La gestion des identités et des accès s'impose plus que jamais comme une priorité pour les entreprises. Que ce soit en raison des menaces croissantes en matière de cybersécurité ou de la nécessité d'automatiser les processus, les solutions d'IAM sont devenues incontournables au sein des départements informatiques (DSI).
💡 : il est possible d'écouter cet article ! Retrouvez l'audio en bas de page 🎧
Vous n’avez pas le temps de tout lire ? Voici un résumé. 👇
L'IAM comprend plusieurs points à maîtriser dans la gestion des identités : l’arrivée et le départ des collaborateurs, les mouvements internes. Ces points sont fondamentaux car ils entraînent si cela est mal maîtrisé des frustrations chez les utilisateurs et des comptes fantômes. Pour éviter cela, une réconciliation, c’est-à-dire, lier les comptes (IT) avec les utilisateurs (RH), est nécessaire. C’est en cela que la mise en place d’un IAM est utile car vous allez gagner en automatisation avec des workflows, en autonomie des utilisateurs avec du self-service, en gestion des droits utilisateurs durant les mouvements internes.
C’est en cela que la mise en place d’une solution d'IAM est utile car vous allez gagner en automatisation avec des workflows, en autonomie des utilisateurs avec du self-service, en gestion des droits utilisateurs durant les mouvements internes.
La mise en place de la gestion des identités nécessite donc :
▶️ un référentiel complet et régulier de vos utilisateurs
▶️ un référentiel de vos applications et comptes,
▶️ une stratégie de rapprochement ou de réconciliation de ces 2 référentiels
▶️ une politique d’attribution des habilitations
Définition (rapide) de l'IAM
L’acronyme IAM signifie Identity and Access Management.
En français, il est souvent traduit par Gestion des Identités et des Accès (GIA).
L’Identity and Access Management est un ensemble de processus mis en place par le département IT pour la gestion des habilitations des utilisateurs (qui peuvent être des collaborateurs, des prestataires, des intérimaires…) afin de réglementer l’accès au réseau et aux applications cloud.
Qu’est-ce que l’Identity and Access Management ?
Avec l’explosion ces dernières années du nombre de logiciels utilisés en entreprise et la mobilité des salariés qui s’accélère, la gestion des identités et des accès est plus que jamais nécessaire dans une entreprise.
On peut résumer l’IAM comme étant un processus permettant d’adapter les droits d’accès ou les habilitations des utilisateurs de l’entreprise en fonction de leur rôle, de leur fonction ou de leur responsabilité hiérarchique.
Comme M. Jourdain qui faisait de la prose sans le savoir, vous avez certainement déjà une gestion des identités et des accès dans votre entreprise.
Même si vous n’êtes pas familier de l’acronyme IAM : lorsqu’un utilisateur arrive dans votre entreprise, vous lui créez ses accès sur les différentes applications avec les bons droits pour qu’il puisse travailler. Cette étape de création des comptes est toujours réalisée, car il s’agit de la seule étape nécessaire au fonctionnement “métier” de l’entreprise. Le collaborateur a besoin d’outils pour travailler, ces outils sont donc réclamés par le manager ou le nouveau collaborateur lui-même auprès du service IT.
Il y a un peu plus de 10 ans, il fallait simplement créer le compte Active Directory du nouvel utilisateur ainsi que sa boîte mail. La suite du processus de son onboarding était principalement la préparation de son poste de travail (son pc fixe ou son ordinateur portable) pour lui installer et configurer les différentes applications.
Le poste de travail n’est plus qu’un terminal d’affichage des outils et tout a été mis en œuvre par les DSI pour qu'il nécessite peu de maintenance ou configuration : mise en place de GPO pour le déploiement automatique des logiciels sur les postes, mise en place de postes en VDI (Virtual Desktop Infrastructure), mise à disposition de clients légers, utilisation de serveurs RDS pour le Remote Desktop etc…
La DSI est ainsi davantage concentrée sur les usages plutôt que sur les solutions informatiques : les services cloud se multiplient et les directions “métier” font naturellement pression pour disposer de différents outils qui se multiplient ainsi dans l’entreprise.
