L’Evolution d’une Suite d’Identity Management – Enterprise SSO Manager

Depuis 10 ans, Tools4ever est présent sur le marché de la gestion des identités. Le premier développement fût un outil de auto-provisioning d’utilisateurs. Cette solution était ciblée sur les réseaux Windows et était surtout utilisée dans le but d’importer en masse des utilisateurs pour des universités…
Il y a 5 ans, Tools4ever a décidé de se spécialiser encore plus dans l’identity management : Nous avons investit beaucoup de nos ressources pour créer des solutions réussies.

UMRA
Le premier produit de cette lignée était UMRA (User Management Resource Administrator). UMRA était d’abord une solution de provisioning de comptes utilisateurs qui depuis s’est transformée en une solution mature et performante de gestion des comptes utilisateurs avec entre autre : support des réseaux hybrides (Windows, Novell, Unix, AS400, Mainframe etc.) auto-provisioning possible à partir de SIRH connu (SAP HR, Sage, HR Access, Peoplesoft, etc.) : Délégation du helpdesk (support niveau 1) : Self-Service pour les chefs des services ou utilisateurs finaux ; workflow management pour la validation des demandes ; Reporting et auditing.

Avec UMRA, Tools4ever a toujours eu une approche pratique :
Implémentation phases par phases avec des résultats concrets dans chaque étape. TCO (coût total) compétitive et des implémentations avec résultats concrets à partir de quelques jours.

Marché International
Tools4ever est le leader absolu sur le marché de l’Identity management en Hollande (pays fondateur) et a maintenant plus de 3000 clients dans le monde entier avec deux bureaux en France (Lyon et Paris-Montreuil), Allemagne, Etats Unis (Seattle, New-York), Angleterre, et la siège mondial à Baarn au Pays-Bas.

Tools4ever est leader sur le marché des outils standard de gestion d’identités ainsi que les Professional Services et Conseil en matière de gestion d’identité. Il est difficile de trouver un fournisseur sur le marché avec autant d’implémentations réussies, ou des connaissances concrètes sur l’application de la gestion des identités et des accès.

Gestion des Mots de Passe
3 ans après le développement d’UMRA, Tools4ever a sorti différentes solutions par rapport à la gestion des mots de passe. Le but principal de ces solutions est de réduire le nombre d’appels vers le helpdesk concernant les mots de passe. De plus l’ergonomie de ces applications permet d’aider les utilisateurs finaux ainsi que le service informatique.

Les solutions de gestion des mots de passe sont : Réinitialisation de Mot de Passe en Self Service (SSRPM-Self Service Reset Password Management), la Synchronisation des mots de passe (PSM-Password Synchronisation Manager) et la gestion de la complexité des mots de passe (PCM-Password Complexity Manager).

SSRPM
En integrant SSRPM (Self Service Reset Password Management), l’utilisateur final a la possibilité de réinitialiser son mot de passe sans qu’il ait besoin d’appeler le helpdesk. Avant de pouvoir réinitialiser son mot de passe, l’utilisateur doit répondre à quelques questions personnelles. Chez la plus part de nos clients, on a constaté une réduction de plus de 90% des appels vers le helpdesk concernant les réinitialisations de mot de passe, ainsi qu’une amelioration de la sécurité (la difficulté pour un Helpdesk de bien identifier la personne qui appelle pour demander un reset de son mot de passe)

Enterprise SSO Manager (E-SSO-M)
Avec la sortie d’E-SSO-M, la stratégie de Tools4ever est de proposer un portfolio de solutions d’Identity Management de plus en plus complet. E-SSO-M est une solution SSO performante qui réduit le nombre de mots de passe que l’utilisateur final doit retenir et ressaisir. L’utilisateur n’a pas besoin de ressaisir ses mots de passe ou ses noms d’utilisateurs dans les applications une fois qu’il s’est identifié dans le système. E-SSO-M gère ensuite automatiquement les procédures de logon dans les autres applications. Hormis le fait que cela augmente la convivialité et la productivité des utilisateurs, E-SSO-M offre aussi beaucoup d’avantages pour le service Informatique.

Les Sept raisons expliquant l’importance d’un lien AD-SIRH

Bien que pour certains les avantages d’un lien direct entre le système RH et le Active Directory est évident, il m’arrive toujours presque chaque jour – de parler avec des responsables informatique qui n’osent pas ou ne veulent pas mettre en place un lien automatique de provisioning entre le SIRH (tel que SAP HR, Peoplesoft, Sage, HR Access, Sigma-RH, Cegid etc.) et Active Directory :

Pourquoi alors est-il si important de réaliser ce lien? Quels en sont les avantages? Et quels sont les risques s’il n’est pas implémenté ?

