Alors que les risques de sécurité envers les Systèmes d’Information (SI) augmentent quotidiennement et que les contraintes réglementaires se font toujours plus fortes (RGPD, Directives NIS, réglementations bancaires et bien d’autres), de nombreuses entreprises se lancent ou se relancent dans le déploiement de programmes d’Identity and Access Management (IAM).
Ces programmes sont souvent portés par la Direction des Systèmes d’Informations (DSI) et/ou le Responsable de la Sécurité du SI de l’entreprise (RSSI), avec quatre principaux objectifs : automatiser et fiabiliser les processus de gestion des identités, ainsi que le suivi de leurs accès et habilitations dans le SI (IGA – Identity Governance and Access), renforcer l’authentification envers le SI tout en la simplifiant pour les utilisateurs (AM – Access Management – SSO & MFA), sécuriser les accès à privilèges des administrateurs (PAM – Privileged Access Management) et, finalement, augmenter et fiabiliser les capacités de reporting et de traçabilité envers les audits internes et externes.
Les applications sont au cœur des programmes IAM, et leurs responsables ont un rôle essentiel à jouer.
IAM : des programmes parfois complexes à déployer
Suivant la maturité de chaque entreprise envers la maîtrise de son parc applicatif, et des accès et habilitations qui s’y rapportent, les besoins et attentes des programmes IAM se feront plus ou moins durement ressentir.
Deux principaux sujets vont se présenter immédiatement : le recensement et la documentation du parc applicatif, ainsi que l’évaluation des capacités techniques de chacune des applications à pouvoir être gérées par des solutions IAM (fédération, API, connecteurs). Depuis les applications connues et maîtrisées par la DSI, à celles déployées unilatéralement par les métiers (Shadow IT), en passant par les développements internes… l’inventaire peut représenter une charge de travail non négligeable, tout comme l’identification et la mise en œuvre des méthodes de raccordement qui peuvent éventuellement nécessiter des évolutions (montée de version, achat/activation de fonctionnalités/licences, développements spécifiques, etc.).
Les projets IGA présentent, eux, deux étapes spécifiques et cruciales supplémentaires : la constitution du Catalogue d’Habilitations – qui peut s’avérer une vraie gageure pour qui ne sait pas comment structurer et formaliser des profils applicatifs, des profils métiers et y associer des workflows de validations, ainsi que la structuration des informations nécessaires à la prise en charge de l’existant (comptes et habilitations) avec la qualité de données nécessaire lors du raccordement à ces solutions.
Tous ces éléments vont requérir un fort engagement de la part des responsables applicatifs, qui devra être pris en compte et appuyé par le programme IAM. Une charge budgétaire potentiellement non négligeable est également à prévoir face aux coûts humains et techniques, nécessaires à la bonne réalisation de celui-ci.
Des avantages toutefois sans précédent !
Si, en première approche, ces programmes n’ont pas bonne presse, il faut aussi considérer leurs nombreux bénéfices.
Les programmes IAM représentent, souvent, l’occasion de mettre à jour – voire de formaliser complètement – le parc applicatif de l’entreprise et les processus, en assurant leur bonne gestion. Leur mode de fonctionnement oblige tout autant les applications et le SI à se mettre au niveau techniquement et fonctionnellement, que les équipes métiers et DSI à clarifier et formaliser les processus et les responsabilités entres elles (qui paramètre, qui définit les profils, qui fait des demandes, qui valide, etc.).
L’automatisation du provisioning des comptes et des habilitations soulage les responsables applicatifs de ces tâches et leur permet, de se concentrer sur le support et le suivi de leurs applications – tant sur leur cycle de vie dans l’entreprise, que sur la gestion des contrats afférents (TMA, licences, etc.). Elle améliore aussi la qualité de service offerte aux métiers (et donc leur satisfaction) – les accès et habilitations sont provisionnés, à la demande, plus rapidement et sans erreur.
Grâce à cette automatisation, la sécurité des applications et des données ne repose, également, plus uniquement sur les épaules des responsables applicatifs. Des mécanismes techniques fiables permettent d’assurer une authentification renforcée lorsque cela est nécessaire (MFA – Multi-Factor Authentication), ainsi que la possibilité d’ajuster rigoureusement les habilitations des utilisateurs en fonction de leur évolution dans l’entreprise (mobilité, absence, départ, etc.).
Enfin, bénéfice ultime des programmes IAM, le reporting est grandement amélioré et la responsabilité de la conformité re-basculée vers les métiers au travers de processus de workflows de validations et de re-certifications des accès.
Les programmes IAM sont complexes à mener car ils touchent toutes les activités d’une entreprise. Les métiers, leurs applications et ceux qui les gèrent, sont au cœur de ces projets. Ils sont facteurs de leur succès ! Que ce soit du côté du programme IAM ou du côté des responsables d’applications, il est recommandé de se faire accompagner par des experts en la matière afin d’identifier les meilleures opportunités – spécifiques à chaque entreprise – et d’éviter, ainsi, les écueils de la mise en place d’un programme purement technique (qui peut oublier l’un de ses objectifs finaux : l’adhésion des utilisateurs par la satisfaction d’usage).
___________________
Par Julien Bertault, consultant cybersécurité MOA – AMOA IAM chez Synetis
puis