Il n’y a plus besoin de revenir sur la nécessité d’avoir une protection contre la cybercriminalité, tout le monde sait qu’elle est cruciale. Le nombre de cyberattaques ne fait que croitre, années après années et aucun secteur n’est épargné.
Pourtant il reste une partie qui reste mal traitée, celle des collaborateurs et de leurs comptes : les identités et les accès. Pourquoi ? Car durant de longues années, elle n’était pas considérée comme une faille potentielle et aujourd’hui, les entreprises réalisent qu’il faut traiter ce point mais comme il n’est pas non plus bloquant, on décale…
Quand je discute avec les décideurs des services informatiques, j’entends souvent :
- Nous gérons très mal le onboarding informatique, nous devons anticiper de nombreuses semaines en avance les arrivées pour un résultat médiocre : de nombreux allers/retours avec les managers et les ressources humaines et tous les logiciels ne sont pas prêts le jour J.
- Le offboarding est soit non traité, soit traité de façon biannuelle en recoupant le fichier des RH et celui des IT… Un looong travail.
- La mise en place d’un projet d’IAM informatique est souvent dans les cartons mais il terrorise car il est vu comme trop complexe, long à mettre en œuvre, couteux et nécessite la mise en place d’une équipe pour la gestion du projet.
Malgré ces réticences, un projet d’identity & d’access management est vu comme nécessaire pour renforcer la sécurité de l’entreprise.
Avant de commencer, si vous n’êtes pas très familier avec l’IAM je vous propose d’aller faire un tour sur cet article.
Quels sont les impératifs pour réussir son projet d'IAM ?
Avant de voir quels sont les impératifs pour réussir son projet, je vous conseille d’aller voir les 7 pièges à éviter dans la mise en place de sa solution d’IAM.
Quels sont les impératifs pour réussir son projet d’IAM ?
On peut entendre ou lire en n°1 impliquer les RH mais l’aspect le plus crucial n’est pas l’implication de services tiers mais bien l’implication du service informatique en 1er lieu. Si vous n’avez pas un noyau dur qui croit et est impliqué dans le projet d’IAM tout le reste ne fonctionnera pas quelles que soient l’implication et la communication des autres.
Les décideurs, ceux qui vont valider le projet ne sont pas toujours les utilisateurs de la plateforme. Ce sont ces derniers qui doivent être motivés ET intéressés par ce projet et c’est par eux que tout va se construire.
Il est aussi crucial que les personnes en charge du projet connaissent bien les problématiques de l’entreprise. Ce sera plus facile pour déterminer les workflows à mettre en place et les pain points à résoudre impérativement.
Même si les compétences ne sont pas présentes au début (tout s’apprend de toute façon), l’équipe en charge va s’approprier la plateforme et rapidement l’utiliser (d’où l’intérêt de ne pas choisir quelque chose de rebutant techniquement). Si vous souhaitez recruter la bonne compétence, vous allez vous confronter à une vraie difficulté (pénurie) et surtout la personne qui arrivera n’aura pas une connaissance fine de l’entreprise ce qui peut aussi la desservir.
Un accompagnement par le prestataire sur la plateforme de gestion des accès est donc à prévoir en début de parcours ainsi qu’une aide et un service client.
Bien sûr, il est crucial qu’une autre personne comprenne le fonctionnement, le principe et l’usage de base de la plateforme afin de pouvoir remplacer la personne principale en cas de maladie, de congés ou de départ.
Au moment du départ, plusieurs jours seront nécessaires aux deux personnes pour effectuer une transmission correcte.
Impliquer les RH et expliquer l’intérêt en interne notamment aux managers
En 2ème, je mets donc bien l’implication des différents services de l’entreprise. Effectivement, un projet de gestion des identités est bien une décision qui va impacter très fortement l’IT mais aussi les autres services RH et les managers.
Est-ce que leur degré d’implication dans le projet doit être le même que celui de l’informatique ? Non, très clairement. Pour les RH l’intérêt d’un IAM est bien présent : gagner du temps, une meilleure communication avec l’IT et un onboarding facilité ce qui augmentera la satisfaction des nouveaux arrivants. L’objectif est donc de les rassurer dès le départ sur le partage de données car leur SIRH va être impliqué. Il faut bien voir l’IAM comme un simplificateur de la vie des utilisateurs.
Chez Youzer comme chez d’autres prestataires, la force de la plateforme réside dans l’intégration première de deux éléments le SIRH et l’AD ou similaire. C’est de cette manière que vous retrouverez au même endroit vos utilisateurs et leurs comptes. On comprend dès lors, que cela peut faire peur aux RH de partager leurs informations. Assurez-vous donc de l’aspect RGPD auprès de votre prestataire. Youzer par exemple, est en lecture seule sur le SIRH et vous définissez vous même quels champs vous souhaitez voir apparaître dans la solution d’IAM.