Pour un nouveau salarié, ce sont donc plusieurs dizaines d’accès qu’il faut lui créer lorsqu’il arrive : son accès aux fichiers, sa boîte mail, sa messagerie instantanée, son accès au CRM, aux outils de reporting, à l’intranet corporate, aux outils de gestion de notes de frais etc…
Ces créations de comptes à l’arrivée d’un collaborateur se font souvent dans la douleur, mais finissent par se faire. De multiples allers-retours sont parfois nécessaires entre le manager, les RH, le service IT etc… pour que le nouvel arrivant ait bien accès aux bons logiciels dont il a besoin.
Mais cet “onboarding” n’est que la partie visible de l’iceberg, car la gestion des Identités comporte 4 points de pilotage principaux :
Gestion des Arrivées : des nouveaux collaborateurs
Cette étape est généralement réalisée… mais pas forcément correctement. L’ouverture des accès se fait mais souvent au forceps. Le manager se retrouve ballotté entre les RH et l’IT, les premiers n’ayant pas informé les seconds et les seconds pas toujours prompts à créer les accès. Ces allers-retours créent fréquemment des frictions entre les managers et le service IT.
Des lacunes dans ce processus peuvent entraîner des frustrations chez les utilisateurs et la création de comptes inutiles. Pour éviter cela, la réconciliation, c'est-à-dire l'alignement des comptes informatiques avec les données RH, est cruciale.
Gestion des Mouvements : lorsqu’un utilisateur bénéficie d’une mobilité interne
Dans cette étape, il y a 2 points : lorsqu’un utilisateur change de poste, il bénéficie de nouvelles applications et de nouveaux droits qui correspondent à sa nouvelle fonction, mais il “perd” également les accès aux applications et aux droits de son ancien poste. Autant ce premier point est réalisé correctement (comme pour l’arrivée d’un nouveau collaborateur), autant le second point n’est que très peu réalisé, car il est compliqué : il ne s’agit pas de suspendre un compte, mais d’en modifier les droits, le périmètre d’accès. Par exemple, un commercial qui change de secteur ne doit plus avoir accès aux prospects ou aux clients de son ancien secteur.
Gestion des Départs : lorsqu’un collaborateur quitte l’entreprise.
Ce point est le plus douloureux. Personne n’a “besoin” que les comptes d’un utilisateur qui est parti soit clôturés, personne n’est à l’aise avec leur suspension : “est-ce qu’il ne faut pas attendre ?”, “on peut peut-être laisser ouvert, le temps de reprendre les dossiers ?”
Et qui supervise cette étape ? La DSI n’est que rarement informée du départ d’un collaborateur, et doit donc faire avec les moyens du bord pour clôturer convenablement les comptes de l’utilisateur qui est parti.
Les processus n’étant pas toujours suivis, la DSI a été obligée de mettre en place une “revue de comptes” à fréquence régulière : il s’agit de parcourir la liste des comptes et de les comparer avec l’effectif “actif” fourni par les RH à un instant donné.
Cet “inventaire” se fait souvent manuellement à base de fichiers Excel que l’on essaye de fusionner entre eux. Il est relativement lourd et ne se fait qu’à fréquence annuelle ou bi annuelle.
Réconciliation : l’analyse de cohérence des accès actifs
Cette étape n’a pas de déclencheur comme l’arrivée ou le départ d’un collaborateur. Il s’agit de la tenue d’un “inventaire des identifiants” de chaque utilisateur pour pouvoir assurer le suivi des points précédents. Mais c’est surtout un point crucial dans la gestion des identités pour surveiller l’ensemble des accès et s’assurer qu’ils ont chacun une raison valable d’exister (la principale raison étant qu’ils sont utilisés par tel ou tel utilisateur). Dans un monde idéal, les identifiants correspondent exactement aux utilisateurs, mais il y a les comptes “systèmes”, les comptes partagés, les comptes créés pour tester, les comptes temporaires, etc…
Ces identifiants doivent être inventoriés et identifiés clairement dans un système de gestion des identités et des accès.
