Introduction
Vous manquez de vision sur l’ensemble des habilitations de votre organisation ? Les comptes sont rarement supprimés lors des départs de vos collaborateurs ? Demander une habilitation relève du parcours du combattant, en termes de clarté des processus et de délais ?
Pour toutes ces raisons, et d’autres encore, vous souhaitez mettre en place une solution de gestion ou gouvernance des identités et des habilitations (IAM ou IAG). En effet, les gains de ces solutions en termes opérationnels et de sécurité ne sont plus à démontrer, et les progiciels disponibles sur le marché sont assez matures pour répondre à vos besoins.
Votre organisation semble prête à sauter le pas. Pour autant, mettre en place ce type de solution ne représente pas le même effort d’une organisation à une autre, en fonction de la gestion actuelle de vos identités et habilitations.
Dans cet article nous vous proposons de vérifier les prérequis à mettre en place avant tout déploiement d’une solution IAM/IAG. Ces efforts vous permettront de démarrer votre projet plus sereinement.
Gestion de projet
La première étape de votre projet IAM/IAG devra être de définir précisément vos besoins.
Attention, le déploiement d’un progiciel IAM/IAG n’est pas un besoin, mais une solution. Ces besoins peuvent être divers, mais les plus classiques ont été données en introduction : la sécurisation du SI et l’optimisation des processus et des actions réalisées. Également, le respect des réglementations figure parmi les besoins classiques : l’évolution rapide des accords et réglementations, mais aussi les politiques de sécurité internes à l’organisation peuvent vous pousser à adopter ces solutions, pour mettre en place par exemple la séparation des pouvoirs (Segregation Of Duties).
Une fois le besoin défini, vous devrez vous attarder sur le périmètre du projet. Même si le déploiement de la solution IAM se fera par étapes, il est important de prendre dès le début une vue d’ensemble sur le projet : quels seront mes utilisateurs à moyen et long terme ? Quels applicatifs seront concernés par ma solution à moyen et long terme ?
Un projet IAM est transverse à l’organisation, et demande l’adhésion du service des Ressources Humaines, des utilisateurs, des métiers et de la DSI. Cette transversalité implique d’ailleurs d’identifier un sponsor qui pourra intervenir sur l’implication et la disponibilité de ces acteurs, et initier les changements nécessaires au sein de l’organisation.
Le choix du sponsor est essentiel à la réussite du projet, et c’est avec lui que seront définis le budget alloué au projet, les objectifs (qui doivent être clairs et atteignables), et la composition de l’équipe projet.
Une phase de cadrage du projet sera également nécessaire : celle-ci vous permettra de définir vos priorités, de définir vos étapes. Vouloir tout implémenter tout de suite présente plus de complexité et un risque de glissade voire d’échec du projet. Ainsi, vous choisirez peut-être de démarrer par l’alimentation en automatique d’un AD, pour un gain en rapidité et en qualité, plutôt que de vouloir alimenter tout de suite toutes vos applications automatiquement.
Ce type de cadrage vous permettra de définir une méthodologie de projet voire agile. Cette démarche est fortement conseillée, et le sujet s’y prête car fonctionnel. Une démarche plus classique en V risque de faire durer le projet dans la longueur, et ce dernier pourrait alors s’essouffler sans présenter aucun retour sur investissement.
Gestion des données
Un projet IAM va nécessiter l’utilisation de données pour la gestion des identités. La première étape est donc d’identifier les référentiels de votre organisation, en particulier ceux qui vont contenir des informations sur les personnels (internes et externes), sur les structures (organisation générale, organisation juridique et sites), et sur vos métiers. Ces référentiels permettront de créer une identité unique pour chaque personne et de définir ses attributs, afin de lui délivrer des habilitations correspondant à ses besoins.
Une fois que ces référentiels ont été identifiés, il va vous falloir vérifier la qualité des données pour chacune de ces sources. Avoir des données de qualité (pour un projet IAM) signifie qu’il faut respecter différents critères :
- Disposer d’un identifiant unique pour les identités sur chacun des référentiels ;
- Lorsque les informations sont disponibles sur plusieurs référentiels, je dois déterminer un référentiel maître : il s’agit de celui qui fera foi si les informations sont contradictoires sur ces référentiels ;
- Vérifier l’absence de doublons pour mes identités (le même John Doe est-il inscrit plusieurs fois dans mon référentiel ?) et pour mes données référentielles (ai-je le site Brive-la-Gaillarde inscrit sous différentes formes : « Brive », « Brive la Gaillarde » … sans compter les fautes de frappe) ;
- S’assurer que les données sont à jour. La périodicité de mise à jour doit être en adéquation avec votre projet : par exemple, si les fichiers de paie sont mis à jour une fois par mois, il faudra peut-être réaliser certaines adaptations pour votre solution IAM que vous souhaitez mettre à jour quotidiennement.
