Quelques 120 applications pour plus de 10.000 utilisateurs! Il s’agit aussi bien de services transversaux comme l’accès internet et la messagerie que de services applicatifs verticaux au départ de différentes plates-formes. Institué par la loi du 20 avril 2009, le CTIE (Centre des technologies de l’information de l’Etat) a fusionné le Centre Informatique de l’Etat (CIE) créé en 1974 et le Service eLuxembourg (SEL) constitué en 2004, reprenant intégralement les activités antérieures de ces deux entités.

Prestataire de services informatiques pour l’ensemble de l’Etat, le CTIE sert des populations différentes -majoritairement les agents publics, mais aussi les citoyens. De là, constate Patrick Houtsch, Conseiller informaticien, Cellule de Sécurité et d'Audit (CSA), des besoins évidents de suivi des utilisateurs tant en termes de création de leur identité électronique que de gestion de leurs rôles. «Pour les administrations, notre principale clientèle, nous opérons à quatre niveaux: l’utilisateur, son responsable, mais aussi le responsable de l’application et nous. Pour certaines organisations, la hiérarchisation est plus complexe encore. Le processus manuel que nous avions mis en place au fil du temps était devenu extrêmement complexe à maîtriser.»

A la clé, des défis récurrents en termes de surcharge administrative et donc, pour les bénéficiaires, des lenteurs pour obtenir leurs droits d'accès. Des difficultés, aussi, du fait qu’une même personne pouvait utiliser différents identifiants. Côté utilisateur, relevons encore la contrainte de devoir changer indépendamment les mots de passe sur les différents systèmes…

«Nous manquions d’une politique globale, ajoute Patrick Houtsch. Nous comptions bien des polices de mot de passe, mais parce que différentes, il n’y avait pas de cohérence. Imaginez, dans ce contexte, nos difficultés à suspendre tous les accès d’une personne dans un délai raisonnable!»

Outre les impacts sur la productivité, de nouveaux besoins en termes de sécurité commençaient à de dessiner: authentification forte pour des systèmes critiques, identification précise des utilisateurs, implication des responsables dans le processus de gestion des identités, des accès et des comptes. Mais aussi de nouveaux risques légaux et réglementaires… Le constat est dressé début 2008: une nouvelle politique d’IAM s’impose.

Dans sa démarche, le CTIE s’est préalablement fait aider par une société de conseil spécialisée. Ce qui a permis d’identifier rapidement et précisément les principaux objectifs: simplifier et accélérer les demandes d’accès, gérer les accès sur base de rôles, améliorer l'implication des responsables dans les démarches décisionnelles, identifier précisément les utilisateurs et gérer efficacement leur cycle de vie et, enfin, simplifier la gestion des identifiants et des mots de passe.

Côté solution, plutôt que privilégier la voie de l'étude détaillée, le CTIE a préféré évaluer les besoins fonctionnels sur base de l’expérience acquise à l’issue de l’analyse réalisée et de progresser dans sa démarche de manière itérative. «Notre démarche se voulait progressive; nous nous sommes donc beaucoup investi pour maîtriser les enjeux, note Patrick Houtsch.»

Au total, une quinzaine de solutions pouvant rencontrer les objectifs ont été analysées, y compris des solutions Open Source. Trois ont été présélectionnées. Et c’est finalement la solution Novell Identity Manager qui a été retenue.

Cette solution automatise le «provisioning» des utilisateurs tout au long du cycle opérationnel de l'utilisateur: accès dès le premier jour pour les nouveaux utilisateurs et modification ou résiliation des accès selon les besoins sur l'ensemble des systèmes. Le système étant basé sur les rôles, il est possible d’allouer des ressources aux utilisateurs en fonction des rôles et des responsabilités dans l’organisation.

Pour Patrick Houtsch, la technologie n’est pas tout: le succès d’un tel projet repose avant tout sur l’usage de la solution. «Très vite, à partir de décembre 2008, nous nous sommes lancés dans une vaste campagne d’information et de sensibilisation auprès des principaux acteurs du changement, à savoir les responsables des ressources humaines de toutes les administration. De fait, le succès du projet tenait à leur adhésion dans la mesure où nous leur déléguons la gestion des identités des utilisateurs.»

Avec Jérôme Buyle et Gilles Niclou, plusieurs séances d’information ont été organisées pour expliquer les enjeux et pour préparer le futur. En effet, dans le cadre étendu de sa mission, le CTIE s’apprête à gérer de nouvelles applications majeures. La délivrance du passeport biométrique en est une -déjà en production. Celle-ci représente, via les communes et les villes, quelque 800 identités supplémentaires à gérer. La délivrance des nouveaux passeports s’opérant devant le citoyen, la bonne gestion des rôles est fondamentale dans un souci évident de sécurité.

De même, l’usage de l’IAM est étroitement lié à la carte LuxTrust: commande, activation et connexion. Une authentification forte s’imposait. L’IAM permet de commander sa carte à puce sans déplacement; elle associe la carte à l’utilisateur, elle propage le certificat de la carte dans les systèmes cibles et vers d’autres administrations.

L’IAM est appelé à interagir de manière étroite avec certains services informatiques autonomes. «L’ambition est d’avoir une authentification forte pour toutes les applications critiques. Demain, sans doute, nous penserons à d’autres usages. L’important est d’avoir développé une stratégie claire et de maîtriser la technologie.»

En insistant sur ce dernier aspect, Patrick Houtsch met clairement en évidence le souci d’indépendance du CTIE en termes de savoir-faire. Le potentiel fonctionnel de l’IAM est tel qu’une parfaite maîtrise s’impose. «Cela suppose un engagement fort. Pour notre part, je l’évalue à deux personnes pendant deux ans -de l’étude au déploiement. Au regard du retour sur investissement -certes difficile à évaluer quantitativement, mais que l’on sait énorme ne serait-ce qu’en termes de productivité et d’efficacité, mais aussi de qualité de service rendu au citoyen-, l’IAM a pleinement démontré son utilité.»