1. Risques de sécurité

Exemples : pour chaque personne quittant l’organisation, le service informatique doit pouvoir garantir que ses comptes utilisateurs soient désactivés et le respect de procédure (désactivation de comte, out office, informer le manager par email quant à la désactivation de compte et la possibilités d’accéder pendant une certain temps au données, rappeler le manager par email avant d’archiver ou supprimer les données).

2. Réduction considérable de travail

La gestion des utilisateurs et des droits dans l’Active directory, Exchange, le système fichier ainsi que d’autres systèmes prend beaucoup de temps, et si ce travail est fait manuellement, il y’a toujours des erreurs, ce qui veut dire encore plus de travail et mécontentement au niveau des utilisateurs et chefs de services.

Un autre aspect est que ce travail de gestion des comptes utilisateurs est en général quelque chose qui est fait au dernier instant, dans la précipitation, mettant une pression inutile sur les administrateurs systèmes.

Et que se passe t-il si l’administrateur système n’est pas là, indisponible, ou remplacé ?

3. Elimination d’erreurs

Grâce au lien entre Active Directory et le système RH on a finalement un Active Directory étant à jour et basé sur les règles de standardisation de l’organisation…

4. Importance de l’Active Directory

Puisque l’Active directory devient de plus en plus important et que de plus en plus de systèmes s’auto provisionnent ou sont liés à ce dernier, il est impératif que ces données soient à jours, ne contenant pas erreurs demandant ainsi le moins de travail possible.

5. Meilleur service aux utilisateurs

Si aujourd’hui il n’est pas exceptionnel de voire qu’il faille d’une à deux journées avant qu’un nouveau collaborateur puisse travailler réellement, une connexion entre l’AD et le système RH permet d’augmenter considérablement le service fourni à l’organisation et aux utilisateurs finaux. La gestion (création, changement, désactivation) des comptes utilisateurs se fait maintenant en ‘temps réel’.

6. Responsabilité là ou il faut…

Dès qu’il y a une erreur ou un retard au niveau de la gestion des accès ou la gestion des comptes utilisateurs, la faute est souvent rejetée vers le service informatique. Alors qu’en fait beaucoup d’erreurs proviennent du fait que les bonnes informations ne remontent pas ou n’arrivent pas au bon moment, au service informatique. Un lien avec le système RH permet de mettre la responsabilité là ou il faut : Vers les personnes qui ont les informations nécessaires (le service RH dans ce cas la)

7. Vous gardez le contrôle !

Parfois les informaticiens n’aiment pas perdre le contrôle sur ce qui se passe dans l’Active Directory. Ils ont raison en partie. Mais un lien avec le système RH n’est pas forcement synonyme de cela. Il est très facile de créer des reportings automatiques pour les administrateurs systèmes qui rendent compte exactement de tous changements dans l’AD, ou bien de mettre en place un système de validation où l’administrateur système ou le Helpdesk valide chaque changement avec un simple clique, sans avoir à faire tous ce travail manuellement.

Bien sur le lien entre l’Active Directory et le système RH n’est parfois pas la solution ultime ou complète. Par exemple s’il s’agit de gérer en détail les droits et les autorisations, le système RH n’est souvent pas assez complet. Mais, il n’empêche que c’est une première étape, essentielle vers une meilleure gestion des identités et accès, qui permet de résoudre quelques problèmes majeurs d’Identity management auxquels sont confrontés aujourd’hui les administrateurs systèmes et les responsables informatiques.

N’hésitez pas de me contacter si vous désirez en savoir plus sur ce sujet. Je suis joignable par téléphone au 01 53 42 29 55 ou par email à p.baas@tools4ever.com p.baas@tools4ever.com

Optimiser la gestion des comptes utilisateurs pour les Ecoles et les Universités

Dans le domaine de la gestion des comptes utilisateurs et des accès (autrement dit : Identity Management), L’ensemble formé par les écoles et les universités est un cas particulier. Ces structures ne doivent pas seulement gérer les identités, les accès ainsi que  les mots de passe pour leurs collaborateurs (professeurs et autres) comme chaque entreprise le ferait en temps normal. Au début de chaque nouvelle année scolaire le service informatique d’une école ou université doit également gérer les identités et les habilitations de tous les étudiants arrivant de même qu’il doivent traiter ceux des nouveaux diplômés.

Le défi

Le nombre de changements
Il s’agit ici d’un vrai défi car le nombre de changements impliqués ne correspond en aucun cas au turnover moyen  d’une entreprise traditionnelle. Une école peut facilement avoir des centaines ou même des milliers des nouveaux élèves/étudiants sur une année. De plus tous les comptes des diplômés doivent être gérés. Si l’on multiplie cela avec le nombre d’accès ou autorisations que chaque élève doit avoir on se rend très vite compte de l’immense travail en decoulant pour les services informatique de ce type de structure.

