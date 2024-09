Pourquoi et comment tous les acteurs de l’entreprise peuvent s’approprier l’IAM et en faire un moteur de leur business ?

septembre 2024 par Hicham Bouali, Directeur avant- ventes EMEA chez One Identity

Le paysage des cybermenaces impose aux entreprises des investissements en cybersécurité de plus en plus importants. Mais pour maîtriser ces coûts, DSI et RSSI doivent faire des choix et prioriser. Malheureusement, nous constatons régulièrement que la gestion des identités et des accès (IAM) est bien trop souvent sous-financée par rapport à d’autres initiatives de sécurité jugées « plus attractives ».

Problème : les identités sont les éléments de l’environnement informatique les plus ciblés par les cybercriminels, car compromettre une identité est le moyen le plus simple de pénétrer dans une infrastructure d’entreprise. Faire complétement l’impasse sur la sécurité de cet élément stratégique revient donc à laisser un peu partout des portes ouvertes béantes aux cybercriminels. Mais alors que les coûts explosent, comment aider les responsables de projets de gestion des identités et des accès (IAM) à remettre en question l’approche traditionnelle du budget et leur permettre de justifier les coûts de leurs programmes auprès de leurs dirigeants ? Voici quelques clés pour parler IAM et business aux décideurs.

Mettre en avant la valeur commerciale de l’IAM

Traditionnellement, l’investissement dans l’IAM a été justifié en mettant l’accent sur l’efficacité opérationnelle. Peut-être parce que l’IAM a historiquement été étroitement liée au support informatique interne, les coûts sont souvent mesurés sur une base de coût par ticket ou par appel, avec des initiatives d’efficacité opérationnelle visant à réduire les appels au support technique. Nous avons adopté cette approche pendant les 20 dernières années de l’IAM, et très souvent, nous le faisons encore.

Cependant, le monde des affaires évolue. Le monde post-ransomware, post-pandémie, post-bureau traditionnel exige une meilleure manière de justifier l’investissement dans l’IAM. Il est temps de se concentrer sur la valeur commerciale tangible que l’IAM apporte à son organisation.

Normalement, lorsqu’on discute de l’IAM, on commence par énumérer les avantages qu’elle offre au business : l’IAM favorise l’agilité des affaires, réduit les coûts de diverses manières, améliore la productivité des employés, etc.

Et si nous changions cette approche pour permettre aux responsables commerciaux de dicter les termes ? En effet, chaque organisation a des objectifs commerciaux prioritaires – clairement définis par trimestre, par an – et chaque initiative, y compris l’investissement dans l’IAM, doit s’aligner sur ces objectifs.

Comment ? La première étape consiste à comprendre ces initiatives commerciales – qu’elles se concentrent sur la réduction des risques, la croissance des indicateurs clés de performance (KPI) ou la transformation numérique – afin que l’investissement dans l’IAM s’aligne sur ces objectifs commerciaux à l’échelle de l’entreprise.

En fonction des initiatives prioritaires de l’organisation, le programme IAM doit s’aligner sur celles-ci. Cela pourrait signifier un changement de priorités pour les propres priorités IAM définies par l’IT… en avançant certains éléments tout en éliminant certains éléments moins pertinents. Souvent, il s’agit simplement de changer le langage et de bien faire correspondre les avantages de l’IAM aux initiatives commerciales.

Certains alignements sont évidents : la transformation numérique est certainement une priorité pour la plupart des organisations, généralement supervisée par un décideur tel que le CTO, le DSI ou le CMO. C’est alors au responsable IAM, de s’approcher des responsables projets et de leur expliquer comment l’investissement dans l’IAM est une condition préalable, une dépendance de la transformation numérique, et peut soutenir cette initiative à chaque étape. Encore une fois, de manière générale, l’objectif est de trouver l’impératif commercial et d’aligner le programme IAM avec celui-ci.

Aligner IAM et priorités commerciales

L’étape suivante consiste à contacter les décideurs concernés et à former des alliances. Établir de bonnes relations est toujours une bonne pratique, mais lorsqu’il s’agit de justifier l’investissement dans l’IAM, prendre l’initiative de contacter et de fournir des explications détaillées sur le programme proposé peut transformer un dirigeant en défenseur du programme IAM. Tout le monde est évalué sur quelque chose ; trouver un moyen d’aider les autres à atteindre leurs objectifs en soutenant sa propre initiative est le meilleur moyen de collaborer et d’aligner les objectifs.

Il existe de nombreux exemples dans lesquels les programmes IAM s’alignent naturellement avec les priorités commerciales. Un effort marketing dirigé par le CMO peut obtenir le soutien d’un investissement CIAM (Customer Identity and Access Management) qui regroupe toutes les identités clients sous le programme IAM, offrant une vue d’ensemble de l’utilisateur au département marketing – un avantage concurrentiel inestimable dans le e-commerce ou le retail.

Dans chaque entreprise mature, les initiatives sont mesurées par rapport à des critères de réussite ou KPI (indicateurs clés de risque dans la gestion des risques). L’objectif est alors de montrer aux décideurs comment les résultats IAM influencent directement ces KPI. Par exemple, dans un cas d’utilisation CIAM, une meilleure expérience utilisateur pourrait conduire à une intégration client plus facile, à moins de résiliation et à des dépenses plus élevées par visite – tous des indicateurs clés pour un CMO.

De même, l’obtention de certifications en cybersécurité nécessite souvent un investissement significatif dans la gestion des accès à privilèges (PAM) ou la gestion des accès (AM), tandis que l’obtention d’une assurance cyber (une initiative du CFO) pourrait nécessiter l’authentification multifacteur (MFA)…

Les initiatives au niveau de la direction se répartissent généralement en trois catégories.

1. Les initiatives basées sur le risque se concentrent sur la continuité des affaires, la résilience, et la protection des données utilisateurs et corporatives. La gestion des accès, le PAM, la gestion des logs (pour reconnaître et contenir les fuites) se mappent facilement sur ces initiatives.

2. Les initiatives basées sur la qualité se concentrent sur les processus métiers, la productivité des employés, l’efficacité et la réduction des coûts. L’automatisation et la gestion du cycle de vie des utilisateurs se mappent facilement, tout comme l’optimisation des licences basées sur le SSO (Single-Sign On)

3. Les initiatives axées sur la croissance, qu’il s’agisse de croissance des revenus/bénéfices, de la croissance des effectifs, ou de la croissance par acquisition, ont également des prérequis IAM importants, que ce soit en termes d’UX, d’automatisation ou simplement pour faciliter une fusion efficace.

Adopter un changement de mentalité permanent

En fin de compte, ce changement d’approche pour justifier les dépenses du programme IAM ne doit pas être un cas isolé concernant uniquement les débats budgétaires. Il existe des avantages à long terme à changer la mentalité de l’équipe IAM pour réfléchir aux côtés des besoins commerciaux, des initiatives commerciales et aligner proactivement le programme avec les objectifs à l’échelle de l’entreprise. C’est une approche certes nouvelle mais qui donnera une valeur importante au responsable de projet IAM dans l’entreprise !