Evitez les accidents sur la route de l’Identity Management

Ne pas commencez un projet de Gestion des Identités et des Accès en étant pressé.

Gérer les identités ou les comptes utilisateurs dans le réseau devient un challenge de plus en plus grand pour les entreprises.
Les administrateurs système ne doivent plus seulement gérer des infrastructures de plus en plus complexe avec un grand nombre de changements dans les comptes utilisateurs (collaborateurs qui quittent l’entreprise, changent d’état civil, ou changent de service). Ils sont aussi les garants du respect de règles de conformité en matière de sécurité IT qui sont de plus en plus stricts, et qui nécessitent que toutes les actions liées à la gestion des comptes utilisateurs soient loggés, tracées.

En automatisant certaines tâches de gestion telles que « Créer utilisateur »,  « Supprimer utilisateur » ou « Réinitialiser Mot de Passe », une traçabilité peut être garantie. C’est l’un des avantages le plus pertinent des solutions de gestion des identités et des accès. Mais le gain de temps et la réduction des coûts jouent également un rôle. Les services responsables de l’administration du parc informatique se rendent compte de plus en plus de l’avantage d’automatiser les changements au niveau des comptes utilisateurs, mais bien souvent ils se lancent trop rapidement dans l’implémentation d’une (sorte de) solution de gestion des identités et des accès. Et quand cette décision est prise avec trop de précipitation, il y a un certain nombre de pièges classiques dans lesquels ils risquent de tomber.

Vider le bassin sans fermer le robinet…

Un des pièges est de choisir une solution d’ exporting/reporting pure pour satisfaire des besoins d’audit. L’auditeur demande une « vue centrale » des autorisations et des accès qui doivent être attribués selon des règles puis une autre correspondant aux privilèges qui sont réellement donnés aux utilisateurs finaux dans le réseau. Pour satisfaire cette demande le plus facilement, il est possible de faire un export périodique de toutes les autorisations par collaborateurs dans le réseau et de le comparer avec la configuration comme elle devrait être.

La liste avec des différences non acceptables (collaborateur ayant trop d’habilitations, collaborateur ayant quitté l’entreprise, collaborateur ayant une combinaison d’habilitations non cohérente) doit être ensuite corrigée manuellement dans le réseau. Le grand désavantage de cette méthode « rapide » est qu’à chaque fois la pollution réapparait et doit être de nouveau corrigée. Ainsi cette solution reviendrait à vider un bassin sans avoir prit soin de fermer avant le robinet. Une solution structurelle serait de faire en sorte que par des processus d’autoprovisioning, de gestion des accès par les rôles et de système de gestion de workflow, les différences non acceptables n’aient plus lieu.

Gestion des Accès basée sur les rôles (RBAC)

L’implémentation de la RBAC (Role Based Acces Control) amène rapidement vers ce piège classique : Beaucoup d’organisation ont pour but de réaliser un autoprovisioning qui supporte à 100% les rôles. C’est-à-dire que les comptes utilisateurs sont créés sur la base de rôles et poste qu’occupe un collaborateur dans l’organisation.

Ce ne pas pour rien que la RBAC est souvent appelé la PBAC (Person Based Acces Control)! Car dans la pratique, l’autoprovisioning basé sur des rôles ne peut pas couvrir toutes les instances.

Souvent, il y a autant de rôles et des postes dans l’organisation qu’il y a de collaborateurs ; ce qui entraine donc un nombre presque infini de rôles vis-à-vis des ressources informatiques. Créer et remplir la matrice des rôles et habilitations devient alors souvent un processus fastidieux, long et inefficace. Par la suite, si l’organisation change, fusionne ou se réorganise, le travail doit être recommencé à partir de zéro.

Le Collaborateur en place centrale

Un des autres pièges classiques est de ne pas donner une place centrale aux collaborateurs eux-mêmes ainsi qu’aux managers dans le processus d’IDM. Le manager sait exactement de quoi ses utilisateurs/collaborateurs ont besoin pour faire leur travail. Et le collaborateur lui-même est capable de dire de quoi il a besoin pour faire son travail. Pourquoi alors ne pas leur permettre de faire eux même des demandes via un système de self service avec un système de workflow ?

En conclusion : beaucoup d’organisations souhaitent implémenter d’une traite un environnement d’Identity Management complet. Bien que dans la pratique cela soit possible, un projet d’une telle envergure dure assez longtemps et les premiers vrais résultats sont visibles qu’après des mois et des mois de travail.
Souvent il est plus convenable d’attaquer le sujet par phases. Ceci donne la flexibilité et l’espace d’implémenter sa solutions d’Identity management pas à pas. Les investissements nécessaires sont proportionnels avec le type d’implémentation dans l’organisation et en quelques semaines, des résultats visibles peuvent déjà être réalisé à moindre coût. De tels résultats garantissent souvent une bonne acceptation de l’initiative dans l’organisation.

Essayez d’éviter les pièges classiques en n’entrant pas trop précipitamment dans un projet de Gestion des Identités. Etudiez les possibilités et prenez conscience que tout ne devrait pas être fait en une seule fois. Mieux vaut faire des étapes pour éviter l’accident sur la route de l’Identity Management.

Cliquez ici pour obtenir plus d’informations sur les avantages de la gestion des identités et des accès.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *


trois × = 3