Urgence
En général les services informatique, responsable de la gestion des identités et des accès/autorisations pour les étudiants effectuent ce travail de titan dans les semaines précédent le début de l’année scolaire, les informations nécessaires se rapportant aux étudiants n’étant disponible qu’au dernier moment.
Ce phénomène est donc vecteur de stress et synonyme d’augmentation de la charge de travail pour les équipes informatiques pendant la période des vacances scolaires. Et, la situation n’évolue pas favorablement au cours de l’année car on s’aperçoit vite que certains comptes utilisateurs comporte des erreurs (non respect de la convention de nommage, mauvais mot de passe, mauvaise autorisation…)

De plus en plus d’autorisations à gérer :
Il y a dix ans, peu d’élèves ou étudiants avaient un compte utilisateur nominatif, l’usage courant était l’utilisation de comptes machines. Aujourd’hui dans la plupart des écoles, chaque élèves/étudiants possèdent un compte utilisateurs nominatif sur le réseau (annuaires tel que Active Directory eDirectory Open LDAP etc.). Mais aussi et de plus en plus d’autres autorisations liées aux applications :

-Email (Lotus Notes, Exchange, G mail)
-Electronic learning environment
-D’autres applications comme Google apps

Ces comptes ont parfois des habilitations différentes en fonction du niveau, département ou statut de l’élève/étudiant, ainsi que des mots de passe à gérer et à communiquer (combien d’écoles ou universités ont aujourd’hui mis en place un système de Single Sign-on ?)

Solution
Si on considère les enjeux et les risques liés à la non-conformité ou à la non existence de comptes utilisateurs, il n’est pas étonnant que de plus en plus d’écoles et universités emploient des outils performants (tel que UMRA (User Management Resource Administrator) de Tools4ever) pour gérer automatiquement les comptes utilisateurs, les accès et les mots de passe des étudiants.
Dans la plupart des cas, ce type de solution peut être mis en place en quelques jours et gère non seulement les changements en début d’année scolaire et en fin d’année scolaire, mais aussi tout au long de l’année (départs ou éventuels changements).
Si avant les importations en masse se faisaient souvent à partir de fichiers (Excel, csv, etc…), aujourd’hui de plus en plus d’écoles optent pour un système plus sur et plus adapté à la situation de établissement concerné. Un lien entre le système de gestion des étudiants tel que « OpenPortal » et le système de gestion des accès est alors préconisé. Pour les administrateurs c’est n’est plus un luxe !

L’Etude de Rentabilité (Business Case) pour L’Identity Management : Calculer le Retour sur Investissement

Fort de mon expérience grâce à la réalisation de plusieurs projets d’Identity Management, je me suis rendu compte que les principaux objectifs souhaitant être atteint par mes clients quant à la réalisation d’un tel projet sont :

  • L’augmentation de la sécurité
  • L’augmentation de  la productivité au sein du service informatique
  • L’amélioration du service proposé aux utilisateurs finaux et clients internes (chefs de service)

Sauf dans le cas où certains audits peuvent risquer de pénaliser financièrement l’organisation, le retour sur investissement de l’Identity management se trouve surtout au niveau du service informatique (ces derniers qui en implémentant un système d’Identity management vont pouvoir travailler plus efficacement, voir automatiser certaines tâches).

En même temps, les utilisateurs finaux vont perdre moins de temps car l’attente relative à la création de comptes utilisateurs ou à l’attribution d’habilitations sera réduite au minimum, toujours dans le but que le collaborateur soit plus rapidement productif.
Voyons alors en quoi consiste ce fameux retour sur investissement pour des projets d’Identity management. Où sont les bénéfices et quels sont-ils ?

Calculatrices de ROI (Retour sur Investissement) pour la gestion des identités – en ligne
Il est parfois possible de trouver sur internet des outils de calcul de ROI pour la gestion des identités mais, dans mon expérience personnelle, ces outils sont dans la plupart des cas : pas réalistes, énormément exagérés, ou même faussés. Un exemple est par exemple celle que j’ai pu trouver où un éditeur des logiciel dans le secteur de la gestion des identités proposait de calculer en partie le retour sur investissement en multipliant le nombre de reset de mot passe par utilisateur par an par le nombre de comptes utilisateurs (nombre d’utilisateur x nombre de comptes) en moyenne. Il n’est pas nécessaire d’avoir beaucoup de connaissances mathématiques pour se rendre compte que le résultat sera faux, orienté à l’avantage de cet éditeur bien évidemment…)

Quels sont les points à considérer pour monter un « business case » ? Les couts principaux pour les activités liées à la gestion des identités :

1)  la création, le changement et la désactivation des comptes utilisateurs et de leurs accès
Quel est aujourd’hui le cout moyen pour faire ces changements en manuel ?
– ‘Couts d’un employé informatique’ x ‘temps nécessaire’
– Prenez en considération tous les systèmes où aujourd’hui les utilisateurs et leurs accès sont gérés manuellement :
– Active directory
– Applications métiers
– Autres applications, bases de données ou annuaires
– Etc.
– Tenez compte du fait qu’un travail fait manuellement est souvent la cause de plusieurs actions : création, erreur, correction, appel au helpdesk, clarifier la demande, vérifications etc.

