Comment automatiser sa gestion des habilitations avec un outil d’IAM ?

Articles
>
IAM - gestion des accès et des identités
>
Comment automatiser sa gestion des habilitations avec un outil d’IAM ?
La revue des habilitations revêt un caractère obligatoire dans bien des cas et sécuritaire pour toutes les entreprises. Pourtant, c'est aussi ce qui fait le plus traîner des pieds car elle est complexe à réaliser. Et si c'était possible de la réaliser facilement en ne gardant que les bénéfices de la revue des habilitations ?

Dans les précédents articles traitant de la gestion des habilitations, j’ai abordé le sujet de l’automatisation sans le détailler. 

Il existe plusieurs manières de gérer ses habilitations. La manière manuelle à l’aide d’un fichier Excel est peu chère, très chronophage et surtout peu fiable.

Je ne vais donc pas vous proposer une explication détaillée de cette technique, qui selon moi est source d’erreur puisque pendant que vous ferez vos alignements, vous continuerez à avoir des entrées, sorties et modifications et que vous ne pourrez pas les intégrer en même temps à votre document (sans parler du risque d’erreurs général).

Réaliser sa gestion des habilitations

Vous devez réaliser votre référentiel d’utilisateur en recoupant les informations de votre base de données RH comme votre SIRH et votre annuaire utilisateur comme votre Active Directory ou Google Workspace. Cette étape seule, vous prendrait un temps fou avec Excel. Et, ne considérez pas l’Active Directory comme une source d’information, vous confondriez personnes physiques et comptes d’accès.

De même, il vous faut réaliser une revue des comptes et une vérification de l’alignement des droits. Faire cela manuellement est tellement laborieux que vous auriez envie de mettre ça discrètement sous le tapis (promis on ne vous a pas vu 🙈).

Partons sur les mêmes termes

Une revue des habilitations : un manager prend la liste des collaborateurs qu’il a sous sa direction, puis il valide si les logiciels et les droits attribués à chacun sont corrects selon ses critères ou ceux définis avec la DSI (il est bien préférable d’avoir établi un plan stratégique en amont entre les IT et les managers en suivant la règle du moindre privilège).

Dans le cas contraire, il faut corriger les accès et les droits.

Pourquoi réaliser cette opération ?

Il s’agit bien sûr, en premier lieu, de garantir la sécurité de l’entreprise en n’attribuant pas plus de droits et d’accès que nécessaire. Pour certains secteurs, cela peut s’inscrire dans une démarche réglementaire.

Globalement, pour l’ensemble des entreprises, cela rentre dans la nécessité de réaliser des audits.

Revue des habilitations  / revue des alignements

L’alignement des droits : l’IT va regarder si les droits et les logiciels d’un utilisateur sont en adéquation avec son poste (paramètres qui ont été définis pour chaque typologie de poste).

Pourquoi réaliser cette opération ?

Afin de s’assurer que les utilisateurs n’aient pas accès à plus de droits et d’accès qu’ils en auraient besoin. Cela évite à des utilisateurs qui auraient trop d’accès de les mettre en danger par une mauvaise protection ou d’avoir des tentations trop grandes.

Entre de mauvaises mains, trop d’accès est nuisible à l’entreprise.

Planifier ma démo

N’y a-t-il pas d’alternatives à la revue des habilitations ?

Les applications SaaS ont souvent des gestions d’habilitations intégrées, mais il est nécessaire de les synchroniser avec le référentiel de l’entreprise afin de suivre les accès au SI.

Fréquemment, les applications en SaaS ont des habilitations un peu trop élevées par défaut. Beaucoup d’utilisateurs se retrouvent avec des niveaux de droits élevés, il est donc crucial de reprendre la main sur le sujet.

Une revue des comptes est ainsi nécessaire à réaliser. Il est difficile de l’externaliser, car elle demande des connaissances et la participation du service informatique, mais aussi des managers.

Elle est, comme on l’a vu, inévitable parce qu'il en va de la sécurité de l’entreprise.

Qui va gérer ça ?

En priorité, c’est le RSSI puis le propriétaire du SI qui va gérer cette revue des comptes. Puis, il faudra intégrer le gestionnaire des applications (attribution) et le management.

Les managers sont incontournables pour la validation des habilitations. Ce sont eux, qui sont les plus à même de savoir ce dont leurs équipes ont besoin.

La seule alternative à la revue des habilitations serait ainsi de ne pas la faire manuellement, mais avec de l’automatisation intelligente, qui saurait analyser les anomalies et les faire ressortir. Dans ce cas, votre revue des comptes, passerait d’un mois de travail à quelques jours.

Une solution d’IAM dans ce cas remporte plusieurs avantages :

- une solution indépendante permet de centraliser toutes les applications et de gérer les droits en masse.

- elle allège le temps de travail fastidieux des équipes en charge de la validation des droits.

- elle apporte de l’automatisation intelligente, qui ne fait pas que des bulk actions mais comprend et apporte une finesse qui fait toute la différence avec un simple script.

Gestion des habilitations : manuelle ou automatique

L’IAM c’est technique

Pourquoi gérer la gestion des habilitations et l’alignement des droits avec une solution d’IAM ?

Je vous l’accorde, et de façon très objective 😇, les solutions d’IAM sur le marché sont littéralement incompréhensives en première lecture. Les barrières à l’entrée sont énormes et la technique est telle qu’il faut bien souvent (voir tout le temps) prendre des jours de consulting pour la moindre modification.

