La Gestion des Identités et des Accès est devenue une priorité dans les entreprises. Que ce soit pour des raisons de cybersécurité, ou d'automatisation, l'IAM devient un incontournable de la DSI.
💡 : il est possible d'écouter cet article ! Retrouvez l'audio en bas de page 🎧
Vous n’avez pas le temps de tout lire ? Voici un résumé. 👇
L'IAM comprend plusieurs points à maîtriser dans la gestion des identités : l’arrivée et le départ des collaborateurs, les mouvements internes. Ces points sont fondamentaux car ils entraînent si cela est mal maîtrisé des frustrations chez les utilisateurs et des comptes fantômes. Pour éviter cela, une réconciliation, c’est-à-dire, lier les comptes (IT) avec les utilisateurs (RH), est nécessaire. C’est en cela que la mise en place d’un IAM est utile car vous allez gagner en automatisation avec des workflows, en autonomie des utilisateurs avec du self-service, en gestion des droits utilisateurs durant les mouvements internes.
C’est en cela que la mise en place d’un IAM est utile car vous allez gagner en automatisation avec des workflows, en autonomie des utilisateurs avec du self-service, en gestion des droits utilisateurs durant les mouvements internes.
L’acronyme IAM signifie Identity and Access Management.
En français, il est souvent traduit par Gestion des Identités et des Accès (GIA).
L’Identity and Access Management est un ensemble de processus mis en place par le département IT pour la gestion des habilitations des utilisateurs (qui peuvent être des collaborateurs, des prestataires, des intérimaires…) afin de réglementer l’accès au réseau et aux applications cloud.
Avec l’explosion ces dernières années du nombre de logiciels utilisés en entreprise et la mobilité des collaborateurs qui s’accélère, la gestion des identités et des accès est plus que jamais nécessaire dans une entreprise.
On peut résumer l’IAM comme étant un processus permettant d’adapter les droits d’accès ou les habilitations des utilisateurs de l’entreprise en fonction de leur rôle, de leur fonction ou de leur responsabilité hiérarchique.
Comme M. Jourdain qui faisait de la prose sans le savoir, vous avez certainement déjà une gestion des identités et des accès dans votre entreprise.
Même si vous n’êtes pas familier de l’acronyme IAM : lorsqu’un collaborateur arrive dans votre entreprise, vous lui créez ses accès sur les différents logiciels avec les bons droits pour qu’il puisse travailler. Cette étape de création des comptes est toujours réalisée, car il s’agit de la seule étape nécessaire au fonctionnement “métier” de l’entreprise. Le collaborateur a besoin d’outils pour travailler, ces outils sont donc réclamés par le manager ou le nouveau collaborateur lui-même auprès du service IT.
Il y a un peu plus de 10 ans, il fallait simplement créer le compte Active Directory du nouveau collaborateur ainsi que sa boîte mail. La suite du processus de son onboarding était principalement la préparation de son poste de travail (son pc fixe ou son ordinateur portable) pour lui installer et configurer les différents logiciels.
De nos jours, le poste de travail n’est plus qu’un terminal d’affichage des outils et tout a été mis en œuvre par les DSI pour que le poste de travail ne nécessite que peu de maintenance ou configuration : mise en place de GPO pour le déploiement automatique des logiciels sur les postes, mis en place de postes en VDI (Virtual Desktop Infrastructure), mise à disposition de clients légers, utilisation de serveurs RDS pour le Remote Desktop etc…
La DSI est ainsi davantage concentrée sur les usages plutôt que sur les outils : les services cloud se multiplient et les directions “métier” font naturellement pression pour disposer de différents outils métiers qui se multiplient ainsi dans l’entreprise.
Pour un nouveau collaborateur, ce sont donc plusieurs dizaines d’accès aux différents outils métier qu’il faut lui créer lorsqu’il arrive : son accès aux fichiers, sa boîte mail, sa messagerie instantanée, son accès au CRM, aux outils de reporting, à l’intranet corporate, aux outils de gestion de notes de frais etc…
Ces créations de comptes à l’arrivée d’un collaborateur se font souvent dans la douleur, mais finissent par se faire. De multiples allers-retours sont parfois nécessaires entre le manager, les RH, le service IT etc… pour que le nouveau collaborateur ait bien accès aux bons logiciels dont il a besoin.
Mais cet “onboarding” sur l'aspect l’IAM n’est que la partie visible de l’iceberg, car la gestion des Identités comporte 4 points de pilotage principaux :
Cette étape est généralement réalisée… mais pas forcément correctement. L’ouverture des comptes se fait mais souvent au forceps. Le manager se retrouve ballotté entre les RH et l’IT, les premiers n’ayant pas informé les seconds et les seconds pas toujours prompts à créer les accès. Ces allers-retours créent fréquemment des frictions entre les managers et le service IT.
