L’ingrédient principal d’un projet IAM est l’organisation. Rappelons en effet que l’IAM (Identity& Access Management) consiste à gérer le cycle de vie des identités, à renforcer la maîtrise des principes d’accès au système d’information (qu’il s’agisse d’accès logique – habilitations – comme physiques – badges…), à se conformer à la réglementation en vigueur (traçabilité, cloisonnement …) et à réduire les coûts de traitement, de maintenance et d’administration.
Compte tenu des changements induits par l’uniformisation des processus de gestion et le nombre d’acteurs concernés (ressources humaines, SI, fonctions supports, management…), la part de conduite du changement ne doit pas être sous-estimée.
Les bons ustensiles pour le pilotage
La complexité d’un projet IAM provient de sa transversalité, car il requiert de solliciter de nombreux acteurs de l’entreprise : classiquement la DSI, les RH (directement concernés par les identités et accès) et les directions métiers (concernés par les demandes d’accès). Ce type de projet doit intégrer ces 3 entités afin que toutes décisions soient cohérentes et prises de façon consensuelles. Bien entendu, chaque décision structurante doit être en phase avec la stratégie d’entreprise et les contraintes réglementaires en vigueur.
Dans les faits, il est souvent constaté que le pilotage du projet est laissé à la DSI, notamment car la phase d’industrialisation consiste à mettre en oeuvre les outils techniques et l’infrastructure adaptée. En soit, cela ne pose pas de problème sous couvert que les instances métiers soient représentées (et suffisamment impliquées !) et qu’il y ait un fort sponsoring du management.
Préparation : L’organisation
Temps de réalisation : environ 3 mois
Commencez par mélanger une bonne dose de ressource humaine, de système d’information, de moyens généraux, de fonction support et de management. Ajoutez une pincée de juridique. Saupoudrez d’une bonne dose de pragmatisme et commencez à définir vos processus de gestion. Laissez reposer.
Établissez l’organisation et (re)définissez les responsabilités
La pierre angulaire de l’IAM, c’est l’organisation. Qui sont les acteurs de la gestion des identités et des accès ? Quelles sont les responsabilités de chacun ? Quelles sont les règles? Quelles sont les contraintes réglementaires ?…
Voici les premières questions qu’il faut vous poser afin de définir le cadre de cohérence de l’IAM.
Concrètement, cette étape vise à uniformiser le processus de gestion des identités, des habilitations, des ressources matérielles dans une optique de recherche d’efficacité. Avant tout, il s’agit d’inscrire les rôles et responsabilités des acteurs et de définir les liens de causes à effets entre ces derniers.
Les principes structurants et règles doivent également être définis : politique de mot de passe, authentification, ségrégation des droits, incompatibilités, dérogations, traçabilité, révision périodique des accès … N’oubliez pas de prendre en considération les contraintes règlementaires, aussi pensez à solliciter vos juristes.
Pré chauffage : Vers l’industrialisation des processus
Temps de réalisation : 3 à 12 mois selon votre cible
Commencez par préchauffer le four. Identifiez les services cibles et élaborez votre cahier des charges. Mettez en place l’infrastructure technique adaptée et intégrez / développez la solution des services IAM. Vérifiez que la température est idéale en réalisant un premier pilote …
La révision de l’organisation et l’uniformisation des processus contribuent en partie à fluidifier et améliorer la performance opérationnelle de la gestion des identités et des accès.
Toutefois, le gain significatif va être apporté par l’industrialisation de ces processus et l’automatisation de certaines fonctions qui vont permettre de réduire les délais et optimiser les moyens de traitement.
Pour répondre à ces besoins, la mise en place d’un outil devient nécessaire. Il s’agit par exemple de couvrir :
. Le déversement automatique du SIRH dans un référentiel d’identité,
. L’automatisation du Workflow de demande d’accès au SI (traçabilité des demandes),
. Le service d’authentification centralisé,
. La création automatique des comptes applicatifs (provisioning automatique)
. Les outils de reporting,
. Les notifications aux acteurs,
. Le service d’authentification unique (SSO)
. Le self-service de réinitialisation de mot de passe etc.
