Gestion des identités : les 6 pièges à éviter pour réussir votre projet
Nous sommes entrés dans l’ère de la post-transformation digitale, une ère dans laquelle les besoins et les usages se réinventent sans cesse. Dans ce monde en perpétuel changement, le système d’information des entreprises est de plus en plus complexe, ouvert et en constante évolution. Pour assurer la sécurité et la conformité de ce système, la gestion des identités est incontournable.
Les utilisateurs interagissent par de multiples canaux et les informations les concernant sont généralement dispersées dans différents silos. Les données associées à l’identité numérique des collaborateurs, partenaires et clients sont ainsi exploitées via un nombre croissant de points d’entrées.
Maîtriser les identités et les habilitations est par conséquent un axe déterminant pour protéger le SI contre les dysfonctionnements liés au facteur humain, aux utilisations frauduleuses et à la perte ou au vol de données.
Face à ces enjeux, les DSI et RSSI doivent assurer une gouvernance unique des utilisateurs et contrôler les accès à leurs services. Dans ce but, mener un projet IAM et intégrer une plateforme de gestion des identités permet de gagner en ROI et en productivité.
Cependant, il s’agit d’un projet de longue haleine qui peut se transformer en souffrance pour les équipes concernées s’il est mal réalisé. Afin de vous éviter ces tourments, nous avons consulté nos experts IAM qui ont listé pour vous les 6 pièges à éviter dans le cadre d’un projet de gestion des identités !
1. Sous-estimer la cartographie de vos ressources en amont
L’un des objectifs principaux d’un projet d’identité est de générer un référentiel unique de toutes vos identités et habilitations. Pour atteindre ce but, cartographier tous les comptes et applications est une première étape indispensable.
En omettant des ressources, vous prendriez le risque de ralentir votre projet, d’augmenter vos coûts et de perdre les principaux bénéfices d’une plateforme d’Identity Management. De plus, au regard de la conformité, dans le cadre d’un audit par exemple, toutes ces omissions pourraient vous porter préjudice.
La cartographie doit permettre de recenser l’exhaustivité des identités ainsi que l’ensemble des habilitations pour déterminer ensuite ce qui doit être provisionné.
Alors comment procéder ? Au-delà d’établir une liste de tous vos référentiels, nous vous recommandons d’adopter une démarche par lotissement : équipes, services, sites géographiques, nombre d’utilisateurs… Commencez par exemple par déterminer avec chacun des responsables métiers la liste des ressources qui les concernent. Ils pourront ensuite, en fonction, définir les droits requis avec les membres de leur équipe.
Votre organisation peut également accueillir des utilisateurs externes tels que des prestataires, partenaires ou sous-traitants. En règle générale, cette population ne se trouve ni dans l’Active Directory, ni dans le SIRH mais doit pourtant accéder à plusieurs ressources de votre système d’information. Il est donc primordial de bien les identifier, de les référencer et de veiller à centraliser les identités et habilitations associées de manière à correctement cloisonner vos données.
Une fois toutes ces informations cartographiées, vous devriez obtenir plus de visibilité sur les référentiels qui contiennent les ressources nécessaires à la gestion des habilitations. Cette opération permet également de rapidement déterminer votre source autoritaire (source qui contiendra souvent la majorité des utilisateurs) et d’orienter potentiellement l’usage principal attendu de votre plateforme de gestion des identités (annuaire, référentiel maître, gestion des profils externes…).
Pour aller plus loin et ne pas passer à côté des bonnes pratiques en matière de revue des habilitations, nous vous invitons à télécharger notre guide :
2. Démarrer le projet avec des données non qualifiées
Nos experts insistent sur ce point : pour réussir un projet de gestion des identités, les équipes doivent pouvoir s’appuyer sur des données fiables et cohérentes. En effet, sans vérification régulière de l’exactitude des données relatives à vos utilisateurs, il y a fort à parier que les référentiels d’identités contiendront à terme des informations qui ne seront plus à jour voire des comptes orphelins (comptes encore actifs d’utilisateurs ayant quitté l’entreprise).
Avant de définir vos attributs et d’allouer des droits à un utilisateur, il faut donc pouvoir être certain que le profil de ce dernier est à jour et correctement défini. Généralement, il est nécessaire de procéder à un nettoyage des données en amont du projet pour vous assurer une base fiable sur laquelle la gestion des identités pourra s’appuyer.