- S’assurer que le modèle de données défini est clair : que signifie chaque attribut, et quelles sont les relations entre eux ?
Dans une moindre mesure, il est intéressant de vérifier qu’il existe un propriétaire des données, pour chaque attribut : c’est le rôle du Chief Data Officer ou Directeur des Données. Bien que ce rôle n’existe pas dans toutes les organisations, le nommer ou le rencontrer vous assurera que votre projet s’appuie sur les référentiels de demain, et qu’il n’existe pas de changement majeur qui risque d’impacter significativement votre projet. Il est également de son ressort de s’assurer de la qualité de la donnée.
Et, qui dit « donnée sur les utilisateurs » dit protection des données à caractère personnel. Il est indispensable de s’assurer de la légalité du traitement des données via votre Délégué à la Protection des données (DPD ou DPO). Avant de démarrer votre projet il est donc nécessaire de vérifier que vous êtes en conformité avec les réglementations concernant ce type de données (RGPD entre autres). Ce chantier n’est pas à négliger, notamment parce qu’une implémentation « by design » de la sécurité sera beaucoup plus simple que des modifications post-production. Il est à noter que les éditeurs de solutions IAM/IAG sont sensibles à ces sujets.
Gestion des processus
Puisque l’identité est centrale dans un projet IAM/IAG, les processus qui sont liés à son cycle de vie font partie des prérequis à analyser. Leur connaissance est fondamentale à la mise en place d’une solution. Plusieurs niveaux de connaissance sont possibles : à minima, les sachants et les responsables de ces processus doivent pouvoir être identifiés. Dans un second temps, ces interlocuteurs permettront de documenter les processus liés aux arrivées, départs et mobilités des identités internes et externes. Documenter signifiant ici identifier, pour chaque action, ce qui est réalisé, comment, par qui, et son lien avec les actions précédentes et suivantes.
Une fois documentés, il convient d’étudier un peu ces processus : sont-ils utilisés de manière homogène dans mon organisation ? Sont-ils conformes aux standards de sécurité (politiques internes par exemple) ? Sont-ils assez matures pour être automatisés ? Il est d’ailleurs intéressant de se confronter au Capability Maturity Model Integration (CMMI) pour évaluer leur niveau de maturité et les améliorer.
Ce même travail s’appliquera ensuite sur les processus liés à la gestion des droits et à la gestion du matériel (selon votre projet). Il faudra tout de même veiller pour ces processus à ce que les exceptions et règles spécifiques soient documentées, par exemple en ce qui concerne les validations.
Provisioning
La gestion de l’identité est une part importante de l’IAM/IAG, qui est mise au service de la gestion des habilitations et des accès au travers du provisioning. Le premier prérequis concernant le provisioning est donc de définir les systèmes cibles que je souhaite interconnecter (annuaires, applications…). Il est important de définir des responsables pour chacune des applications (technique) et pour chacune des données (fonctionnel). Pour toutes ces cibles, il faudra ensuite définir le type de provisioning que l’on souhaite adopter (manuel ou automatique). Aujourd’hui, ce choix est surtout porté par le niveau de maturité de votre modèle de droits, la plupart des éditeurs proposant des connecteurs pour le provisioning des systèmes classiques. Plusieurs niveaux de provisioning automatique sont possibles, par exemple sur la création du compte seul, ou avec la gestion des droits associés.
En ce qui concerne le provisioning manuel, il faudra identifier un administrateur qui sera en mesure d’interpréter la demande reçue pour créer et affecter correctement les comptes et les droits. C’est l’une des difficultés du provisioning manuel : bien que le niveau d’exigence soit libre en termes de contenu de la demande, celle-ci doit être suffisamment complète et compréhensible pour permettre à l’administrateur de la réaliser. Les champs libres peuvent donc parfois devenir problématiques. Le reporting et la visibilité des droits des utilisateurs également.