Le choix des outils et services à mettre en oeuvre dépend de la cible et des objectifs à couvrir (améliorer la performance opérationnelle, renforcer la sécurité, respecter la règlementation
…). Cela peut se traduire par des développements internes ou par l’intégration de solutions clés en main du marché. Cette phase s’articule donc majoritairement autour du déploiement d’un outil informatique et de l’infrastructure technique appropriée (annuaire, connecteurs, haute disponibilité …).
Ne pas oublier que le métier est utilisateur final de la solution. Aussi, il est primordial de l’intégrer depuis l’expression des besoins jusqu’aux tests de vérification d’aptitudes de bon fonctionnement.
Avant de passer au four, émincer les profils applicatifs …
Une évolution majeure apportée par l’IAM consiste à simplifier la gestion des demandes d’accès au SI, via le rôle du management. Il s’agit de ne plus attribuer unitairement des profils applicatifs, mais des ensembles cohérents de droits applicatifs représentant une activité appelés plus communément rôles métiers. In fine, il s’agit d’appliquer à ces rôles les principes de moindre privilège et de séparation des pouvoirs.
L’élaboration des matrices de rôles est majoritairement du ressort des managers des directions métiers car ces derniers sont à même d’exprimer les besoins d’accès aux applications métiers pour leurs collaborateurs.
Les directions doivent être suffisamment sensibilisées au fait que leur implication est primordiale, et que cette étape conditionne le bon déploiement de la solution sur leur périmètre.
Cuisson à feu doux : Déploiement progressif
Temps de réalisation : de plusieurs semaines à plusieurs mois par périmètre
Procédez à la cuisson : contrôlez régulièrement la température, procédez de façon progressive. La clé de la réussite : arrosez régulièrement d’une bonne dose de conduite du changement !
L’organisation est établie, le pilote concluant et le go de généralisation de la Direction Générale est donné. Le déploiement peut être lancé au niveau de l’entreprise. Pour sécuriser le déploiement, celui-ci doit être progressif (par direction, par département, etc.).
Point d’attention, pensez à prévoir une conduite du changement suffisante, vis-à-vis des fonctions transverses (principalement fonctions supports et équipes SI). Dans l’attente du déploiement généralisé, deux canaux de communications vont cohabiter : les processus existants et les nouveaux processus liés aux nouveaux outils. À titre d’exemple, pour un gestionnaire d’application, la réception des demandes d’habilitation se fera par le workflow pour les populations déployées, et via le processus anciennement établi pour les populations restantes. Ce cas de figure s’applique également pour les fonctions supports. Ce changement progressif requiert dès lors une conduite du changement conséquente qu’il faut anticiper.
Côté métier, le déploiement consiste à instancier l’organisation, à migrer vers les nouveaux processus et outils, et à déployer progressivement les rôles métiers définis précédemment en regard de la stratégie de déploiement retenue : attribution au fil de l’eau des rôles ou certification des droits et mise en cohérences des droits (retrait ou ajout de droits). Compte tenu des impacts sur le métier, il est primordial d’assurer une conduite du changement suffisante pour les faire adhérer.
En conclusion
La mise en place de solutions de gestion d’identités et des accès repose sur 2 ingrédients essentiels : une bonne dose d’organisation et de conduite du changement. Ce type de projet doit être abordé comme un projet d’entreprise et comme un projet de transformation à part entière.
Un seul mot d’ordre, pragmatisme. La clé de la réussite réside dans la simplicité des processus, un sponsoring suffisant du management et une adhésion des parties prenantes.
Lire aussi
Forrester expects a Wave of Acquisitions of Cloud IAM Providers
__________
Gaël Courtaillac est consultant chez LEXSI
puis