C’est grâce à ces 4 points qui définissent l’IAM que l’entreprise, et plus particulièrement son service IT va maîtriser et sécuriser l’identité numérique de ses salariés par une gestion des droits d’accès aux ressources comme les applications, dossiers et autres. Elle sera en mesure de suivre le collaborateur de son arrivée à son départ avec toute son évolution dans l’entreprise, impliquant des ajouts, modifications et suppressions de ses droits d’accès.
Ainsi, l’IT et plus largement, les entreprises sont capables de respecter des normes de sécurité et de conformité, d’avoir une meilleure gestion des logiciels, une réduction majeure des failles de sécurité et une lutte efficace contre le shadow it.
Quant aux ressources humaines, elles ont une meilleure approche du collaborateur par un onboarding réussi qui permet d’apporter l’ensemble des ressources dont il a besoin à son arrivée, un suivi de sa carrière et un offboarding maîtrisé.
Gouvernance des Identités : L'IAM comme pilier de la sécurité
L'IAM permet à l'entreprise, en particulier au service informatique, de maîtriser et de sécuriser les identités numériques de ses collaborateurs tout au long de leur cycle de vie au sein de l'entreprise. Cela comprend l'attribution, la modification et la suppression des droits d'accès aux ressources telles que les applications et les données.
IAM et Sécurité Informatique : Le Triptyque
La gestion des accès informatique répond bien à une sécurisation AAA du protocole informatique. Ce terme un peu barbare reprend le triptyque informatique qui est :
- Authentification : Gérer l'authentification des utilisateurs en se basant sur des relations contractuelles avec l'entreprise, qu'il s'agisse de contrats de travail, de prestation de services, de sous-traitance ou d'intérim.
- Autorisation : Vérifier la légitimité de chaque utilisateur à accéder à une ressource avec des autorisations spécifiques.
- Audit/Traçabilité : Auditer et surveiller tous les événements liés à chaque identité pour une traçabilité complète.
L’IAM dans votre entreprise : une nécessité
- Pourquoi mettre de l'IAM en place ?
Réponse courte : pour savoir qui a accès à quoi.
Les 2 questions suivantes ont l’air anodines mais elles mettent généralement mal à l’aise les DSI car il est très difficile d’y répondre à l’instant T :
- Connaissez-vous la totalité des ressources auxquelles vos collaborateurs ont accès ?
- Maitrisez-vous l’éligibilité aux accès des ressources de chaque collaborateur (légitimité ?) en fonction de son niveau de responsabilité ?
De manière générale, les salariés ont accès à un grand nombre d’outils : fichiers, applications, système, services cloud, réseau, base de données, téléphone pro, plateforme virtuelle… Ce qui introduit inévitablement un risque plus élevé de fraude et d’attaque du réseau de l’entreprise.
- La situation actuelle en cybersécurité
Les chiffres des cyberattaques sont impressionnants : selon une étude de Scale Venture Partners 71% des experts de la cybersécurité disent que leur entreprise a affronté au moins 3 attaques en 2022.
Selon cette même étude, les attaques par phishing pour dérober les informations d'identification ont augmenté de 58% et c'est pour cette raison que les RSSI donnent la priorité dans leurs dépenses à la gestion des identités et des accès de leurs utilisateurs.
- Quelles mesures prendre pour protéger les identités et les accès au sein de son entreprise ?
Verrouiller les ressources de votre entreprise pour n’avoir qu’une petite liste officielle ? Ça serait tout simplement contre-productif. On le voit bien aujourd’hui, les usages changent, les évolutions de comportement comme le télétravail le prouvent, l’entreprise doit s’adapter aux nouveaux usages, notamment portés par le cloud.
Le BYOD, bring your own device rebat complètement les cartes et la DSI doit composer avec.
Concrètement, l’évolution de ces usages accélère et multiplie les demandes de modifications sur les accès sur les différents logiciels, plateformes cloud etc… ce qui complexifie de manière exponentielle le suivi de ces différents accès.
Pour mener à bien les missions des suivis des identités, la DSI doit déployer :
- des bonnes pratiques
- des outils de surveillance
- de reporting
- de contrôle
qui sont très chronophages dans le quotidien.
- Un besoin d'automatisation
Un besoin d’automatisation est donc très fort. En cela, l’IAM va considérablement aider le service IT par la mise en place de workflows avec une délégation des validations par les métiers.