Pourquoi donc, je vous propose de simplifier votre gestion des habilitations en prenant une solution d’IAM ?? Parce que justement toutes ne sont pas comme ça. Il existe au moins une solution qui a compris vos enjeux : gagner du temps, mais rester aussi indépendant techniquement face à la plateforme de gestion des identités et des accès.
Chez Youzer, c’est précisément notre leitmotiv, construire une solution facile à prendre en main qui se paramètre en quelques heures et qui va vous permettre de réaliser vos principales actions rapidement et efficacement. Nous ne proposons pas de consulting pour vos modifications, car nous avons un service client réactif qui est intégré au prix global.

Faites ainsi attention dans votre choix d’IAM à ne pas vous retrouver dépendant techniquement d’un consultant parce que le prix de l’heure pèse beaucoup sur le prix global. Beaucoup d’IAM pour vous séduire vous propose énormément de fonctionnalités qui sortent du spectre de l’IAM et qui complexifient et alourdissent la solution.

Cette précision faite, passons à la réalisation d’une revue des comptes et des alignements.

Réserver ma démo

Réaliser une revue des comptes

Pour effectuer une revue des comptes, il faut définir les applications qui vont être concernées. L’IAM vous facilite le travail, puisque vous retrouvez sur chaque utilisateur la liste des applications sur lesquelles il a un compte.
Ensuite, vous retrouvez dans la solution d’IAM, la liste de tous vos managers. Ces derniers vont avoir la liste des collaborateurs qu’ils managent avec la liste des logiciels et applications qui leur sont rattachés.

Les managers vont pouvoir accepter ou refuser l’habilitation à chaque collaborateur.

Sans solution d’IAM, vous devrez lister toutes les applications qui sont utilisées par les utilisateurs avec le risque d’en oublier. Vous devrez avoir une liste des managers, la liste des collaborateurs pour chaque manager, la liste des applications pour chaque manager… C’est presque un puits sans fond.

Puis, vous devrez envoyer chaque fichier à chaque manager en passant par du publipostage.

Réaliser un alignement des droits

L’alignement, vous souhaitez vérifier dans votre système d’information, si les utilisateurs ont bien les bons droits et les bons accès par rapport à ce que vous avez défini au préalablement.

Vous allez dans votre solution d’IAM et vous paramétrez pour chaque groupe ce que vous souhaitez comme configuration. Nous utilisons des packages qui convertissent les utilisateurs en comptes et qui vous permettent deux choses :

1. créer automatiquement les comptes utilisateurs suivant votre paramétrage

2. définir un paramétrage afin de donner des informations à la solution d’IAM pour réaliser un alignement des droits par la suite.

La solution va calculer en permanence pour chaque utilisateur tous les comptes qu’il a via la matrice de conversion : d’un côté les comptes réels et de l’autre les comptes calculés. Cela va lui permettre de comparer si ce qui a été défini correspond bien à ce qui est en place.

Par exemple : votre SIRH, qui est source de vérité, dit que Paul est au service marketing et que la solution d’IAM trouve Paul dans le groupe commercial avec notamment des logiciels comme Salesforce, il y a un problème d’alignement. La solution va le ressortir en anomalie, à vous de corriger la situation.

Une solution d’IAM vous facilite le travail, elle calcule et ressort les anomalies.
Chez Youzer, par exemple, vous retrouvez ces remontées d’anomalies très facilement. La solution vous permet de les corriger très rapidement en vous apportant des suggestions.

Cas particulier

Tout le monde n’a pas un schéma simple avec un référentiel RH et un annuaire utilisateurs. Il arrive fréquemment que vous ayez plusieurs sources de données. Par exemple, vous avez un SIRH et des fichiers Excel dans lesquels vous gérez l’ensemble de vos utilisateurs.

Pour réaliser votre revue des habilitations, il est nécessaire d’avoir un référentiel unique des utilisateurs et pour cela il vous faut regrouper toutes les listes internes/externes et les avoir à jour !

L’avantage d’un IAM, c’est que vous pouvez trouver des solutions qui gèrent l’ensemble de vos sources RH pour les traiter et vous apporter un référentiel unique. Sur cette base dite “source de vérité” vous pourrez commencer votre revue des comptes.

La finalité d’une revue des habilitations

Outre l’aspect réglementaire qu’on a déjà abordé, la revue des comptes permet surtout de sécuriser son système d’information.

Cela permet de réaligner les droits de vos utilisateurs, donc de ne pas accorder trop d’accès et par conséquent de limiter les intrusions sur des comptes administrateurs.

Cela vous permet aussi de nettoyer votre fichier utilisateur : doublons, comptes orphelins qui sont autant de risques d’intrusion avec ransomwares.

C’est aussi un accélérateur de décisions. Quand vous avez une carte à jour et propre de votre SI, les décisions sont plus faciles et rapides à prendre.

Comment automatiser sa gestion des habilitations avec un outil d’IAM ?
Mélanie Lebrun
Responsable marketing chez Youzer
lire l'article suivant :
Active Directory : comment donner l’accès à des utilisateurs non techniques ?

Découvrez Youzer, la première plateforme
pour gérer simplement vos utilisateurs et leurs accès

Demander une démoDécouvrir Youzer