2)  la perte de productivité coté utilisateur
Combien de temps attend un utilisateur La création de son compte ou ses habilitations avant d’être productif ?
– Multipliez par le cout moyen d’un collaborateur
– Tenez compte de la création mais aussi des eventuels changements (combien de temps pour obtenir un droit supplémentaire ?)

3)  la gestion des comptes externes (fournisseurs, clients, partenaires etc.)
Existe t-il des comptes utilisateurs pour ce type d’utilisateurs ou existe-t-il des accès externes à gérer ?
– Tenez compte de l’effort et du temps que prennent la gestion des comptes des externes (fournisseurs, clients, partenaires etc.)

4)  la gestion des mots de passe, en incluant les réinitialisations de mot de passe
a)  Le temps passé pour gérer les mots de passe ou l’attente d’un reset de mot de passe coté utilisateurs
b)  Le temps passé  pour gérer les mots de passe coté support informatique /helpdesk, ou le cout total d’un appel au helpdesk (si connu)

Bien que ce soient les points les plus importants à tenir en compte lorsque l’on fait un calcul de retour sur investissement d’Identity Management, cette liste est non exhaustive et ces critères peuvent varier d’un cas à l’autre. Cependant, ils donnent une bonne indication. J’aimerais terminer avec quelques exemples de retours sur investissement tirés directement de mes propres expériences :

Quelques exemples réels de retour sur investissement :

Structure : hôpitaux/santé
Nombre d’utilisateurs : 7000
Fonctionnalités du système d’Identity management: Gestion automatiques des comptes utilisateurs et accès dans Windows (active directory) et application métier principale :
Couts : 40K €
Retour direct : 60K € euros par an

Structure : Telecom
Nombre d’utilisateurs  40.000 utilisateurs
Fonctionnalités du système d’Identity management: gestion automatique de demandes (comptes utilisateurs, accès, poste de travail, reset de mot de passe  etc.)
Couts : 250K €
Retour direct (sur diminution des attentes utilisateurs finaux) : 750K € + par an

Pour plus d’information à ce sujet ou d’autres exemples concrets, n’hésitez pas à me contacter directement par e-mail ou par téléphone.

Eléments à prendre en considération pour la réussite d’un projet RBAC

On trouve de plus en plus d’articles sur Internet montrant comme quoi la gestion des accès basée sur des Rôles (Role Based Access Control ou RBAC en anglais) est un concept qui ne tient plus la route.

Avec 10 années d’expérience dans l’Identity Management, Tools4ever – il est vrai – a souvent, même très souvent, été témoin d’initiatives de gestion des accès basée sur des rôles qui …ne tenaient pas la route.

Quelles sont les raisons d’un tel échec? Et quelles sont les bonnes pratiques pour réussir son projet?

Voici quelques éléments :

1/ N’essayez surtout pas de créer une matrice des accès et des rôles complète
Lors de l’implémentation de projet de RBAC, on rencontre souvent des sociétés de conseil qui consacrent beaucoup de temps – parfois des années – a faire des interviews et autres actions nécessitant pas mal d’efforts dans le but de construire la matrice parfaite contenant tous les rôles et accès qui existent dans l’organisation. C’est une approche très couteuse qui amène rarement au résultat voulu. Puisque l’organisation elle-même ne peut pas être considéré comme statique, viser la matrice des rôles ‘complète’ risque de devenir une histoire sans fin.

