7 critères pour une solution de gestion des identités et des accès qui vous corresponde

Mélanie Lebrun

|

Responsable marketing chez Youzer

07/2021

Articles
>
IAM - gestion des accès et des identités
Vous avez une idée en tête pour votre solution ? Avez-vous pensé à tout ? Nous vous donnons des pistes de réflexion pour effectuer le bon choix d'une solution des gestions des identités et des accès. L'hébergement, le budget, les compétences en interne, les délais etc seront passés au crible.

Sommaire

Si vous lisez cet article, c’est que vous êtes en train de vous poser la question de la réconciliation de vos utilisateurs et de leurs comptes.

La problématique est simple : on a d’un côté les utilisateurs (les personnes physiques, collaborateurs en CDI ou CDD, prestataires, intérimaires…) et de l’autre une quantité astronomique de comptes sur les différentes applications de l’entreprise.

Ces 2 listes sont très difficiles à “rapprocher” car elles sont mises à jour quotidiennement.

Une solution est d’utiliser Excel pour pointer les utilisateurs et leurs comptes pour vérifier que tout est cohérent, mais si vous essayez de le faire régulièrement, vous vous rendez vite compte que la tâche est fastidieuse, très chronophage et que vous êtes constamment en retard sur l’état réel des habilitations.

La gestion des utilisateurs est une problématique relativement récente pour les services IT qui étaient jusqu’à présent organisés autour de la gestion des comptes.

Quand on parle de gestion d’utilisateurs, voici les problématiques :

  • l’identification des utilisateurs,
  • l’authentification des utilisateurs
  • les droits accès ou les habilitations
  • l’utilisation et l’affectation des licences
  • l’activation et la désactivation des comptes d’accès

On se tourne alors vers des solutions comme la mise en place d’un système de SSO (Single Sign-on) comme Okta ou Azure AD afin de réduire les risques liés aux mots de passe multiples et à leur faible sécurité et d’améliorer l’expérience utilisateur.

Tous ces outils permettent de renforcer votre sécurité, votre marque employeur et le ressenti des collaborateurs mais ils ne vont pas vous aider à synchroniser les informations entre les informations RH et les informations IT afin de savoir qui est parti, qui a changé de poste, quelles sont les habilitations nécessaires pour telles personnes…

Youzer lien entre outils RH et IT

Dans un premier temps, vous serez certainement tentés d’essayer de développer un outil interne ou même des scripts pour répondre à cette problématique de gestion des utilisateurs et de leurs comptes, mais vous serez confrontés à des difficultés classiques :

  1. il faut des compétences pour définir le cahier des charges et concevoir un outil d’IAM.
  2. Il faut des ressources disponibles en développement pour coder un tel outil.
  3. il est difficile de maintenir ce type de développement en interne car de nouvelles applications sont mises en place régulièrement, il faut donc mettre à jour les connexions avec ces applications.
  4. A moins d’investir énormément d’énergie et de temps-homme, il est très difficile d’obtenir de nouvelles fonctionnalités sur un outil développé en interne qui sera donc assez statique et probablement à terme abandonné par les utilisateurs.

Si vous choisissez en revanche de vous tourner vers des solutions de gestion des identités et des accès du marché, il y a un écueil dans lequel il est facile de tomber : la plupart de ces solutions sont aujourd’hui extrêmement complexes à prendre en main, nécessitent des consultants experts pour la mise en place et l’administration de ces solutions. Mais avant tout chose, si vous ne maîtrisez pas bien la notion d’IAM allez faire un tour sur cet article.

1. Un outil “SaaS” ou “On-premise” ?

solution saas versus solution on premise

Lors de votre choix d’un logiciel IAM vous allez devoir arbitrer entre deux types de solutions : le “SaaS” qui est un mode hébergé, 100% maintenu par l’éditeur avec une souscription mensuelle ou annuelle, ou le mode “On-premise” qui nécessite l’utilisation d’une partie de votre infrastructure serveur pour fonctionner.