Ce point est le plus douloureux. Personne n’a “besoin” que les comptes d’un utilisateur qui est parti soit clôturés, personne n’est à l’aise avec la suspension de comptes : “est-ce qu’il ne faut pas attendre ?”, “on peut, peut-être laisser ouvert, le temps de reprendre les dossiers ?”
Et qui supervise cette étape ? La DSI n’est que rarement informée du départ d’un collaborateur, et doit donc faire avec les moyens du bord pour clôturer convenablement les comptes de l’utilisateur qui est parti.
Les processus n’étant pas toujours suivi, la DSI a été obligée de mettre en place une “revue de comptes” à fréquence régulière : il s’agit de parcourir la liste des comptes et de les comparer avec l’effectif “actif” fourni par les RH à un instant donné.
Cet “inventaire” se fait souvent manuellement à base de fichiers Excel que l’on essaye de fusionner entre eux. Il est relativement lourd et ne se fait qu’à fréquence annuelle ou bi annuelle.
Dans cette étape, il y a 2 points : lorsqu’un utilisateur change de poste, il bénéficie de nouvelles applications et de nouveaux droits qui correspondent à sa nouvelle fonction, mais il “perd” également les accès aux logiciels et aux droits de son ancien poste. Autant ce premier point est réalisé correctement (comme pour l’arrivée d’un nouveau collaborateur), autant le second point n’est que très peu réalisé, car il est compliqué : il ne s’agit pas de suspendre un compte, mais d’en modifier les droits, le périmètre d’accès. Par exemple, un commercial qui change de secteur ne doit plus avoir accès aux prospects ou aux clients de son ancien secteur.
Cette étape n’a pas de déclencheur comme l’arrivée ou le départ d’un collaborateur. Il s’agit de la tenue d’un “inventaire des identifiants” de chaque utilisateur pour pouvoir assurer le suivi des points précédents. Mais c’est surtout un point crucial dans la gestion des identités pour surveiller l’ensemble des comptes d’accès et s’assurer qu’ils ont chacun une raison valable d’exister (la principale raison étant qu’ils sont utilisés par tel ou tel utilisateur). Dans un monde idéal, les identifiants correspondent exactement aux utilisateurs, mais il y a les comptes “systèmes”, les comptes partagés, les comptes créés pour tester, les comptes temporaires, etc…
Ces identifiants doivent être inventoriés et identifiés clairement dans un système de gestion des identités et des accès.
C’est grâce à ces 4 points qui définissent l’IAM que l’entreprise, et plus particulièrement son service IT va maîtriser et sécuriser l’identité numérique de ses collaborateurs par une gestion des droits d’accès aux ressources comme les applications, logiciels, dossiers et autres. Elle sera en mesure de suivre le collaborateur de son arrivée à son départ avec toute son évolution dans l’entreprise, impliquant des ajouts, modifications et suppressions de ses droits d’accès.
Ainsi, l’IT et plus largement, les entreprises sont capables de respecter des normes de sécurité et de conformité, d’avoir une meilleure gestion des logiciels, une réduction majeure des failles de sécurité et une lutte efficace contre le shadow it.
Quant aux ressources humaines, elles ont une meilleure approche du collaborateur par un onboarding réussi qui permet d’apporter l’ensemble des ressources dont il a besoin à son arrivée, un suivi de sa carrière et un offboarding maîtrisé.
La gestion des accès informatique répond bien à une sécurisation AAA du protocole informatique. Ce terme un peu barbare reprend le triangle informatique qui est :
Réponse courte : pour savoir qui a accès à quoi.
Les 2 questions suivantes ont l’air anodines mais elles mettent généralement mal à l’aise les DSI car il est très difficile d’y répondre à l’instant T :
De manière générale, les collaborateurs ont accès à un grand nombre d’outils : fichiers, applications, système, services cloud, réseau, base de données, téléphone pro, plateforme virtuelle… Ce qui introduit inévitablement un risque plus élevé de fraude et d’attaque du réseau de l’entreprise. Nous le remarquons d’ailleurs avec des chiffres des cyberattaques alarmants. Que faire ? Verrouiller les ressources de votre entreprise pour n’avoir qu’une petite liste officielle ? Ça serait tout simplement contre-productif. On le voit bien aujourd’hui, les usages changent, les évolutions de comportement comme le télétravail le prouvent, l’entreprise doit s’adapter aux nouveaux usages, notamment portés par le cloud.
Concrètement, l’évolution de ces usages accélère et multiplie les demandes de modifications sur les accès sur les différents logiciels, plateformes cloud etc… ce qui complexifie de manière exponentielle le suivi de ces différents accès.
Pour mener à bien les missions des suivis des identités, la DSI doit déployer des bonnes pratiques, des outils de surveillance, de reporting, de contrôle qui sont très chronophages dans le quotidien.
Un besoin d’automatisation est donc très fort. En cela, l’IAM va considérablement aider le service IT par la mise en place de workflows avec une délégation des validations par les métiers.
Un logiciel d’IAM doit être un outil géré par l’IT mais utilisé par les managers et le service RH.