2/ Essayez de travailler selon un modèle pyramidale
– Si l’on veut vraiment obtenir de bons résultats sans démarrer un projet couteux, la méthode pyramidale est à conseiller. L’idée principale est que l’ensemble des accès peut être vu comme une pyramide, avec des accès fondamentaux et d’autres moins essentiels. Exemple des différents niveaux
– Niveau organisation (OS, login + e-mail)
– Niveau département/service (dossier(s) de partage , applications métier)
– Niveau fonction intitulé de poste (plus détaillées)
– Niveaux des autorisations / rôles les plus détaillés (exemple rôles dans SAP)

Les avantages principaux de cette méthode sont : des résultats immédiats et l’application de la règle des 80/20 (80% du résultat avec 20% des efforts)

3/  Faites la différence entre les autorisations et accès structurées et ad-hoc :
Un des risques des projets relatifs à la gestion des accès basée sur des rôles est de se perdre dans la jungle des autorisations. En effet, il n’est pas concevable d’extraire un modèle type de rôles à partir des autorisations et accès de bas niveau dans la pyramide car bien souvent ils ont été attribués arbitrairement ou exceptionnellement et, de ce fait, ne sont pas structurées. En revanche, certains accès et autorisations sont structurées et peuvent très bien représenter un rôle précis s’inscrivant donc complètement dans la définition du modèle. Il faut impérativement différentier ces deux types dès le début du projet car le processus de gestion et la collecte des informations se rapportant à ces deux types d’autorisations sont différents.

Au départ les accès et autorisations non-structurées peuvent très bien être gérés par un système de demande par workflow, avec traçabilité pour alimenter par la suite la matrice avec plus de détails.

Autres éléments
D’autres éléments importants sont :
– Les pré-requis de conformité (exemple ‘segregation of duty’ dans SOX)
– Gestion de l’existant par rapport au future (as is – to be)
– Les descriptions des rôles /accès fonctionnels et techniques (demande fonctionnelle vs. réalité technique)

Pour en savoir plus sur la gestion des rôles, et la gestion des accès n’hésitez pas à prendre contact avec nous.

Gérer la complexité des mots de passe : solution ou problème?

L’ introduction des règles de complexité des mots de passe utilisées dans une organisation, évoque souvent des réactions ambigües chez les responsables informatique ainsi que chez les administrateurs systèmes. D’un coté, une réaction enthousiaste quant à l’amélioration de la sécurité et la prévention des accès non autorisés, mais d’une autre part la peur que cela génère trop de problèmes pour les utilisateurs en causant par exemple une augmentation forte du nombre d’appels au support informatique. On ne parle même pas des nombreux ‘post-it’ sous les claviers, ou sur l’écran que les utilisateurs utilisent pour ‘se rappeler’.

La peur qu’un nombre d’utilisateurs ne soient pas capable de se rappeler d’un mot de passe complexe est d’actualité.

Surtout dans les organisations dans des secteurs tels que ceux de la santé où le personnel a (heureusement) plus de ‘feeling’ pour les patients que pour les PC, l’introduction de règles de complexité pour les mots de passe est difficile. Les collaborateurs veulent avoir la possibilité de se connecter sur les systemes sans que cela soit fastidieux et préfèrent des mots de passe facile à retenir. Cependant, les règles de conformité et sécurité acceptent de moins en moins des mots de passe ‘faciles’…

Plus de demandes vers le support informatique (helpdesk)
Si après une période de vacances on voit déjà une augmentation du nombre de demandes concernant des réinitialisations de mots de passe, après l’introduction de règles de complexité ceci représente aussi un risque réel. Des mots de passe complexes sont beaucoup plus difficiles à mémoriser comparé au nom de son animal de compagnie, et surtout après des vacances décontractantes, on oublie plus facilement son mot de passe. Les fils d’attente et un grand nombre d’appels au helpdesk informatique en sont le résultat.

Pour faire face à cette problématique Tools4ever a développé deux produits intéressants: le reset de mots de passe en mode libre service (SSRPM – Self Service Reset Password Management) et Password Complexity Manager (PCM) .

Self Service Reset Password Management (SSRPM) et Password Complexity manager (PCM)
Grace à SSRPM il est possible qu’un utilisateur puisse gérer la réinitialisation de son mot de passe lui-même, ou de débloquer son compte, sans qu’il ait besoin de contacter le support informatique ou le service desk. Sur l’écran d’authentification traditionnel apparait un nouveau bouton permettant de  demander le reset de mot de passe. Apres avoir appuyé sur ce bouton, l’utilisateur peut lui-même réinitialiser ou débloquer son mot de passe après avoir répondu à quelques questions personnelles pour son identification. Combiné avec PCM (Password Complexity Manager) l’utilisateur reçoit une aide visuelle pour se conformer aux règles de complexité. Les règles de complexité apparaissent clairement à l’écran et sont automatiquement cochées en vert des que l’utilisateur est en conformité avec la règle de complexité.
SSRPM permet alors aux utilisateurs de rapidement et facilement reprendre leur travail même après des vacances un peu trop décontractantes. Le nombre d’appels vers le support informatique est considérablement réduit.
Comme quoi la complexité des mots de passe peut être une solution pour chacun !

Pour plus d’informations sur SSRPM, cliquez-ici.
Plus d’informations sur PCM, cliquez-ici.

