La gestion des identités et des accès représente un domaine de la cybersécurité grâce auquel les entreprises luttent contre les menaces émergentes pesant sur leur Système d’Information (SI). L’externalisation de celle-ci permet de réduire la charge de travail et les coûts d’implémentation d’un service Identity and Access Management (IAM) pour l’équipe IT de l’entreprise. Découvrez quelques éléments à prendre en compte lors du choix de votre future solution IDentity-as-a-Service (IDaaS).
L’IDaaS désigne un ensemble de services hébergés dans un cloud externe à l’entreprise pour la gestion des identités et des accès (IAM).
Une offre IDaaS combine ainsi les fonctionnalités standards d’une solution IAM on-premise, avec les avantages opérationnels d’un service managé externalisé dans le cloud.
Pourquoi choisir une solution IDaaS ?
A la contractualisation d’une offre IDaaS, le temps de mise à disposition de la plateforme est plus rapide que l’installation d’un environnement on-premise. Les tenants (portions de solution SaaS attribuées à chaque client) sont déjà packagés par l’éditeur, avec l’infrastructure cloud adaptée. Il restera, ainsi, simplement quelques ateliers d’architecture à prévoir pour établir les liens entre cette plateforme cloud et le reste du SI – dont les éléments on-premise tel que l’AD.
En termes d’administration, les compétences nécessaires pour maintenir fonctionnellement ou techniquement la solution sont généralement limitées. Cela permet de bénéficier d’une administration simplifiée de la plateforme qui ne requiert pas de MCO technique.
Les limites de l’IAM on-premise
En effet, comparé au déploiement d’une offre IDaaS, la mise en place d’une solution IAM on-premise peut s’avérer longue et coûteuse. Les équipes techniques de l’entreprise sont fortement sollicitées lors du déploiement de celle-ci – des conditions d’hébergement à l’ouverture des flux en passant par le bon dimensionnement de l’infrastructure – qui permet de supporter la solution. L’architecture doit être pensée pour assurer la sécurité et la disponibilité de la solution selon les critères définis par l’entreprise, et les coûts associés se répercutent sur le budget du projet.
Une fois en place, la solution doit pouvoir bénéficier de la maintenance de l’infrastructure associée et de mises à jour régulières. Chaque mise à jour est généralement programmée comme un projet qui permettra d’analyser les éventuels effets de bord sur les fonctionnalités développées. On constate alors souvent une personnalisation à outrance des solutions on-premise, qui empêchent le déroulement des procédures de mises à jour recommandées par l’éditeur – ce qui implique finalement des délais plus longs pour leur application, voire leur abandon (entraînant la fin du support éditeur).
Dans un but de traçabilité et pour assurer la capacité de restauration de la solution IAM on-premise, des sauvegardes régulières peuvent être mises en œuvre. Il faut donc également prévoir quelques dispositifs de stockage (infrastructure et exploitation) et d’accès à ces sauvegardes, ainsi que des procédures de restauration. Celles-ci se perdent, malheureusement, bien souvent selon les rotations des équipes maintenant la solution ou les restrictions budgétaires qui peuvent peser sur un même projet.
Les critères de sélection à retenir
L’externalisation vers le cloud implique pour l’entreprise de déléguer à son fournisseur de service un certain nombre de tâches (sécurité, disponibilité, maintenance, etc.). Les critères suivants peuvent être analysés lors du choix de votre future solution IDaaS :
Contraintes réglementaires et internes à l’entreprise. La protection des données d’une entreprise est une question sensible. En France, la CNIL a publié quelques recommandations pour les entreprises qui envisagent de souscrire à des services cloud (SaaS y compris). Il est donc important de s’assurer que l’éditeur suit un niveau d’exigence au moins égal ou supérieur en fonction des contraintes imposées par l’entreprise et/ou son activité.
