language (anglais) Langage XML d’interface utilisateur (français) 5 Glossaire ABAC, 54, 59, 60, 88, 99, 187 97, 101, 102, 103, 104, 105, 106, 110, ACL, 55 113, 116, 157, 162, 169, 173, 174, 177, Agilité, 65, 71, 72, 77, 78, 79, 122, 125, 145 179, 189 Attribut, 29, 33, 34, 47, 49, 59, 60, 87, 88, 91, Confidentialité, 15, 45, 48 95, 97, 99, 112, 113, 115, 117, 118, 119, Consommateur d’identité, 31 120, 157, 159, 162, 163, 164, 166, 167, Contrôle d’accès, 48 168, 172, 173, 177, 178, 180, 181, 182, CORE, 78, 89, 90, 92, 97, 117, 126, 172, 181 184, 185, 187 Coût total de possession, 145 Authentification, 15, 30, 31, 32, 34, 35, 37, CRBF 97-02, 64 38, 39, 43, 47, 48, 51, 84, 88, 93, 95, 96, Credentials Voir Justificatif d’identité 97, 114, 118, 120, 128, 129, 132, 133, 134, CRU, 108 157, 162, 168, 182, 189, 208 Crystal, 71 Autorisation, 14, 46, 47, 50, 51, 55, 59, 60, DAC, 55 103, 118, 207 DGDR, 22 Bâle, 62, 63, 64 DGDS, 21 Bâle I, 62 Disponibilité, 49, 143 Bâle II, 62 DMAS, 83, 84, 85, 87, 88, 90, 91, 92, 97, 98, Bâle III, 63 104, 106, 107, 110, 113, 120, 162, 170, BPM, 157 171, 187, 191 Cartographie, 77, 79, 80, 82, 98, 113, 114, Domaine d’identité, 31, 34, 35, 37, 38, 39, 40, 116, 121, 122, 180, 189, 190 41 CIL, 46 DR, 23, 97, 98, 164 Claim, 29 EAI, 80, 81, 82, 83, 90, 102, 105, 186, 190 CMMI, 143, 145, 146, 149, 150 Entité, 15, 28, 29, 39, 41, 47, 48, 49, 51, 55, CNIL, 45, 46, 186, 189 56, 60, 93, 94 Compte, 15, 16, 47, 49, 51, 58, 60, 77, 78, 79, ESB, 156 85, 87, 101, 104, 107, 110, 113, 114, 116, Feature Driven Development, 71 119, 120, 121, 127, 177, 178, 179, 182, Fédération d’identité, 15, 31, 37, 43, 95, 107, 184, 185, 206, 208 133, 191 Compte d’administration, 47 FLOSS, 79, 114, 125, 126, 127, 128, 134, Compte de service, 48 135, 143, 145, 146, 187, 191, 192 Compte global, 47 Fournisseur d’identité, 15, 30, 31, 32, 35, 37, Compte utilisateur, 47, 49, 50, 51, 55, 57, 39, 40, 43, 78, 86, 87, 88, 95, 96, 108, 117, 65, 73, 77, 84, 86, 87, 89, 90, 91, 92, 93, 118, 136, 185, 186, 189, 191 6 Fournisseur de service, 30, 35, 37, 38, 39, 40, Itération, 59, 68, 69, 71, 72, 73, 77, 79 41, 43, 47, 78, 95, 96, 97 Iteration planning, 72 Gestion des identités et des accès, 76 JPA, 138, 156 Gestion des accès, 16, 47, 61, 74, 80, 88, Justificatif d'identité, 30, 34, 35, 39, 41, 47 99, 115, 118, 179, 189, 206 Label, 56 Gestion des identités, 16, 31, 32, 35, 51, Loi de sécurité financière, 63 61, 74, 77, 80, 81, 95, 100, 101, 116, MAC, 56, 60 132, 137, 157, 189, 190, 204 Mêlée, 72 Groupe, 47, 49, 50, 51, 84, 118, 135, 157 Mesure de sécurité, 74, 75 Habilitation, 16, 48, 49, 50, 51, 55, 57, 58, 60, MLS, 56 76, 77, 78, 84, 88, 90, 119, 120, 183, 188, MVC, 138, 157, 165 207 NIST, 57 IBAC, 54, 55, 57, 59, 60 Niveau Identifiant, 29, 34, 35, 37, 39, 41, 47, 61, 96, Niveau courant, 56, 57 104, 119, 168, 169, 173, 178, 180, 181, 187 Niveau d’habilitation, 56, 60, 207 Identifiant de référence, 29, 119, 120 Niveau de classification, 56, 57 Identifiant unique personnel, 29, 41, 77 Niveau de sécurité, 35, 51, 56, 76 Méta-identifiant, 41 Open Source Maturity Model Identification, 15, 29, 34, 35, 37, 38, 39, 51, OMM, 149 63, 113, 114, 202, 208 OSMM Identité, 15, 28, 29, 30, 31, 32, 34, 37, 47, 51, Cap Gemini, 146 54, 55, 59, 74, 77, 79, 81, 82, 83, 98, 100, Navica, 146 107, 113, 116, 161, 163, 166, 168, 171, OpenBRR, 146, 148 187, 189 OrBAC, 54, 60 Cycle de vie, 31, 83, 98, 100, 113, 114, 166 PDCA, 75, 76 Identité centralisée, 39, 43 Périmètre, 47, 48, 50, 54, 207, 208 Identité commune, 39 Périmètre fonctionnel, 50 Identité fédérée, 37, 38, 39 Périmètre géographique, 50 Identité isolée, 35, 39 Périmètre temporel, 50 Méta-identité, 41 Product backlog, 71, 72, 79 Identity provider Voir Fournisseur d'identité Product owner, 72, 77, 79 IGC, 93, 94 Profil, 16, 47, 49, 50, 51, 59, 60, 66, 75, 77, Incrément, 71, 169, 180 86, 115, 119, 172, 173, 179, 182, 187 INRIA, 149 Prototype, 68, 69, 70 Intégrité, 15, 49, 51, 59, 206 PSSI, 27, 92, 93, 114, 185 7 QSOS, 146, 147, 148, 151, 154, 187, 191, 203 Service provider Voir Fournisseur de service QualiPSo, 146, 149, 150 SGBDR, 135, 138, 140, 141, 156, 192 RBAC, 54, 57, 58, 59, 60, 84, 177, 178, 179, SIRHUS, 78, 80, 81, 82, 88, 95, 101, 102, 181, 182, 188 104, 108, 109, 111, 112, 116, 122, 184, Constrained RBAC, 58, 178 186, 190 Hierarchical RBAC, 57 SMSI, 74, 75, 76 General Hierarchical RBAC, 57 Sponsor, 77, 78, 79, 143, 199 Limited Hierarchical RBAC, 58 Sprint, 71, 72, 79 Role engineering, 58 Sprint backlog, 71, 72 Rolemining, 58 Sprint planning, 72 Relying party Voir Consommateur d'identité Sprint review, 72 Renater, 15, 78, 87, 95, 107, 108, 117 SSO, 43, 96 Ressource, 14, 15, 28, 30, 32, 47, 48, 49, 50, Synchronisation, 41, 73, 87, 118, 161, 166, 51, 54, 55, 56, 58, 59, 60, 77, 83, 93, 95, 167, 169, 170, 171, 174, 175, 179, 180, 96, 97, 120, 177, 178, 179, 182, 184, 185, 184, 186, 191, 205 187 TCO, 145 Rôle, 16, 47, 49, 50, 51, 54, 57, 58, 59, 60, Test Driven Development, 67, 72 66, 68, 75, 77, 78, 84, 89, 99, 100, 106, TWE, 149 113, 115, 117, 119, 172, 179, 182, 187, 206 UMR, 15, 17, 33 RSSI, 79, 114, 115, 185 User story, 71 RuBAC, 56 Utilisateur, 15, 16, 30, 35, 37, 38, 39, 40, 41, Sarbanes-Oxley, 59, 61, 62, 63 43, 47, 50, 55, 56, 57, 58, 59, 65, 71, 72, Scrum, 71 75, 76, 84, 85, 93, 94, 96, 113, 114, 118, Segregation of Duty Voir Séparation des 121, 127, 156, 157, 162, 166, 167, 168, responsabilités 170, 171, 173, 179, 187, 188, 189, 206 Séparation des responsabilités, 58, 62, 63 WAYF, 96, 107 Séparation dynamique, 58 XP, 71 Séparation statique, 58 XUL, 151 8 Table des matières Remerciements .......................................................................................................... 