Un Portail libre service pour toutes les demandes informatiques

Le challenge est évident :
L’organisation veut avoir accès, facilement et rapidement, aux services et ressources que proposent le Service Informatique, et…le service informatique a la responsabilité de garantir la sécurité et la stabilité. Dans la pratique ces intérêts paraissent souvent contradictoires, mais cependant, il est toujours possible de proposer des solutions offrant plus de services à l’ensemble de l’organisation sans pour autant que cela soit source de problèmes pour les informaticiens. Il est même possible de faire profiter le service informatique de cette même solution.

Le scénario :
L’organisation voudrait être capable de faire une demande de compte utilisateur pour des collaborateurs externes, et voudrait que ces comptes soient actifs immédiatement.

De plus les collaborateurs voudraient plus rapidement avoir accès à leurs applications, sans se perdre dans des discours interminables entre leur manager ou le service informatique (va et vient entre les différents services).

Comment cela marche aujourd’hui ?
Pour les collaborateurs temporaires il y a en général une procédure ou un formulaire (papier) devant être rempli, et qui en passant en premier lieu par le service RH arrive finalement au service informatique. Là, on constate souvent qu’il y a des données qui manquent, ce qui provoque des appels pour clarifier de quoi le nouveau collaborateur a besoin « exactement ».
Ensuite la demande risque de trainer parce que l’administrateur d’une des applications doit encore valider les autorisations pour le système financier (par exemple) pour lequel il a besoin de l’autorisation d’un autre service.

Ceci est juste un exemple, qui montre que souvent les demandes venant de l’organisation requièrent l’intervention de plusieurs personnes, avec à chaque étapes une validation et exécution par le service informatique. Parce qu’il s’agit d’une procédure manuelle, l’informatique peut aussi jouer le rôle de process-manager, et doit contrôler la continuité, la qualité et la communication.

Comment optimiser ?
Il est possible de créer un portail self service (web-shop) sécurisé et personnalisé où les collaborateurs de l’organisation eux-mêmes peuvent faire des demandes électroniques (e-forms). Une demande peut passer par une ou plusieurs validations avant d’arriver au service informatique. Logique n’est-ce pas ? Et comme ca on traduit techniquement le scénario/procédure.
Mais on peut facilement aller plus loin. Toutes les personnes qui ont accès au portail self-service peuvent à chaque moment suivre le statut de la demande, qui doit faire la prochaine action et aussi qui a validé quoi.

Le portail self service s’adaptera automatiquement à la structure de l’organisation, si ce dernier est connecté au système RH. Le portail self service pourrait y trouver automatiquement la relation entre un collaborateur et son manager. Mais aussi d’autres informations pertinentes aux services (intitulé de poste, centre de coûts…) et les montrer sur le formulaire électronique.
Ainsi on respecte la hiérarchie de l’organisation et en même temps cela permet de personnaliser les formulaires de telle manière que toutes les bonnes informations arrivent au bon moment au service informatique.

Le service informatique qui reçoit la « commande » peut ainsi s’assurer qu’elle est correcte, qu’elle est validée par le responsable et que les informations arrivent au bon moment, car les demandes arrivent automatiquement et nominativement.
Ces trois points : « correct/complet », « validé » et « à temps » rendent la réalisation beaucoup plus facile pour les administrateurs. Les communications et confirmations sont gérées automatiquement par le portail libre service (web shop).

Cliquez ici pour voir les possibilités du portail self service ou pour voir une démo du « web-shop ».

Evitez les accidents sur la route de l’Identity Management

Ne pas commencez un projet de Gestion des Identités et des Accès en étant pressé.

Gérer les identités ou les comptes utilisateurs dans le réseau devient un challenge de plus en plus grand pour les entreprises.
Les administrateurs système ne doivent plus seulement gérer des infrastructures de plus en plus complexe avec un grand nombre de changements dans les comptes utilisateurs (collaborateurs qui quittent l’entreprise, changent d’état civil, ou changent de service). Ils sont aussi les garants du respect de règles de conformité en matière de sécurité IT qui sont de plus en plus stricts, et qui nécessitent que toutes les actions liées à la gestion des comptes utilisateurs soient loggés, tracées.

En automatisant certaines tâches de gestion telles que « Créer utilisateur »,  « Supprimer utilisateur » ou « Réinitialiser Mot de Passe », une traçabilité peut être garantie. C’est l’un des avantages le plus pertinent des solutions de gestion des identités et des accès. Mais le gain de temps et la réduction des coûts jouent également un rôle. Les services responsables de l’administration du parc informatique se rendent compte de plus en plus de l’avantage d’automatiser les changements au niveau des comptes utilisateurs, mais bien souvent ils se lancent trop rapidement dans l’implémentation d’une (sorte de) solution de gestion des identités et des accès. Et quand cette décision est prise avec trop de précipitation, il y a un certain nombre de pièges classiques dans lesquels ils risquent de tomber.