SaaS
Avec une solution SaaS, c’est-à-dire hébergée par l’éditeur, vous n’avez pas à gérer l’hébergement ni toute la sécurité et la maintenance qui en découlent. Cela vous évite d’alourdir votre infrastructure avec encore un nouveau logiciel à déployer. Demandez donc bien au prestataire quelles mesures sont prises pour sécuriser sa plateforme, s’il est conforme au RGPD. De manière générale, le prestataire étant spécialisé sur ce type d’hébergement, il aura mis en place un certain nombre de mesures pour assurer une sécurité maximum comme l’authentification forte à double facteur (2FA), la mise en place d’un firewall applicatif (WAF)….
Autre point majeur d’une solution d’IAM en SaaS c’est la maintenance de la solution. Celle-ci sera toujours à jour et sans aucune action de votre part. L’éditeur de la solution apportera des améliorations, renforcera la sécurité et appliquera tout cela sur toutes les instances de ses clients sans impacter votre business.
Une solution SaaS nécessite aussi moins d’investissement humain pour l’entretenir et la gérer.
La solution en SaaS a le gros avantage de ne pas avoir à être installée : elle est généralement opérationnelle en quelques minutes.
Enfin, même si vous choisissez une solution en mode “SaaS”, vous pourrez la connecter avec vos logiciels historiques “on-premise” (Active Directory, Microsoft Exchange, CRM propriétaire…) car certaines plateformes comme Youzer permettent les interconnexions entre SaaS et On-Premise.

On premise
Si vous choisissez un logiciel “on-premise”, vous hébergez vous même le logiciel au sein de votre infrastructure. La mise en place est en revanche beaucoup plus longue : il est nécessaire de disposer d’une liste de prérequis pour l’infrastructure à préparer (nombre de serveurs, CPU, RAM, espace disque…), et d’acquérir cette infrastructure.
L’intégration de logiciels propriétaires on premise est aussi souvent un argument pour partir vers une solution on premise.
Le logiciel on-premise peut répondre à une problématique de confidentialité et de confiance des entreprises qui sont parfois réticentes à externaliser certaines données à une société tiers. Mais aujourd’hui, les nouvelles lois comme le RGPD ou les certifications de sécurité permettent d’être confiant sur l’utilisation des solutions SaaS.

Ce qu’il faut retenir
Les offres SaaS qui n’étaient pas matures il y a quelques années sont aujourd’hui beaucoup plus intéressantes que les logiciels classiques. Le TCO (Total Cost of Ownership) est plus intéressant en mode SaaS qu’en mode “on-premise” et cela se vérifie de plus en plus avec les évolutions de plus en plus rapides sur les technologies ou les fonctionnalités des différents logiciels.

Investissement dans une solution SaaS moins couteuse qu'une solution on premise

2. Mise en place

C’est un des principaux avantages d’une solution IAM en SaaS : la mise en place se fait à distance, les équipes de l’éditeur vous guident dans les étapes des premiers paramétrages. Il est également possible de démarrer en totale autonomie si le logiciel d’IAM le permet. En quelques minutes, votre instance est crée sur la plateforme et vous pouvez commencer à gérer vos utilisateurs et leurs habilitations.

D’un autre côté, si vous choisissez une solution on premise, vous êtes généralement pris en charge par une équipe de consultants qui intervient pour l’implémentation du logiciel sur votre site. La configuration est longue et la prise en main globale peut prendre plusieurs mois.

Ce qu’il faut retenir
La mise en place d’un IAM en SaaS se fait très rapidement, la réactivité est de mise contrairement à un logiciel IAM à installer sur site. La mise en place d’un POC est généralement plus facile en SaaS.
Envie de voir une démo instantanée de Youzer ?  
Voir la démo

3. Accompagnement sur la solution

L’accompagnement sur la solution est une étape très importante. Que la solution soit en SaaS ou on premise il y aura toujours un temps d’apprentissage et d’adaptation plus ou moins long.
Il faut apprendre à installer et configurer les premiers connecteurs (qui vont interagir avec les différentes applications de l’entreprise pour importer et gérer les habilitations), à paramétrer la solution à son entreprise et à comprendre les principales fonctionnalités.
En amont, il sera très important de bien identifier les personnes qui seront les principaux utilisateurs / administrateurs de cette solution. Par exemple, il vous faudra impliquer des personnes de l’IT mais aussi du service RH pour que la solution d’IAM soit adoptée et utilisée par tout le monde. Si vous souhaitez que les managers s’en servent (ce qui est un facteur de réussite du projet d’IAM) il faudra aussi penser à inviter une personne qui sera en charge de la formation des managers. Cela peut-être une personne des RH, des IT ou un référent manager au sein de votre entreprise.

L’accompagnement sur la prise en main de l’IAM n’est pas toujours inclus dans les tarifs. Beaucoup de prestataires proposent un accompagnement, une formation en supplément. Il sera aussi à ce moment important de demander comment se passe cette formation. Est-ce qu’elle se déroule en une fois ou en plusieurs fois ? Cela peut-être intéressant à l’usage d’avoir un accompagnement en plusieurs petites séquences afin de bien s’approprier le produit. Effectivement, on a tous remarqué que beaucoup d’informations sont, à la fois, difficiles à retenir. Un accompagnement sur un mois permet d’utiliser la solution et d’avoir des points réguliers pour comprendre des éléments qui nous avait semblé logique mais que l’on n’arrive pas à refaire.