Le provisioning automatique va demander un peu plus de prérequis, et notamment un modèle de droits assez mature : il est fortement conseillé qu’à minima les droits applicatifs soient déclinés en rôles techniques (ou applicatifs) ; au mieux, un modèle de droits basé sur des profils métiers et regroupant l’ensemble des rôles applicatifs nécessaires à la réalisation de ce métier. Au-delà des droits, le provisioning automatique va nécessiter de connaître la façon dont sont gérées les identités dans l’application (comptes nominatifs, identités fédérées), de connaitre les interfaces exposées par l’application pour permettre les interactions avec la solution IAM/IAG.
Vous devrez enfin décider du niveau d’intégration des systèmes : uni- ou bi-directionnel, permettant dans le second cas de savoir si le compte a été provisionné.
Gouvernance des droits et habilitations
Le sujet a été évoqué dans la partie précédente : plus mon modèle de droits est mature, plus mon implémentation de la solution IAM/IAG sera facile à maintenir et pérenne. Il est recommandé d’avoir réalisé à minima des profils applicatifs (comptable, administrateur… sur telle application), et au mieux des profils métiers (Expert-comptable, Administrateur réseaux …), en prenant en compte le niveau de criticité des données accédées.
Bien entendu, lorsque ce travail de (re)définition du modèle de droits sera réalisé, il ne faudra pas oublier de prendre en compte les réglementations applicables à mon organisation sur ces sujets, qu’elles soient externes (RGPD) ou internes (politiques de sécurité).
Une solution IAM/IAG viendra avec de nombreux outils de gouvernance : rapports, mise en place de recertifications des droits, mais aussi de séparation des pouvoirs (SoD). Ce sera à vous de définir les outils que vous souhaitez utiliser. Même si cette définition peut venir dans un second temps, il serait dommage de la négliger : ces outils apportent de nombreux atouts en termes de sécurité mais aussi de maîtrise de son SI, et peuvent vous aider à piloter et améliorer votre modèle de droits.
Dernier point en ce qui concerne la gouvernance : la mise en place d’une amélioration continue. Le déploiement d’une solution IAM/IAG n’est pas une action réalisée à un temps « t ». Puisqu’elle implique des processus transverses à votre entreprise, cette solution devra vivre avec et s’adapter. C’est donc tout naturellement que vous devrez mettre en place une gouvernance de vos processus et de votre modèle de droits. Sans cela, votre solution deviendra rapidement inadaptée.
Conclusion
Le déploiement d’un outil de type IAM/IAG ne se considère pas seulement comme la mise en place d’une nouvelle solution au sein de votre organisation, ce sujet transverse ayant un impact direct sur tous les métiers, la Direction des Ressources Humaines et votre DSI.
Avec un tel impact, les prérequis vont être importants. Mais mieux vous serez préparés à accueillir ce type de solution, plus le déploiement sera facile. La gestion des identités et des accès n’est de toutes façons pas qu’une solution, mais bien une articulation de processus au sein de votre organisation.
D’ailleurs, vous pouvez tout à fait mettre en place ces prérequis sans pour autant vouloir déployer une solution. L’accueil et la gestion des collaborateurs et clients est un véritable enjeu, et les gains potentiels en termes de processus peuvent être importants ; finalement, l’objectif majeur pour répondre à vos besoins, et la plus grande difficulté de votre projet, sera bien la mise en place de ces prérequis.
Et surtout ne négligez pas d’intégrer ces processus et votre modèle de droits dans une logique de recertification et d’amélioration continue, sous peine de les voir vite devenir obsolètes, vous obligeant ainsi à reprendre ce projet depuis le début.
Au même titre qu’un logiciel nécessite supervision et maintenance, vos processus devront être régulièrement réévalués et adaptés. L’évolution de ces processus, en adéquation avec votre entreprise, nécessitera une organisation autour de l’IAM.
La réflexion sur le type d’organisation que vous souhaitez mettre en place peut se faire déjà en amont. La synergie que vous aurez développée de façon transverse dans votre organisation lors du déploiement de ces prérequis sera un atout précieux dans le maintien de votre solution IAM.
Contactez-nous pour plus d’information sur notre société et si vous souhaitez rejoindre notre aventure, consultez nos opportunités de carrières.