Vider le bassin sans fermer le robinet…

Un des pièges est de choisir une solution d’ exporting/reporting pure pour satisfaire des besoins d’audit. L’auditeur demande une « vue centrale » des autorisations et des accès qui doivent être attribués selon des règles puis une autre correspondant aux privilèges qui sont réellement donnés aux utilisateurs finaux dans le réseau. Pour satisfaire cette demande le plus facilement, il est possible de faire un export périodique de toutes les autorisations par collaborateurs dans le réseau et de le comparer avec la configuration comme elle devrait être.

La liste avec des différences non acceptables (collaborateur ayant trop d’habilitations, collaborateur ayant quitté l’entreprise, collaborateur ayant une combinaison d’habilitations non cohérente) doit être ensuite corrigée manuellement dans le réseau. Le grand désavantage de cette méthode « rapide » est qu’à chaque fois la pollution réapparait et doit être de nouveau corrigée. Ainsi cette solution reviendrait à vider un bassin sans avoir prit soin de fermer avant le robinet. Une solution structurelle serait de faire en sorte que par des processus d’autoprovisioning, de gestion des accès par les rôles et de système de gestion de workflow, les différences non acceptables n’aient plus lieu.

Gestion des Accès basée sur les rôles (RBAC)

L’implémentation de la RBAC (Role Based Acces Control) amène rapidement vers ce piège classique : Beaucoup d’organisation ont pour but de réaliser un autoprovisioning qui supporte à 100% les rôles. C’est-à-dire que les comptes utilisateurs sont créés sur la base de rôles et poste qu’occupe un collaborateur dans l’organisation.

Ce ne pas pour rien que la RBAC est souvent appelé la PBAC (Person Based Acces Control)! Car dans la pratique, l’autoprovisioning basé sur des rôles ne peut pas couvrir toutes les instances.

Souvent, il y a autant de rôles et des postes dans l’organisation qu’il y a de collaborateurs ; ce qui entraine donc un nombre presque infini de rôles vis-à-vis des ressources informatiques. Créer et remplir la matrice des rôles et habilitations devient alors souvent un processus fastidieux, long et inefficace. Par la suite, si l’organisation change, fusionne ou se réorganise, le travail doit être recommencé à partir de zéro.

Le Collaborateur en place centrale

Un des autres pièges classiques est de ne pas donner une place centrale aux collaborateurs eux-mêmes ainsi qu’aux managers dans le processus d’IDM. Le manager sait exactement de quoi ses utilisateurs/collaborateurs ont besoin pour faire leur travail. Et le collaborateur lui-même est capable de dire de quoi il a besoin pour faire son travail. Pourquoi alors ne pas leur permettre de faire eux même des demandes via un système de self service avec un système de workflow ?

En conclusion : beaucoup d’organisations souhaitent implémenter d’une traite un environnement d’Identity Management complet. Bien que dans la pratique cela soit possible, un projet d’une telle envergure dure assez longtemps et les premiers vrais résultats sont visibles qu’après des mois et des mois de travail.
Souvent il est plus convenable d’attaquer le sujet par phases. Ceci donne la flexibilité et l’espace d’implémenter sa solutions d’Identity management pas à pas. Les investissements nécessaires sont proportionnels avec le type d’implémentation dans l’organisation et en quelques semaines, des résultats visibles peuvent déjà être réalisé à moindre coût. De tels résultats garantissent souvent une bonne acceptation de l’initiative dans l’organisation.

Essayez d’éviter les pièges classiques en n’entrant pas trop précipitamment dans un projet de Gestion des Identités. Etudiez les possibilités et prenez conscience que tout ne devrait pas être fait en une seule fois. Mieux vaut faire des étapes pour éviter l’accident sur la route de l’Identity Management.

Cliquez ici pour obtenir plus d’informations sur les avantages de la gestion des identités et des accès.

Connexion du SIRH avec Lotus Notes

UMRA possède de nombreux connecteurs notamment entre des SIRH et Active Directory dans le but d’automatiser la gestion des comptes utilisateurs. Avec plus de 150 connecteurs, UMRA est capable de collecter des données qui sont pertinentes pour la création, modification et désactivation des comptes utilisateurs. Il est possible, par exemple, de lire à partir du SIRH quels sont les nouveaux utilisateurs ou encore ceux qui changent de fonction ou lieu de travail. En résumé, tous les mouvements relatifs à une personne dans l’entreprise.