N’hésitez donc pas à avoir un discours clair et pédagogique avec les autres services afin qu’ils perçoivent aussi les difficultés que les IT peuvent rencontrer dans la gestion des utilisateurs, des comptes et de la sécurité de l’entreprise.
Les managers aussi vont y gagner car ils pourront saisir via un formulaire, les informations du nouvel arrivant et donc avoir tous les comptes prêts pour son arrivée. Ils auront aussi la possibilité de définir avec l’IT quel package logiciels s’applique à leur équipe. Un gain de temps, de satisfaction et de sécurité se fera ressentir.
Définir ses objectifs : les impératifs et les plus.
Comme nous l’avons vu dans la partie précédente, un des points de friction peut-être la personnalisation du projet d’IAM. Fixez-vous donc des objectifs précis et réalistes. Mais surtout, ne faites pas d’objectifs qui n’ont pas d’intérêt pour quelqu’un. Vos utilisateurs, les services RH et les services IT ont des besoins précis. Interrogez ces personnes, voyez ce dont elles ont besoin et basez votre projet et vos objectifs sur ces demandes précises. Cela vous évitera de vous éparpiller. C’est surtout important dans vos processus et la création de vos workflows.
- j’ai besoin de retrouver en un endroit mes utilisateurs et mes comptes et ce, de façon lisible
- je voudrais connaître l’état de mon SI, quelles sont mes licences en cours, mes comptes actifs, inactifs …
- je voudrais sécuriser mon SI et donc lutter contre les comptes fantômes (comptes actifs d’utilisateurs partis), les désalignements de droit des utilisateurs
- je voudrais gagner en temps et en ressources pour mes créations et suspensions de comptes
- j’ai besoin de connecter des logiciels SaaS et on-premise
…
Hiérarchisez vos objectifs. Par exemple, savoir qui a quoi est en tête de liste alors que vérifier l’alignement des droits qui est plus fin peut se trouver en objectif moyen terme.
Vous pouvez même faire un retour aux prestataires que vous avez en tête pour leur demander leur avis et la faisabilité de votre projet.
Quand vous effectuez cette liste essayez le plus possible de rester dans l’esprit ‘gestion des identités et des accès’. N’ajoutez pas des briques qui sortent de la stricte zone IAM cela vous évitera de chercher le mouton à 5 pattes. Petit exemple : le SSO est une brique de l’IAM mais elle n’est pas indispensable, elle est un plus que beaucoup souhaite mais elle ne fait pas partie de l’IAM au sens stricte. Une solution spécifique de SSO va être super bonne, ergonomique, puissante dans les connexions et sécurisations SSO. Une solution d’IAM va être de la même manière très pointue dans la gestion des utilisateurs et de leurs comptes. Une solution IAM et SSO va avoir du mal à pousser les deux technos en même temps et offrir une solution ergonomique. C’est un peu comme les machines à laver sèche-linge 😂, c’est une bonne idée sur le papier mais plus décevant en vrai ! Cher, très consommateur en eau et en énergie, le séchage et le lavage sont bien plus longs que sur des machines dédiées et le résultat n’est pas toujours là (linge humide) c’est pas optimal MAIS ça fait le job !
Ensuite listez les plus. Ce qui vous plairait mais qui n’est pas un impératif immédiat.
N’hésitez pas à découper vos objectifs en étapes s’ils vous paraissent trop complexes. Cela aura un double impact : vous arriverez plus facilement à y arriver si ce sont des petites tâches (quick-win), vous aurez des victoires rapides ce qui motivera les équipes et vous donnera un feedback immédiat.
Une vision à long terme
Quand on prend une solution d’IAM c’est rarement pour régler un problème temporaire et arrêter la solution après. Si c’est le cas, c’est que l’on n’a pas bien compris l’intérêt d’une solution de gestion des identités et des accès.
Il faut donc penser le projet, les objectifs, la solution, la relation avec le prestataire sur le long terme. Il faut aussi connaître les conditions de résiliation dans un cas non concluant. Malgré tout, sachez que même si vous pouvez partir rapidement, vous serez bien engagés dans vos processus avec la solution. Vous y aurez consacré du temps, de l’énergie et de la compréhension.
Voyez donc si vous vous sentez à l’aise avec, si les évolutions sont régulières, si les demandes sont bien prises en compte etc.
- Une bonne relation avec son prestataire
Cela peut paraître secondaire et pourtant, vous n’allez pas pouvoir intégrer la solution tout seul sauf si la solution le permet et que vous êtes particulièrement à l’aise avec les technologies utilisées.