Une solution d’IAM doit être un outil géré par l’IT mais utilisé par les managers et le service RH.
Les directions IT sont souvent frileuses à l’idée de déléguer une partie de leur métier aux opérationnels : les DSI n’ont pas très envie que les managers gèrent eux-mêmes les créations de comptes pour leurs équipes.
Mais il faut considérer l’analogie suivante : de la même manière qu’il serait contre productif d’appeler son électricien à chaque fois que vous voulez allumer la lumière chez vous, la DSI ne doit pas être sollicitée pour des créations de comptes ou une modification de droits.
La DSI doit en revanche fournir l’interrupteur, c’est-à-dire un système qui permette aux opérationnels d’être autonomes sur les opérations qui concernent leurs équipes.
- La réconciliation des comptes informatiques
Les enjeux de l’IAM sont aussi tournés vers une maîtrise des accès informatiques des utilisateurs et de leur identité. Ainsi, on peut enfin “réconcilier” (en comptabilité, on parle de “rapprochement”) les profils utilisateurs de l’Active Directory avec les collaborateurs de l’entreprise.
On met en place une gestion des droits d’accès aux applications qui permet d’attribuer les droits en fonction du niveau de responsabilité. De cette façon, une des grosses problématiques qui survient durant un audit et qui est : l’accès aux données sensibles de l’entreprise par des personnes extérieures comme les prestataires est-elle maîtrisée ? La réponse est oui.
Chaque manager ayant la possibilité de gérer les accès applications et chaque accès à une plateforme étant monitoré, on maîtrise ses connexions logicielles.
- Attention à ne pas faire d’amalgame entre IAM et SSO
De nombreux DSI pensent qu’il est possible de régler la problématique de gestion des identités en mettant en place le Single Sign On, l'authentification unique pour toutes les applications. L’objectif initial est d’avoir un seul point de gestion des utilisateurs (par exemple Azure Active Directory, Google Workspace ou Okta) et d’y rattacher les autres applications pour que celles-ci s’appuient sur le fournisseur d’identité pour l’authentification.
Cette pratique, plutôt à la mode, embarque 4 inconvénients majeurs :
- Le risque de sécurité lié à l’authentification repose sur un point central qui est le fournisseur d’identité qui devient un point de vulnérabilité.
- Le SSO apporte un confort pour l’utilisateur qui n’a plus qu’un mot de passe à gérer et ce mot de passe devient également un point de vulnérabilité, car il donne accès à tout.
- L'authentification unique ne permet pas (encore) de gérer les niveaux d’autorisation sur les différentes applications qui y sont rattachées. Cette gestion doit se faire à l'unité, ce qui diminue l’intérêt d’utiliser un annuaire central si ensuite les ajustements doivent se faire un par un.
- Le SSO ne couvre actuellement que les solutions compatibles. Les plus importants sont intégrables (Microsoft 365, Salesforce, Google Workspace…) mais pas les dizaines ou centaines d’autres applications métier utilisées dans l’entreprise. Le “Single” de l’acronyme “Single Sign On” n’est donc qu’un vœu pieux.
En résumé, pour les DSI, il est nécessaire d’amener de la flexibilité dans un modèle économique qui en demande constante tout en gérant les outils comme le cloud et le SaaS qui sont les plus complexes à sécuriser. Bien sûr, l’IAM n’est pas une baguette magique et rien ne remplacera les échanges avec les différentes entités pour discuter sur les besoins en applications et partager les bonnes pratiques en matière de sécurité informatique.
⚠️ Attention à ne pas confondre SSO et IAM : ils sont complémentaires mais pas similaires.
Vous souhaitez recevoir notre livre blanc sur la gestion des identités et des accès ?
Concrètement, comment met-on en place une gestion des identités ?
Pour mettre en place un système de gestion des identités, il faut suivre ces 4 étapes :
1. Créer un référentiel d'utilisateurs (de TOUS les utilisateurs)
Il s’agit de construire la liste des personnes qui ont une relation contractuelle avec l’entreprise qui est généralement un prérequis pour ouvrir un compte.
