Cybersecurity
Governance, Resilience, IAM, PAM, DLP, SIEM, SOC
IAM, ce projet au long cours
IAM, troisième session de la All Cyber School. Essentielle dans un monde de plus en plus ouvert, la gestion des identités et des accès est un vaste projet, qui plus est exigeant.
IAM, l’incontournable. Longtemps, la politique de sécurité des entreprises a reposé sur l’idée d’un périmètre fortifié, avec de solides contrôles de sécurité. Aujourd’hui, le contexte est radicalement différent : avènement du cloud computing, mais aussi du télétravail et recours à des terminaux mobiles… Le danger n’est donc plus seulement dans le périmètre, mais aussi en dehors !
Au quotidien, les organisations reconnaissent mal gérer le onboarding informatique des nouveaux arrivés, ce qui se traduit par de nombreux allers-retours avec les managers et les ressources humaines. Quant à l’offboarding, il est soit non traité, soit traité de façon sporadique en recoupant le fichier des ressources humaines et celui de l’IT… Entretemps, il faut aussi gérer les changements, les compétences, les mutations !
« Outre les questions de sécurité, un projet d’IAM a pour vocation d’améliorer l’expérience utilisateur. De multiples fonctions sont imbriquées. L’IAM opère tel un chef d’orchestre. Ce qui, au niveau du projet à proprement parler, peut intimider », a expliqué Christophe Hohl, Technical Advisor, Cyber Security Management, dès l’ouverture de la troisième session de la All Cyber School, jeudi 21 mars dans le cadre du Stade d’Anderlecht. « Et puis, c’est un projet au long cours ». De là, certaines craintes à s’y lancer. Son déploiement peut apeurer les équipes HR et IT.
Jusqu’à refondre les processus
En même temps, c’est un projet fondamental car fédérateur. « Qui dit IAM dit gestion des bons droits aux bonnes personnes au bon moment et sur les bonnes ressources », illustre Philippe Delecolle, Directeur du pôle Architecture & Intégration, Advens. Si la mission de l’IAM parait « simple », la mise en œuvre exige un sérieux un travail de préparation au départ d’une analyse pointue.
De fait, la mise en œuvre d’un service IAM consiste prioritairement à définir ses buts et objectifs en matière de gestion des identités et des accès. Il faut donc prendre en compte des questions telles que les moteurs et les avantages des services IAM, également les exigences en matière de sécurité, de conformité et de performance, définir quelles sont les caractéristiques et fonctions clés souhaitées, quelles mesures et quels indicateurs de réussite doivent être établis et quelles contraintes et défis peuvent être rencontrés. Ce qui, finalement, impacte tout le monde dans l’organisation, y compris les partenaires prestataires extérieurs.
« C’est un projet transversal, insiste Philippe Delecolle, qui peut impliquer une refonte complète des processus. » Aussi, il convient de s’assurer du support du top management. « Ne pas perdre de vue qu’il s’agit avant tout d’un projet de gouvernance… et pas uniquement un projet technique ! » Ainsi, en cas de grippage ou de blocage, la direction pourra intervenir pour fluidifier la bonne conduite et s’assurer que les étapes s’enchainent convenablement. Cette vigilance doit être réalisée du début à la fin du projet, de la définition des besoins à la mise en production de la solution sélectionnée.
Avancer par quick wins
Un autre point à prendre en compte tient à l’évolution constante du projet. En effet, malgré un cadrage nécessaire, l’on constate que les demandes évoluent tout au long du projet. Cette évolution est souvent liée à des besoins mal exprimés au départ. Attention donc à cadrer au mieux les choses. Pour autant, il est indispensable d’avoir une approche agile qui permettra de s’adapter aux attentes du client et de valider pas à pas les réalisations.
« Le succès d’un projet IAM tient aussi à sa capacité à offrir des gains opérationnels rapides, poursuit Christophe Hohl. Il est recommandé de commencer à mettre en place des processus simples qui stimuleront les équipes et les encourageront à faire évoluer le projet pas à pas. En somme, privilégier les quick wins. » Cette approche par étapes est tactique. A l’opposé, une approche massive risque de ne pas générer l’adhésion. Ou s’avérer inefficace. Il faut tout simplement initier un cycle de vie du projet réaliste.
Travailler sur des données précises et pertinentes
Enfin, il est utile de faire un point précis sur la qualité de ses données. Bien souvent, cet élément est un frein de taille à la bonne mise en oeuvre du projet. Attention donc à intégrer cette contrainte dès le départ afin de travailler sur des données précises et pertinentes.
Ces premiers éléments sont donc des questions-clés à se poser et à mettre en place pour conduire son projet IAM. S’affranchir de ces étapes de base revient tout simplement à ne pas s’appuyer sur de solides fondamentaux qui permettront d’éviter des dérives.
Au final, un projet IAM nécessite donc d’une part un cadrage rigoureux de différents éléments, mais également une agilité des équipes pour s’adapter en continu aux nouvelles demandes.
Texte : Alain de Fooz – Photos : Kevin Marcos – Ebenation