1 Liste des abréviations ................................................................................................ 2 Glossaire .................................................................................................................... 6 Table des matières ..................................................................................................... 9 Introduction ............................................................................................................. 14 Contexte des organisations virtuelles......................................................................................... 14 Enjeux pour le CNRS .................................................................................................................. 15 Thème du mémoire...................................................................................................................... 16 I Contexte ........................................................................................................... 17 I.1 Centre National de la Recherche Scientifique ................................................................. 17 I.1.1 Historique ....................................................................................................................... 17 I.1.2 Extraits du plan stratégique « Horizon 2020 » ................................................................ 18 I.1.2.1 La recherche : cœur de métier du CNRS .................................................................. 18 I.1.2.2 Le CNRS et la société de la connaissance ................................................................ 19 I.1.2.3 Une organisation mieux adaptée aux défis pour 2020.............................................. 20 I.1.3 Organisation .................................................................................................................... 21 I.1.3.1 Direction .................................................................................................................. 21 I.1.3.2 Direction Générale Déléguée à la Science (DGDS) ................................................. 21 I.1.3.3 Direction Générale Déléguée aux Ressources (DGDR) ........................................... 22 I.1.4 Structures opérationnelles du CNRS .............................................................................. 23 I.2 Direction des Systèmes d’Information ............................................................................. 25 I.2.1 Présentation .................................................................................................................... 25 I.2.2 Extraits du schéma directeur ........................................................................................... 26 II Concepts et états de l’art .................................................................................. 28 II.1 Gestion des identités ........................................................................................................... 28 II.1.1 Définitions ...................................................................................................................... 28 II.1.1.1 Identité ..................................................................................................................... 28 II.1.1.2 Attributs et identifiants ............................................................................................. 29 II.1.1.3 Fournisseurs de service et d’identité ........................................................................ 30 II.1.1.4 Fédération d’identité ................................................................................................ 31 II.1.1.5 Gestion des identités ................................................................................................ 31 II.1.1.6 Exemples dans le contexte CNRS ............................................................................ 33 II.1.2 Modèles .......................................................................................................................... 34 II.1.2.1 Identité isolée ........................................................................................................... 35 II.1.2.2 Identité fédérée ......................................................................................................... 37 II.1.2.3 Identité centralisée ................................................................................................... 39 II.1.3 Cadre réglementaire ........................................................................................................ 45 II.2 Gestion des accès ............................................................................................................... 47 II.2.1 Définitions ...................................................................................................................... 47 II.2.1.1 Ressources et gestion des accès ............................................................................... 47 II.2.1.2 Comptes utilisateurs ................................................................................................. 47 II.2.1.3 Habilitations et contrôle d’accès .............................................................................. 48 II.2.1.4 Rôle, profil, groupe et périmètre .............................................................................. 49 II.2.1.5 Authentification et autorisation ................................................................................ 51 II.2.1.6 Exemples dans le contexte CNRS ............................................................................ 51 9