L’IAM : un outil pour les métiers ?

Le thème de la simplification a été décliné tout au long des présentations par les analystes. Pourquoi ? Parce qu’un projet IAM est tellement vaste qu’il y a de grandes chances de faire échouer son projet si l’on démarre par les mauvais composants. Il ne faut pas se tromper de cible : l’IAM est avant tout pour les métiers. Ils sont propriétaires des applications, ils en sont responsables et ils en payent la majorité. Ils veulent donc des résultats. L’IT est uniquement nécessaire pour la mise en oeuvre du projet et se désengage systématiquement des sujets IAM. Cela ne pourrait en être autrement puisqu’elle est responsable des infrastructures, pas des droits dans les applications.

Le provisionning : avant tout un outil pour l’IT

Trop souvent encore, les projets IAM démarrent par le mauvais coté : la technologie avec le provisioning des comptes et des applications. C’est une approche historique, centrée sur les connecteurs et l’automatisation. Elle est rassurante car elle évite d’avoir a se confronter aux métiers. Cela redevient une histoire d’informaticiens. Mais c’est bien là le problème : cela ne sert que le département IT. Le provisioning, c’est avant tout de l’optimisation de l’efficacité opérationnelle pour l’IT, cela ne sert pas les métiers, ou très peu. Qui plus est, la mise en oeuvre et le maintien en conditions opérationnelles des connecteurs est long et coûteux.

Le besoin réel : maîtriser la partie applicative de la sécurité

Les exigences des métiers sont pourtant claires. Ils veulent répondre à leurs contraintes réglementaires (compliance) et veulent reprendre la main sur la partie applicative de la sécurité :
– savoir qui a accès à quoi
– s’assurer que les droits sont revus régulièrement
– s’assurer que les demandes d’accès suivent des processus standards qui assurent la traçabilité pour les auditeurs
Où a-t-on besoin de provisionning ici ? Nulle part !

La gouvernance : la bonne réponse

Dans sa présentation L’astuce qui va vous permettre d’améliorer le déploiement de votre outil de IGA (The One Trick That Will Improve Your IGA Tool Deployments), Brian Iverson à présenté une méthodologie très pragmatique de priorisation des sujets. Cette méthode, basée sur une matrice de classification risques/bénéfices, classifie les fonctionnalités à mettre en œuvre en fonction de deux critères :
– le gain pour les métiers
– la difficulté de mise en oeuvre
Le résultat : les fonctionnalités de gouvernance arrivent en tête !
– Catalogue des droits d’accès
– Revue des accès
– un guichet unique pour les demandes de droits

Des résultats visibles immédiatement

Dixit Brian, l’interfaçage avec les applications peut s’effectuer via la création de tickets dans le système de ticketing du département IT. C’est la façon la plus efficace d’interagir avec les applications puisque chacun reste responsable de son domaine. Les métiers s’occupent des processus de demande et l’IT des temps de modification dans les applications via des SLA définis.

Ce type de projet peut se mettre en oeuvre en une fraction du temps nécessaire a un projet IAM ayant une approche Provisioning et elle rend immédiatement des résultats visibles pour les métiers. La conformité est établie, la visibilité est acquise et les processus sont en place.

Le provisioning revient alors a la place qui lui est normalement due : l’optimisation de l’efficacité opérationnelle. Il est alors facile d’établir un retour sur investissement connecteur par connecteur en fonction des actes de gestion nécessaires et de la charge d’implémentation et de support. De plus, cette mise en oeuvre peut être progressive.

Démarrer par une revue des accès

Dans sa présentation Choisir l’outil adapté à vos besoin de gouvernance des identités et d’administration (Selecting the Right Identity Governance and Administration Tool for the Job !), Lori Robinson a mis en avant l’évolution des méthodes de mise en oeuvre des programmes IAM. Elle arrive au même constat : s’il y a 10 ans de cela il était courant de démarrer par le provisioning, la bonne approche aujourd’hui est de démarrer par une revue des accès.

Cela permet d’engager les parties prenantes immédiatement, de répondre aux exigences de conformité et prépare la suite du projet en traitant les problèmes de qualité des données des référentiels.

La gouvernance est un sujet à part entière

Les solutions existantes sur le marché présentent un grand décalage entre cette préconisation et les possibilités des produits. En effet, ils sont tous basés sur des connecteurs et imposent une mise en oeuvre globale de la solution avant de pouvoir faire des revues et de fournir de la valeur au métiers.

Chez Brainwave, nous avons traité le sujet différemment. Depuis le début nous considérons que la gouvernance est un sujet à part entière. Nous avons fait en sorte de ne pas imposer des connecteurs et une interaction forte avec l’IT pour répondre aux attentes.

Notre solution se met en oeuvre en quelques jours et nous pouvons aller jusqu’à ne nous appuyer que sur quelques extractions de données sous forme de fichiers plats pour réaliser l’ensemble des fonctionnalités de gouvernance :
– catalogue des droits d’accès
– revue des accès
– workflows de gestion
– automatisation des contrôles
– rapports de conformité

Un de nos clients à déployé en 30 jours la solution pour couvrir un périmètre de 350 applications, 1500 contrôles de SoD et des revues d’accès, et tout cela sans avoir besoin de déployer de connecteurs !

De simples extractions et un interfacage avec le système de ticketing ont suffit pour répondre aux attentes et à être conforme.

A tous ceux qui démarrent ou redémarrent leur projet IAM, nous n’aurons donc, comme Gartner, qu’un conseil à donner : Keep it simple !

Et pour ceux qui souhaitent aller plus loin, nous leur conseillons la lecture de notre livre blanc sur les meilleures pratiques de revue des habilitations pour réduire les risques et améliorer l’efficacité opérationnelle : http://www.globalsecuritymag.fr/Livre-Blanc-Brainwave-Les,20141030,48456.html