Ce qu’il faut retenir
Choisissez toujours un accompagnement lors des premiers pas dans votre solution IAM. Définissez bien les principaux utilisateurs initiaux afin que ceux-ci se familiarisent avec et soient accompagnés.

4. Simplicité d’usage

Il est vraiment très important que la première impression que la solution d’IAM vous laisse lors d’une démo, soit la simplicité et l’accessibilité par tous. En effet, cet outil doit être utilisé par les équipes IT mais aussi par les RH et les managers. Demandez-vous si tous ces acteurs sont prêts à adhérer au projet. Imaginez qu’une personne de l’informatique fasse une démo mais qu’elle même se dise, je suis perdue… Comment promouvoir cet outil en interne ? Bien évidemment tout le monde n’aura pas la même utilisation de la plateforme, les IT seront dans une partie plus technique de l’outil, les RH dans un processus de workflow et les managers dans une démarche de gestion d’équipe.

Il va être tentant pour certains experts de l’IT de vouloir paramétrer de manière très technique la solution. Rappelez-vous néanmoins, que ce produit doit vous faire gagner du temps, qu’il doit être intuitif et facilement utilisable (un peu comme les outils “no-code” qui commencent à être à la mode). Il est donc vraiment important qu’il soit visuellement et interactivement simple et agréable sinon vous n’obtiendrez pas d’adhésion au projet. De multiples menus, une interface technique et un aspect brut vont rebuter un bon nombre d’utilisateurs et la solution risque de désintéresser rapidement.

Ce n’est pas parce qu’il s’agit d’une solution d’IAM qu’il est nécessaire que celle-ci soit ultra technique, bien au contraire : vous et vos utilisateurs êtes en droit d’attendre de votre solution les mêmes critères de qualité qu’un outil grand public avec une interface graphique qui rende l’expérience utilisateur agréable !
L’indice de simplicité est en corrélation avec le taux d’adoption.

Ce qu’il faut retenir ▶
Choisissez avant tout une solution pour vous faire gagner du temps. Elle doit être claire, intuitive, paramétrable et efficace.

courbe d'adoption d'un produit en fonction de son ergonomie

5. Ajout de connecteur / intégration

Qu’est-ce qu’on appelle connecteur ? Un connecteur permet à votre solution d’IAM d’importer ou de réaliser des actions sur les comptes de chacun de vos outils ou applications métier que vos équipes utilisent au quotidien. Vous aurez donc un connecteur Active Directory, un connecteur pour votre CRM, un connecteur pour votre système de messagerie (Exchange, Office 365, GSuite…) …
Les connecteurs en SaaS sont faciles à intégrer avec une solution SaaS car ils sont conçus pour se connecter facilement avec d’autres solutions. Pour cela on utilise une clé API, un token ou des identifiants/mots de passe pour se connecter. La solution IAM va ensuite lancer les imports ou créations automatiques de comptes sur les logiciels concernés.

En général, les solutions d’IAM s’intègrent bien avec le type de plateforme qui leur ressemble : les solutions IAM en SaaS vont se connecter facilement aux logiciels SaaS (Office 365, GSuite…) et vont avoir des difficultés à se connecter aux systèmes on-premise (Active Directory, CRM propriétaire…). C’est exactement l’inverse pour les solutions d’IAM on-premise.
Attention à vos applications propriétaires : il serait dangereux de ne pas les inclure dans les intégrations à votre solution IAM sous prétexte qu’elles sont justement propriétaires. C’est pourquoi chez Youzer nous avons développé un connecteur “universel” qui permet de se connecter à n’importe quelles applications métier on-premise.

Chaque prestataire d’IAM va afficher (ou pas) une liste plus ou moins exhaustive de connecteurs qui sont déjà présents dans son catalogue.
Ensuite chacun son fonctionnement :
certains vont facturer l’ajout d’un nouveau connecteur
d’autres considèrent que cela complète leur catalogue et ils l’ajouteront gratuitement.

Renseignez-vous également sur ce point avant de choisir une solution d’IAM.

ensemble des applications
Ce qu’il faut retenir ▶
Les connecteurs en SaaS sont assez facile à intégrer. En revanche, les applications on-premise et/ou propriétaires peuvent être compliquées à intégrer pour certaines solutions d’IAM.

