Par le passé, les logiciels étaient on premise, ils n’étaient pas nombreux et certains n’avaient même pas de connexion avec internet.
Aujourd’hui, chaque collaborateur détient un grand nombre d’applications (il est difficile de donner une moyenne car cela dépend de la taille de l’entreprise et du secteur d’activité) et la gestion des accès devient un casse-tête pour la DSI.
La cybercriminalité est très élevée et chaque accès accordé devient une porte d’entrée dans l’entreprise si on ne les paramètre pas correctement.
Par exemple, pouvez-vous assurer aujourd’hui qu’il n’existe aucun accès ouvert avec des utilisateurs partis ? Ou pouvez-vous être sûr que chaque utilisateur est bien configuré avec le bon groupe de sécurité et les accès qui en découlent ?
La gouvernance et l’administration des identités permettent d’assurer l'accès des utilisateurs aux ressources du système d'information (systèmes, applications et données) en accord avec leur rôle et les besoins professionnels, avec le bon dosage.
Cela permet d’améliorer la visibilité sur les privilèges, de contrôler et gérer les identités et les accès, d’apporter une traçabilité aux actions et de gérer le cycle de vie des utilisateurs.
L’IGA fonctionne de la sorte : elle centralise les informations provenant de plusieurs sources (RH, applications, IT) et recense les droits puis s’applique à en assurer le respect.
Une solution d’IGA informatique prend en charge des logiciels en SaaS ou on premise, les droits et les accès doivent être gérés finement.
Je vous l’ai présenté en introduction, les entreprises se sont fortement digitalisées et la période Covid a marqué une multiplication des solutions SaaS.
Les cyberattaques sont permanentes et en augmentation, les failles de sécurité en interne se multiplient avec l’augmentation des applications par utilisateur. Les process des services informatiques se complexifient.
Les solutions SaaS sont faciles à installer dans l’entreprise, ce qui peut créer du shadow IT si cette pratique est réalisée en dehors du domaine de l’informatique. Les droits accordés sont souvent très larges et la gestion des licences est difficile à maintenir.
Le BYOD, Bring Your Own Device, est plébiscité par les utilisateurs mais nécessite une grande maîtrise par la DSI.
Les budgets à l’informatique ont tendance à augmenter mais il faut être fin stratège pour équilibrer d’un côté les besoins des utilisateurs (dans un objectif de productivité) et de l’autre les besoins de sécurité afin de superviser le SI.
Enfin, sur la partie, sécuritaire, les audits sont demandés dans plusieurs secteurs et une mise en conformité doit être réalisée, ce qui nécessite de procéder à des revues de comptes et d’avoir une vision précise de son système d’information à un instant T.
Cela permet de :
2 explications à ce supplice :
L'Identity and Access Management (IAM) se concentre sur la gestion des accès et des identités des utilisateurs dans un système informatique, tandis que l'Identity Governance and Administration (IGA) se concentre sur la gestion et la surveillance des politiques d'identité et d'accès au niveau de l'entreprise. IAM et IGA sont souvent utilisés ensemble pour assurer un contrôle centralisé et cohérent des accès et des identités au sein d'une entreprise. L'IAM fournit les mécanismes techniques pour contrôler les accès, tandis que l'IGA définit les politiques et les processus pour déterminer qui a accès à quoi, et sous quelles conditions.
L’IGA est une branche de l’IAM = la partie administrative et non la partie technique
L’IAM regroupe l’accès aux serveurs et aux applications, l’authentification, le SSO, le MFA, l’administration de l’Active Directory, le web access management et la fédération des identités, les fonctionnalités administratives.
L’IAM c’est la partie invisible qui permet de mettre en place les grands paramétrages, la partie IGA est la partie visible qui permet de gérer les automatisations, les connexions.
N’avoir que la partie technique de l’IAM risque d’être très difficile à utiliser sans la partie IGA.
L’IAM et L’IGA permettent d’établir un référentiel unique des identités et un référentiel unique des applications.
