Les clés de l’IAM

Par Maxime de Jabrun.

– Ding dong…
– Qui est-ce ?
– C’est moi, ouvre la porte !

Dans notre quotidien, nous devons tous faire face à une forme de gestion des identités et des habilitations. Nous le faisons naturellement en reconnaissant les visages et le son de la voix des personnes que nous connaissons. Laisser rentrer quelqu’un de son entourage chez soi ne présente aucune difficulté apparente. Alors pourquoi les entreprises peinent-elles à mettre en place un dispositif analogue pour accorder des accès à leur système d’information ?

Ceci s’explique car les accès au Système d’Information sont bien plus complexes, avec des « visiteurs » et des « portes d’entrées » multiples et parfois ponctuels, devant être surveillés. A cela s’ajoutent des types d’accès (privilèges) multiples, qui sont fonction des visiteurs. Pour gérer toutes ces combinaisons sur lesquelles reposent les droits d’accès, les entreprises initient alors de grands programmes pluriannuels de gestion des identités et des habilitations, visant à mettre en place des solutions techniques et/ou organisationnelles pour s’assurer que seules les personnes de confiance sont autorisées à accéder à leur SI.

La majorité des entreprises de grande taille, pour ne pas dire toutes, ont déjà connu au moins un programme de gestion des identités et des habilitations, communément appelé programme IAM (Identity & Access Management). Parmi les entreprises ayant initié de telles actions, au moins 40 % ont vu ou verront leur projet initial ne pas atteindre ses objectifs et nécessiteront le « reboot » de leur projet IAM. Environ 90 % des entreprises initieront plus d’un projet IAM.

BIAM – Beijaflore Identity and Access Management

Après avoir observé à maintes reprises les problèmes récurrents rencontrés sur des projets IAM, Beijaflore a développé une offre basée sur son expérience des facteurs clefs de succès pour un projet de cette envergure :

1. Avoir un sponsor métier : Un projet IAM apporte de nombreux gains métiers, comme une diminution des délais d’accès aux applications nécessaires à la production métier. Il comporte également une forte composante organisationnelle impactant les métiers. A ce titre, un projet uniquement conduit sous l’angle technique par la DSI d’une entreprise aura peu de chance d’effectuer une conduite du changement efficace auprès des métiers. Un sponsor métier pour un programme IAM aura toute légitimité pour mobiliser les utilisateurs finaux du SI.

2. Connaitre ses bonnes pratiques : Bien trop souvent l’existant est oublié pour ne penser qu’à la mise en place de nouvelles pratiques « from scratch ». Développer ses forces existantes permet d’optimiser les investissements déjà consentis et de valoriser le savoir-faire des équipes.

3. Associer les sachants terrains : Comment s’assurer qu’une solution théorique puisse marcher dans un environnement donné ? En anticipant sur les écueils possibles et en identifiant les spécificités de chaque périmètre. Seuls les opérationnels en contact avec le terrain sont en mesure de remonter ces informations. Cette association facilite également l’adhésion et l’assimilation de la solution future.

4. Prendre une approche progressive et pragmatique : Commencer petit, et agrandir le périmètre au fur et à mesure en bénéficiant des retours d’expériences obtenus. Les déploiements de type « big bang » ne peuvent fonctionner à moins d’avoir un périmètre limité et particulièrement homogène.

5. Commencer par l’organisationnel : La gestion des identités et des habilitations repose sur la capture et la bonne transmission des informations clefs de la vie des utilisateurs du SI : arrivée, mobilité, départ, changement de fonction et des besoins d’accès au SI. Le traitement de ces évènements nécessite des processus éprouvés. La solution technique viendra par la suite soutenir ces derniers.

6. Démontrer des résultats rapidement : Dans un contexte économique tendu où les arbitrages budgétaires sont légion, un programme IAM ne doit sa survie qu’à un support sans faille des utilisateurs finaux. Il est donc important de montrer rapidement des résultats concrets, comme la mise en place d’un self service de réinitialisation de mot de passe, fortement apprécié des utilisateurs.

7. Apprendre à lâcher prise : Il est impossible de couvrir tous les périmètres. De même, tous les périmètres ne doivent pas être couverts. Ainsi, un programme IAM ne doit s’intéresser à un périmètre applicatif que si la volumétrie de gestion des demandes d’habilitations justifie un gain financier ou de confort utilisateur substantiel.

8. Communiquer : Un projet sans communication est un projet qui n’existe pas. Communiquer sur l’avancement et les bénéfices attendus permet de susciter l’engouement et l’adhésion des utilisateurs finaux.

Pour en savoir plus, n’hésitez pas à nous demander notre plaquette.