En dehors de la gestion des comptes utilisateurs dans Active Directory, UMRA est tout à fait capable de gérer automatiquement l’annuaire Lotus Notes. Nous  rencontrons régulièrement des clients disposant d’un annuaire Lotus Notes avec des données sur les collaborateurs n’étant pas à jour. Des numéros de téléphone incorrects, les champs de département, service ou fonction renseignés à la main, ainsi que des erreurs liées au non respect des règles de nommage.

Avec UMRA, il est tout à fait possible de relier en une à deux journées l’annuaire Lotus Notes avec un SIRH tels que Cegid RH Place, Oracle PeopleSoft ou SAP RH. Ces systèmes d’informations disposent le plus souvent de données à jour sur les collaborateurs, ces dernières pouvant être automatiquement synchronisées par l’intermédiaire d’UMRA dans l’annuaire Lotus Notes. Aucune modification dans la configuration de Lotus Notes n’est nécessaire. UMRA peut détecter les données ayant changées pour ensuite les répercuter dans l’annuaire Lotus. De plus, des outils de reporting détaillés sont inclus pour permettre à la DSI d’avoir un œil sur les modifications effectuées.

Certaines données sont soumises à des contraintes avant de pouvoir être synchronisées. Lotus Notes requière par exemple une action de renommage du « person-document » avant de pouvoir modifier « l’object-name ».  UMRA gère toutes ces facettes de provisioning de Lotus Notes mais aussi d’autres opérations complexes.

Pour plus d’information sur la connexion entre le SIRH et d’autres systèmes, visitez : www.tools4ever.fr

Un premier envol avec la gestion des accès basée sur des rôles

RBAC (Role Based Accès Control) ou en français, la gestion des accès basée sur des rôles est à la mode !

De plus en plus d’organisations prennent conscience de l’importance d’harmoniser et gérer les habilitations/accès informatiques de manière structurée. Aujourd’hui il n’est pas rare de rencontrer le fonctionnement suivant dans une organisation : pour créer les accès, on fait un ‘copier coller’ d’un collègue qui a ‘plus ou moins’ la même fonction.

De ce fait, on se retrouve avec des collaborateurs qui ont accès à des systèmes et/ou applications dont ils n’ont nul besoin.

Une fois que l’utilisateur possède ces accès, il est rare que ces derniers soient ‘ajustés’ durant sont cycle de vie dans l’entreprise. Ce fonctionnement n’est pas sans conséquences pour la sécurité des données mais aussi pour le cout en licences informatique par exemple.
La gestion des accès basée sur des rôles (RBAC) est une possibilité pour résoudre cette problématique. RBAC consiste en l’élaboration d’une matrice des rôles, fonctions, accès et droits précis. Lors de l’arrivée d’un nouveau collaborateur, on peut déterminer facilement ce qu’il peut et ce qu’il ne peut pas faire dans le réseau grâce à cette matrice. Ce qui est vrai dans un monde idéal…

Dans la pratique, remplir une telle matrice pose souvent beaucoup de problèmes. Les collaborateurs se sentent souvent uniques ce qui provoque une matrice avec autant de rôles qu’il y a de collaborateurs. Dans ce cas la, l’organisation s’engage alors dans un projet où elle ne verra jamais la lueur au bout du tunnel !

A ce juste titre, beaucoup d’organisations sont réticentes à l’implémentation d’une RBAC. Cependant, d’autres organisations se lancent dans l’aventure et ont pour objectif de positionner 100% des collaborateurs, et accès dans la matrice des rôles. C’est un travail immense, complexe et quasiment sans fin qui peut occuper les responsables sécurité et management pendant des années !

Vous souhaitez avoir un résultat rapide pour la RBAC ? C’est tout à fait possible, mais dans ce cas, ne vous focalisez pas sur une couverture à 100% dès le départ. Grâce au SIRH, il est possible d’extraire facilement le top 50 des services et fonctions de votre organisation. Dans la plupart des cas, cela remplira déjà votre matrice à 80% ! Et cela en quelques jours seulement. Par la suite, les 20% restant pourront être rempli par les managers grâce à une application de workflow.

Même si des années peuvent s’écouler avant que votre matrice ne soit complétée à 100%, on peut néanmoins, en utilisant un système d’information source existant tel que le SIRH et en impliquant les managers dans le processus, remplir la matrice RBAC selon un processus contrôlé, efficace avec des résultats immédiats. L‘effort nécessaire est minimalisé, et le bénéfice ressortira lors d’audits liés à la sécurité informatique. Mais aussi d’autres bénéfices : réduction des coûts de licence informatique et stockage de données ainsi qu’une réduction des incidents de sécurité.

Pour plus d’information sur la gestion des accès par les rôles, visitez : www.tools4ever.fr