Vous souhaitez recevoir notre livre blanc sur la gestion des identités et des accès ?

Nous n'avons pas pu confirmer votre demande.
Votre demande de livre blanc est bien prise en compte.

6. L’autonomie

Lorsque vous avez choisi et mis en place votre logiciel d’IAM, il ne faut pas s’arrêter là ! Il est important d’être autonome dans votre utilisation du produit : est-ce que vous avez besoin de faire appel à votre prestataire pour effectuer des opérations régulières ?
Avez-vous besoin de faire appel à l’éditeur ou à l’intégrateur pour ajouter de nouveaux connecteurs ?
Vous devriez être le plus indépendant possible sur votre outil, ce dernier doit vous faire gagner du temps donc vos actions doivent être réalisées, le plus simplement possible. Vous ne devriez faire appel à votre prestataire qu’en cas d’opérations très spécifiques et peut-être une demande très particulière.
La solution que vous avez choisie est certainement très bien à un instant donné mais les besoins (vos besoins) évoluent. Est-ce que le produit est en constante évolution ou est-ce que le produit est “fini” ? Un bon outil d’IAM n’est jamais “fini”, vos besoins évoluent, vos attentes sont fortes et différentes d’une entreprise à une autre. Votre prestataire doit être en mesure de pouvoir répondre à ces nouvelles attentes. L’outil doit constamment évoluer et les nouvelles fonctionnalités doivent être accessibles à tout le monde afin que cela soit bénéfique et sans surplus financier.

Même si l’on prône l’autonomie avez-vous quelqu’un en face qui puisse vous répondre rapidement en cas de blocage ?
Le service client doit être facilement joignable et réactif. Avez-vous un accès direct à un outil de chat en ligne sur votre outil d’IAM ou numéro de téléphone ou même mail pour vos échanges ou contacter le support ?

Ce qu’il faut retenir
Vous devez être autonome dans votre utilisation de l’outil mais aussi pouvoir solliciter un support client réactif. L’application d’IAM doit également évoluer régulièrement pour suivre les évolutions technologiques.

7. La connexion SIRH

C’est aussi un point très important : Votre outil d’IAM doit être en mesure de se connecter à votre SIRH pour constituer votre liste exhaustive de de vos utilisateurs (collaborateurs internes, prestataires…) Votre prestataire doit être en mesure de se connecter aux principaux SIRH du marché et même de votre SIRH que vous auriez développé en interne (Lucca, ADP RH, Cegid RH, Eurecia, Nibellis …).

Cette connexion à votre SIRH permet de réaliser le rapprochement RH/IT pour vos collaborateurs et leurs comptes.
De plus, il est important que votre logiciel puisse également s’alimenter à partir d’autres sources que votre SIRH comme par exemple la liste des intérimaires, de prestataires, etc… qui sont amenés à avoir des habilitations sur votre SI.

Ce qu’il faut retenir ▶  
Votre solution d’IAM doit être en mesure de se connecter à n’importe quel SIRH afin de connecter vos collaborateurs automatiquement et de remonter les erreurs et de réaliser des rapprochements avec leurs comptes.
connecteur universel chez Youzer

Si ne pas avoir de logiciel d’IAM est aujourd’hui impensable, il est difficile de faire un choix car il faut trouver le mouton à 5 pattes : il faut qu’il soit compatible avec tous vos outils, qu’il soit collaboratif et qu’il vous permette d’avoir une supervision applicative totale, plus les différents éléments qui sont importants pour vous.
[Spoiler alert] Malheureusement, ce mouton n’existe pas et il va falloir définir vos priorités, vos besoins et votre budget.

Le plus simple encore est de tester les différentes solutions du marché qui vous plaisent.
Nous avons un essai gratuit de 30 jours sans CB à rentrer 😉
Si vous souhaitez comparer et tester Youzer : vous pouvez nous contacter pour une démonstration de notre plateforme.

Récap'IT la newsletter de la DSI

Recevez le meilleur des actus IT du mois.
Évolution du marché, tendances IT, les cyberattaques en France ... un condensé de l'actualité informatique du mois.

Nous n'avons pas pu confirmer votre inscription.
Votre inscription est confirmée ! Vous recevrez votre prochain Récap'IT à la fin du mois 😊

Articles recommandés

Découvrez Youzer, la première plateforme
pour gérer simplement vos utilisateurs et leurs accès

Hey ! Vous connaissez la chanson :) Nous utilisons des cookies d'analyse de données anonymes. En “Acceptant tous les cookies”, vous nous aidez à comprendre les pages vues (anonymes). En savoir plus sur notre politique de confidentialité.