Il existe une autre étape indispensable pour rendre la donnée cohérente : la réconciliation. Comme indiqué précédemment, votre organisation dispose de plusieurs référentiels : SIRH, Active Directory, annuaires, bases de données… Or, au sein de ces derniers, nous retrouvons généralement les mêmes profils utilisateurs. La réconciliation consiste à corréler toutes les données des différentes applications afin de les relier à une seule identité.
Il est à noter que le nettoyage et la réconciliation des données peuvent être réalisés en interne ou être délégué au prestataire spécialisé dans la gestion des identités.
Attention cependant, il ne sera pas nécessaire d’alimenter votre solution IAM avec la totalité de vos données, même si ces dernières sont qualifiées. Il est donc important, notamment pour assurer une sécurité optimale, de veiller à stocker dans votre logiciel uniquement les données nécessaires pour alimenter un autre référentiel sans pour autant alourdir le fonctionnement de la solution.
3. Définir des profils et/ou des habilitations trop spécifiques
Si mettre en place une plateforme de gestion des identités capable de gérer tous les cas de figures peut sembler à la pointe de la technologie, il s’agit en réalité d’un mirage qui ralentira fortement la productivité de votre plateforme à long terme.
En effet, les conséquences identifiées par nos experts d’une plateforme trop personnalisée sont nombreuses :
- Elle sera plus coûteuse à maintenir et à mettre à jour,
- Elle pourra devenir obsolète rapidement si les technologies ou les besoins évoluent,
- Elle pourra limiter les options de votre entreprise en matière de scalabilité ou d’intégration avec d’autres systèmes,
- Elle nécessitera des professionnels avec des connaissances avancées de la plateforme pour la gérer,
- Il pourra être difficile de récupérer les données ou les fonctionnalités spécifiques de cette solution, si celle-ci est remplacée par une autre.
- Elle pourra limiter les options de votre entreprise en matière de scalabilité ou d’intégration avec d’autres systèmes,
Forts de 30 ans d’expérience dans le domaine, nous avons pu constater qu’il est plus efficace d’attribuer un profil avec des habilitations associées par défaut et de gérer les exceptions lorsque cela est vraiment nécessaire plutôt que de s’embourber dans une gestion de profils trop personnalisés qui se multiplieront presque au même rythme que vos utilisateurs. De plus, cela facilitera grandement votre stratégie de séparation des tâches.
Pour déterminer vos profils et modéliser les droits, nos experts vous recommandent une structure en arborescence afin d’éviter les incohérences.
Ayez en tête que la gestion des identités est un travail de fond, être raisonnable sur le court terme vous permettra d’être plus ambitieux dans la vision long terme.
4. Couvrir un périmètre trop large
Une fois que la cartographie offre la vision de toutes les applications existantes, vous pourriez souhaiter que la plateforme de gestion des identités couvre toutes ces dernières. Pourtant, un projet de gestion des identités est amené à évoluer et est, par définition, sans fin. Il serait contre-productif d’avoir pour objectif de couvrir dès le début du projet toutes les ressources existantes.
En effet, chaque application prévoit à minima :
- Un périmètre d’utilisateurs,
- Un circuit d’étapes de validation,
- Un gestionnaire,
- Un connecteur à mettre en place.
Dans le cadre d’un projet de gestion des identités, cela signifie que vous devrez multiplier les scénarios et les interlocuteurs pour chaque cas d’usage. Un périmètre trop large risque donc de ralentir le projet et peut s’avérer couteux.
Pour rendre le projet atteignable et compréhensible, nous vous conseillons d’adopter une démarche itérative. Commencez par déterminer un socle en ciblant les comptes et applications qui détiennent les périmètres les plus importants dans l’entreprise (l’Active Directory et la messagerie par exemple) et fonctionnez ensuite par lots d’applications. Cette démarche vous permettra d’obtenir des quick wins voire même de permettre aux équipes projet de monter en compétence sur la solution de gestion des identités.
La même règle s’applique pour la mise en place de connecteurs. Bien qu’il soit tentant d’activer le provisioning automatique pour toutes les ressources, démarrer en connectant uniquement les applications du socle commun s’avèrera plus productif.
5. Négliger la conduite du changement
Centralisation des ressources, changement des processus d’arrivée/mouvement/départ, revue des droits avec le principe du moindre privilège, séparation des tâches… Nos clients en témoignent, un projet de gestion des identités va indéniablement bousculer les habitudes de votre organisation.