Pour l’GIA il s’agit de la traduction française de l’IAM : Identity and Access Management = Gestion des Identités et des Accès.
Je vais aborder cette partie en incluant un fonctionnement avec un IAM car l’IGA ne peut pas vraiment fonctionner sans la structure de la gestion des identités et des accès.
Un IGA permet d’optimiser le cycle de vie des utilisateurs, de gérer les provisionings et les déprovisionings et de mettre en lumière les failles de sécurité.
Pour cela, il est nécessaire que la solution se connecte à vos différentes applications et à vos différentes sources RH.
Les connecteurs jouent donc un grand rôle. Ils permettent de lire et d’écrire (selon leur paramétrage, uniquement lire parfois) dans les applications les informations de paramétrage pour que les utilisateurs aient accès aux bonnes fonctionnalités avec les bons droits.
Une solution d’IGA en complément avec un IAM est là pour assurer une automatisation des processus, une fiabilité des actions et des informations.
Lorsque le SIRH (ou source RH) et l’ensemble des connecteurs (AD ou annuaire utilisateurs, Microsoft 365, Google Worspace, Exchange, Salesforce…) effectuent des échanges d’information bidirectionnelle avec la solution IGA, cela permet de centraliser les informations de comptes, d’utilisateurs et d’applications.
Lorsqu’on parle d’échange bidirectionnel, cela signifie que la solution permet les provisionings de comptes au moment des arrivées et les deprovisionings de comptes au moment des départs.
Le recoupement des informations RH et IT permet d’établir un référentiel unique d’utilisateurs et un référentiel unique de comptes.
L’intérêt de l’IGA est d’automatiser ces actions de centralisation et de recoupement d’information. Par la suite, quand tout est correctement mis en place, on peut passer à l’étape des workflows pour créer des suites d’actions dans un contexte d’onboarding ou d’offboarding.
Les principales fonctionnalités d’un outil d’Identity governance and administration sont :
Ces fonctionnalités ont un intérêt fort car elles permettent de :
Les entreprises sont tenues d’avoir un système d’information performant en étant en conformité avec les obligations légales (procédures de contrôle interne, RGPD), en ayant un SI sécurisé, disponible, fiable.
Pour assurer la sécurité, l’entreprise doit maîtriser la gestion des droits d’accès, la gestion des habilitations entre autre.
Pour cela, une revue des comptes est à réaliser, cette revue consiste à réconcilier les utilisateurs à leurs comptes. Cela implique un recoupement de l’ensemble des sources RH et des utilisateurs dans un premier temps. Il faudra faire attention aux mouvements en cours (arrivée, départ, changement de post).
Puis dans un second temps, il faudra extraire l’ensemble des comptes et les relier aux utilisateurs.
Il y aura un travail de dédoublonnage à réaliser et de suspension/suppression des comptes pour les utilisateurs partis.
Le temps de réaliser ce travail, le résultat sera déjà caduc, car des mouvements utilisateurs et des provisionings et déprovisionings auront eu lieu.
Un IGA et un IAM ont cet avantage d’automatiser les synchronisations RH/IT et d’obtenir une revue de compte immédiate.
Les groupes de sécurité sont définis sur l’AD et importés dans la solution d’IGA ce qui permet de vérifier les alignements.
Le système doit aussi pouvoir gérer l’attribution temporaire des droits. Ce qui permettra de ne pas créer de failles de sécurité dans le cas d’octroi de droits ou d’accès temporaires.
Autres points, qui facilitent la gestion de la sécurité du système d’information :
Un système d’Identity Governance and Administration couplé à un système de Identity and Access Management plus global permettra d’assurer plusieurs points cruciaux pour l’entreprise et assurer sa sécurité.
L’IGA sera vraiment la surcouche visible mais elle a besoin de sa sous-couche invisible qui permettra la synchronisation entre les données RH et les données IT nécessaire pour l’automatisation des provisioning et deprovisioning.
Un système d’IGA doit vous aider dans votre gestion quotidienne, la simplicité d’usage doit être un élément central.