De manière générale, un accompagnement s’impose. Il est donc nécessaire de connaître l’accompagnement, le support, sa réactivité, les solutions apportées aux réponses posées. C’est quelque chose à évaluer dans les premiers contacts et si cela est le cas, durant le POC.
Vous devez vous sentir à l’aise avec votre prestataire. Si cela vous intéresse, vous pourrez trouver quelques points d’aide pour choisir son prestataire d’IAM.
Est-ce qu'il y a besoin de mettre en place une équipe projet pour l'IAM ?
Que ce soit mes collègues ou moi, nous avons souvent entendu des prospects arriver et nous dire le projet IAM, l’équipe projet… etc
Nous sommes un peu surpris car nous constatons que la gestion de l’identity and access management est souvent considérée comme un projet important alors que ça dépend vraiment du fonctionnement de l’entreprise et des délais souhaités dans la mise en place. On peut la gérer en mode projet mais il est aussi tout à fait réaliste de simplement mettre l’IAM en place sans trop de complexité en mode produit.
Ce qui va faire la différence c’est le mode de fonctionnement de l’entreprise (et non sa taille même si ça joue). Si une entreprise a de lourds process, il est normal de travailler en mode projet. En revanche, une structure flexible du fait de son ADN peut implémenter la solution en quelques heures.
Alors concrètement, qu’est-il possible de faire ? Réponse de normand : ça dépend 😄
- Si vous choisissez une solution SaaS et que vous l’utilisez en SaaS, en quelques minutes vous connectez votre Active Directory (ou toutes autres bases de données des comptes) et votre SIRH. Vous obtenez ainsi une liste claire de vos utilisateurs et de leurs comptes AD. Connectez ensuite l’ensemble de vos logiciels au fur et à mesure (entre quelques minutes et quelques jours si les connecteurs sont à développer). Vous avez déjà en l’espace de quelques heures à quelques jours vos principaux logiciels et des remontées significatives d’informations. Vous vous familiariserez ensuite avec la plateforme pour créer vos paramètres de création et de suspension de comptes, vos formulaires d’inscriptions, les habilitations, les alignements etc… Mais si vous travaillez en méthode Agile, le premier sprint est posé et vous pouvez d’ores et déjà manager vos comptes et vos utilisateurs.
- Si vous optez pour une solution on-premise… ça devient plus long et plus lourd. Il faut l’implémenter sur vos serveurs, la paramétrer, s’organiser pour les mises à jour etc. Cela prend en général plusieurs mois.
- Enfin si vous optez pour une solution SaaS (en mode SaaS) et que vous avez des processus un peu longs et complexes, il est possible de commencer par un POC. Les grandes entreprises procèdent en général par l’implémentation de l’IAM sur une partie de leurs utilisateurs. Cela leur permet de tester la solution, les processus et les retours des utilisateurs avant de le déployer sur l’ensemble de l’entreprise.
Vous souhaitez recevoir notre livre blanc sur la gestion des identités et des accès ?
Et après ?
Il faut continuer à promouvoir le projet de gestion des identités et de accès après sa mise en place, pourquoi ? Pour recevoir l’adhésion des utilisateurs et rassurer les sponsors il est important de parler du projet une fois celui-ci implémenter.
- Vous aviez des attentes réalistes et donc vous avez fait des propositions réalistes 😉 dont vous communiquez les premiers chiffres en interne.
- Vous aviez fixé des objectifs et vous y répondez avec objectivité : ce qui est en place, ce qui est en cours et ce qui n’a pas encore été fait ou qui pose des difficultés.
- Vous montrez les premiers impacts que la solution de gestion des comptes utilisateurs a eu sur l’entreprise (chiffre de onboarding, chiffre sur un gain de temps, une diminution des erreurs, une diminution des risques liés au shadow IT ou autre).
Il est important que l’engouement des premières semaines ne s’estompe pas. Il faut donc se fixer des objectifs sur l’année afin que la ‘routine’ soit bien en place. Si les décideurs ne sont pas les utilisateurs réguliers, il est important que des points soient fait fréquemment afin que le travail des utilisateurs soit mis en valeur et qu’il y ait une motivation à la réussite chez ces derniers.
Une solution d’IAM c’est aussi une remontée d’information, ne les laissez pas dans la solution : traitez-les. L’IAM sert à consolider vos données RH et IT.
→ Vous avez des comptes fantômes ? Nettoyez.
→ Vous avez des comptes orphelins ? Rattachez-les.
→ Vous avez des licences non utilisées ? Arrêtez-les.
En un mot : nettoyez !
Envie de discuter gestion des comptes et des utilisateurs ?
Nous vous invitons à faire une demande de démo où nous pourrions discuter de votre projet, de votre besoin, de vos connecteurs… 😉