Pour que le projet soit pérenne, chaque acteur doit prendre conscience que ces étapes de validation sont des éléments fondamentaux dans la protection de leur entreprise.
Si les équipes informatiques sont déjà conscientes des enjeux de cybersécurité du projet, elles auront pour rôle de fédérer et de sensibiliser les profils moins techniques de votre organisation. Dans ce sens, il est indispensable d’impliquer les équipes RH dès le début du projet. D’une part car le SIRH est un référentiel incontournable dans un projet de gestion des identités, d’autre part car les équipes RH joueront un rôle clé lors de l’application des processus.
Les responsables métiers et applicatifs devront également être particulièrement sensibilisés. C’est par exemple au manager de service qu’incombe en général la vérification des droits applicatifs et des ressources matérielles autorisées.
Autre facteur déterminant : opter pour une solution de gestion des identités User centric. Dans leurs témoignages, nos clients soulignent l’importance de simplifier la tâche au maximum pour les utilisateurs. En effet, privilégier le confort utilisateur vous permettra de renforcer l’acceptation des nouveaux processus et l’adoption de la plateforme. À l’inverse, si une plateforme est trop complexe, son utilisation risque d’être détournée et d’entraîner des erreurs humaines.
6. Développer sa plateforme de gestion des identités en interne
Reduction des coûts, plateforme « sur-mesure » à votre organisation… Au premier regard, développer votre propre plateforme de gestion des identités peut paraître pertinent. Pourtant, à moins de posséder au sein même de votre entreprise une forte expertise dans l’édition de logiciels de gestion des identités, un tel projet deviendra rapidement un fardeau pour vos équipes.
Développer une solution en interne est une fausse bonne idée et peut s’avérer être une décision coûteuse car, sans expérience, les équipes seront dans l’impossibilité d’anticiper les différents risques et contraintes propres à la gestion des identités.
Une fois la solution développée, il faudra ensuite la maintenir et la mettre à jour. Des collaborateurs devront donc être sollicités en permanence et ne pourront plus forcément intervenir autant sur d’autres projets tout aussi stratégiques. De plus, cela générera un risque fort de perte d’information si l’un d’entre eux venait un jour à quitter votre organisation.
Enfin vous n’aurez aucune garantie de maintien de la solution en conformité avec les réglementations externes. Aussi, nous vous recommandons fortement d’opter pour une solution de gestion des identités telle qu’Ilex Identity Management et de profiter de toute notre expertise associée.
Architecture, données, provisioning des ressources, cartographie… En plus de vous fournir une solution clé en main, avec l’accompagnement d’experts en Identity Management, toutes ces étapes seront traitées, bien encadrées et vous recevrez les bonnes pratiques ainsi que les retours d’expérience des intervenants.
Zoom technique : attention aux prérequis !
Si vous choisissez de confier votre projet de gestion des identités à un spécialiste, ne manquez pas cette étape. En effet, de nombreux paramètres sont à vérifier afin de déterminer la compatibilité entre votre système d’information et la plateforme choisie.
Parmi les principaux points d’attention soulevés par nos experts, nous retrouvons les connecteurs.
Prévoir des POC sur les scénarios qui impliqueront vos ressources et la plateforme de gestion des identités est une étape que nous vous recommandons fortement. Cela vous permettra de tester le potentiel des APIs ou des web services identifiés et vous confortera dans le bon fonctionnement du provisioning automatique.
Un autre prérequis technique important à soulever est la pleine compatibilité entre votre plateforme de gestion des identités et votre système de gestion de base de données (MariaDB, MySQL, etc.). Si la plateforme ne peut pas y être liée, le projet ne sera pas viable.
Enfin, nous vous recommandons également de prévoir en amont le mode d’hébergement souhaité de votre plateforme, On-Premise ou dans le Cloud accessible en mode SaaS, afin de vous assurer qu’il soit bien disponible sur la solution retenue et qu’il permette d’accéder à l’ensemble des fonctionnalités recherchées.
Certains métiers s’appuieront fortement sur la plateforme de gestion des identités et le rendement de cette dernière conditionnera la productivité de l’organisation. Il faut donc veiller à ce que la disponibilité de la solution soit pleinement adaptée aux enjeux métiers. Business first !