Dans cet annuaire, il faut renseigner les collaborateurs évidemment, mais aussi les autres utilisateurs (intérimaires, prestataires, freelances…).
Cet annuaire ne doit comporter que des personnes “physiques”, et pas de noms génériques, car il s’agit d’identifier le détenteur des unités qui lui seront affectées.
Ce qui est très important, c’est de maintenir cet annuaire à jour : la connexion à un SIRH est précisément confortable puisqu'elle permet d’avoir en quasi-temps réel la liste des collaborateurs avec leurs dates d’arrivée et de départ, leur manager, etc.
Mais vous pouvez aussi ajouter plusieurs sources de données : des fichiers CSV que mettent à jour et envoient les directions métier, etc.
Les outils d’IAM détectent directement sur les SIRH et fichiers RH les noms et prénoms et ainsi vous alerter ou suggérer des utilisateurs que vous auriez oubliés dans votre annuaire. Vous pouvez ainsi contrôler plus facilement les utilisateurs qui ont été créés “hors système”.
2. Créer un référentiel des applications et des comptes d'accès
Cet annuaire est un inventaire de tous les logiciels que vous souhaitez superviser. Il est parfois également possible de rajouter dans cet annuaire des matériels d’accès comme des badges de sécurité, des clés etc.
Il est nécessaire, comme pour l’annuaire des utilisateurs, que l’inventaire des comptes existants sur chaque logiciel soit fait de manière automatique et régulière.
Pour les lister, appuyez-vous sur l’architecture des systèmes que vous connaissez, mais il faut par ailleurs que cette liste puisse être évolutive : dès qu’un nouveau logiciel entre dans le radar de la DSI, il faut l’ajouter (manuellement ou automatiquement) dans la liste. La sensibilisation des utilisateurs est importante pour qu’ils signalent les nouveaux outils à la DSI et ainsi éviter le shadow it.
3. Réaliser la réconciliation des 2 référentiels
Les 2 annuaires précédemment constitués et tenus à jour doivent être “rapprochés”. Il s’agit pour chaque compte, qui par défaut est “orphelin” de le rattacher à un ou plusieurs utilisateurs.
Le premier rapprochement peut se faire manuellement (cette opération est fastidieuse, mais est possible) ou alors automatiquement avec des systèmes intelligents d’association automatiques.
Par la suite, c’est en fonction des demandes de création d'unités que le rattachement se fera automatiquement si vous utilisez un outil d’IAM pour générer les créations de compte.
4. Définir la stratégie d’attribution des accès et des droits
Cette stratégie doit être faite en collaboration avec les directions métier et même les managers eux-mêmes, car ce sont eux qu’il faut sensibiliser : ils doivent adapter les droits à la stricte nécessité de leurs collaborateurs et pas définir tous les utilisateurs en profil “admin” sur leur logiciel métier sous prétexte que “ça fonctionne très bien comme ça”.
Il est impossible de mettre en place une stratégie digne de ce nom pour l’ensemble des solutions. D’une part parce que la liste évolue tous les jours, et d’autre part parce qu’il est déraisonnable de mettre en place une stratégie pour un logiciel qui ne comporte que deux comptes et qui font partie de la “longue traîne” de la liste des logiciels utilisés.
Pour finir, voici quelques points importants à retenir :
Il est fondamental de voir l’usage de l’IAM dans son ensemble, il y a la gestion :
- des arrivées bien connues de tous,
- des départs beaucoup moins plaisantes mais très importantes en termes de sécurité,
- des mouvements, le suivi du collaborateur dans son parcours professionnel difficilement traité actuellement,
- des réconciliations, le rapprochement entre compte utilisateur et les accès sur une application.
Ensuite, il faut bien respecter les étapes de mises en place :
- Un annuaire des utilisateurs que vous pouvez avoir par un lien avec les RH
- Un annuaire des logiciels et des comptes
- Faire un rapprochement entre les deux annuaires, c’est l’étape importante qui permet d’avoir une bonne vision sur la sécurité interne de l’IT
- Définir sa gestion des identités et des accès !
Convaincu par l’IAM ? Vous pouvez faire votre choix en vous aidant de 7 critères qui vous aideront à bien définir vos besoins.