Les contraintes internes peuvent également être techniques ou stratégiques. Il convient donc de solliciter les bonnes parties prenantes dans l’entreprise avant de souscrire à une offre IDaaS.
Localisation des données. Dans le cadre du choix d’une solution IDaaS, il est indispensable de maîtriser la localisation exacte de ses données. En Europe, et plus précisément en France, héberger et stocker ses données – au sens du RGPD – dans l’Union Européenne est une exigence pour la stratégie de gestion des risques de toute entreprise.
Réversibilité. Il s’agit de la possibilité de pouvoir basculer vers une autre solution, tout en récupérant les données issues de la solution IDaaS. Une attention particulière doit être apportée aux mécanismes de réversibilité qu’offre l’éditeur pour s’assurer de récupérer les données dans un délai et une exploitabilité acceptable.
Contrat sur le niveau de service. Les Service-Level Agreement (SLA) des solutions SaaS sont en général rédigées en faveur du fournisseur, et non en fonction des besoins du client. En d’autres termes, un SLA couvre certains éléments de base, et ce au bon vouloir du prestataire de services. Il est donc primordial pour les entreprises de savoir ce qu’elles attendent du SLA d’une solution IDaaS (temps d’indisponibilité annuel maximum, nombre de montées de versions et de patch management annuels ou encore délai de mise à disposition des logs en cas d’audit – par exemple), et ce avant de faire le choix d’une solution.
Mesures de sécurité des données. Il est conseillé de s’assurer du niveau de protection des données que l’entreprise confie à l’éditeur. Un ensemble d’informations d’identification référencées dans l’IDaaS, et qui seraient interceptées, pourrait compromettre tout un réseau et menacer la sécurité des tiers avec lesquels l’entreprise est connectée. Le chiffrement et le hachage des données stockées et transférées, depuis ou vers l’IDaaS, sont nécessaires pour empêcher le vol d’informations et minimiser les dommages que les pirates pourraient causer. Dans ce sens, il faut que l’éditeur garantisse également un bon niveau de contrôle des accès aux infrastructures et bases de données qui supportent la solution.
Évolutivité de la solution. Lorsqu’une organisation se développe, ses solutions de gestion des identités doivent également évoluer pour répondre aux nouveaux besoins ou nouvelles populations. Il est donc important d’opter, dès le départ, pour une solution qui permettra de répondre à de nouveaux usages au fil du temps. Pour gérer les processus de montée de version, il convient de vérifier auprès de l’éditeur qu’un environnement dédié permet de tester cette nouvelle version afin d’anticiper les changements.
Gestion des applications. La plupart des organisations adoptent une approche hybride des applications métier (on-premise et dans le cloud). Quel que soit l’endroit où les applications sont hébergées ou accessibles, il est recommandé de choisir une solution IDaaS qui simplifie l’intégration entre les systèmes et les applications – et qui permet de bénéficier d’une expérience utilisateur unifiée.
Customisation. Une solution IDaaS propose, en général, un faible niveau de customisation. Il est alors nécessaire de s’assurer, au préalable, que les besoins spécifiques requis par l’entreprise seront couverts, et de s’informer auprès de l’éditeur des capacités d’adaptation de la solution proposée.
Au-delà des critères abordés ci-dessus, n’hésitez pas à solliciter les cabinets de conseil et d’expertise technologique pouvant vous mettre en relation avec les éditeurs de solution IDaaS qui répondront à vos attentes.
L’organisation d’un Proof of Concept (PoC) sera alors possible pour vous accompagner dans votre décision en fonction des résultats obtenus. Cependant, attention, les réponses fonctionnelles et techniques ne sont pas les seules à prendre en compte. L’aspect contractuel de l’offre à laquelle vous allez souscrire doit également être fortement pris en considération pour vous assurer du niveau de sécurité, de conformité, de support et de disponibilité de la solution envisagée.
____________________________
par Anne-Lise Poutrel, Manager IAM chez Synetis