Les directions IT sont souvent frileuses à l’idée de déléguer une partie de leur métier aux opérationnels : les DSI n’ont pas très envie que les managers gèrent eux-mêmes les créations de comptes pour leurs équipes.
Mais il faut considérer l’analogie suivante : de la même manière qu’il serait contre productif d’appeler son électricien à chaque fois que vous voulez allumer la lumière chez vous, la DSI ne doit pas être sollicitée pour des créations de comptes ou une modification de droits.
La DSI doit en revanche fournir l’interrupteur, c’est-à-dire un système, un logiciel qui permette aux opérationnels d’être autonomes sur les opérations qui concernent leurs équipes.
Les enjeux de l’IAM sont aussi tournés vers une maîtrise des accès informatiques des utilisateurs et de leur identité. Ainsi, on peut enfin “réconcilier” (en comptabilité, on parle de “rapprochement”) les profils utilisateurs de l’Active Directory avec les collaborateurs de l’entreprise.
On peut de cette manière associer le type de poste occupé avec certains logiciels. On met en place une gestion des droits d’accès aux applications qui permet d’attribuer l’accès en fonction du niveau de responsabilité. De cette façon, une des grosses problématiques qui survient durant un audit et qui est : l’accès aux données sensibles de l’entreprise par des personnes extérieures comme les prestataires est-elle maîtrisée ? La réponse est oui.
Chaque manager ayant la possibilité de gérer les accès applications et chaque accès à une plateforme étant monitoré, on maîtrise ses connexions logicielles.
Attention à ne pas faire d’amalgame entre IAM et SSO : de nombreux DSI pensent qu’il est possible de régler la problématique de gestion des identités en mettant en place le Single Sign On pour toutes les applications. L’objectif initial est d’avoir un seul point de gestion des utilisateurs (par exemple Azure Active Directory, Google Workspace ou Okta) et d’y rattacher les autres applications pour que celles-ci s’appuient sur le fournisseur d’identité pour l’authentification.
Cette pratique, plutôt à la mode, embarque 4 inconvénients majeurs :
En résumé, pour les DSI, il est nécessaire d’amener de la flexibilité dans un modèle économique qui en demande constante tout en gérant les outils comme le cloud et le SaaS qui sont les plus complexes à sécuriser. Bien sûr, l’IAM n’est pas une baguette magique et rien ne remplacera les échanges avec les différentes entités pour discuter sur les besoins en applications et partager les bonnes pratiques en matière de sécurité informatique.
⚠️ Attention à ne pas confondre SSO et IAM : ils sont complémentaires mais pas similaires.
Pour mettre en place un système de gestion des identités, il faut suivre ces 4 étapes :
Il s’agit de construire la liste des personnes qui ont une relation contractuelle avec l’entreprise qui est généralement un prérequis pour ouvrir un compte sur un logiciel.
Dans cet annuaire, il faut renseigner les collaborateurs évidemment, mais aussi les autres utilisateurs (intérimaires, prestataires, freelances…).
Cet annuaire ne doit comporter que des personnes “physiques”, et pas de noms génériques, car il s’agit d’identifier le détenteur des comptes qui lui seront affectés.
Ce qui est très important, c’est de maintenir cet annuaire à jour : la connexion à un SIRH est précisément confortable puisqu'elle permet d’avoir en quasi-temps réel la liste des collaborateurs avec leurs dates d’arrivée et de départ, leur manager, etc.
Mais vous pouvez aussi ajouter plusieurs sources de données : des fichiers CSV que mettent à jour et envoient les directions métier, etc.
Certains outils d’IAM vont même jusqu’à détecter directement sur les logiciels les noms et prénoms et ainsi vous alerter ou suggérer des utilisateurs que vous auriez oubliés dans votre annuaire. Vous pouvez ainsi contrôler plus facilement les utilisateurs qui ont été créés “hors système”.
Cet annuaire est un inventaire de tous les logiciels que vous souhaitez superviser, donc a priori de tous les logiciels. Il est parfois également possible de rajouter dans cet annuaire des matériels d’accès comme des badges de sécurité, des clés etc.
Il est nécessaire, comme pour l’annuaire des utilisateurs, que l’inventaire des comptes existants sur chaque logiciel soit fait de manière automatique et régulière.
Pour lister les logiciels, appuyez-vous sur l’architecture des systèmes que vous connaissez, mais il faut par ailleurs que cette liste puisse être évolutive : dès qu’un nouveau logiciel entre dans le radar de la DSI, il faut l’ajouter (manuellement ou automatiquement) dans la liste. La sensibilisation des utilisateurs est importante pour qu’ils signalent les nouveaux logiciels à la DSI et ainsi éviter le shadow it.
Les 2 annuaires précédemment constitués et tenus à jour doivent être “rapprochés”. Il s’agit pour chaque compte, qui par défaut est “orphelin” de le rattacher à un ou plusieurs utilisateurs.
Le premier rapprochement peut se faire manuellement (cette opération est fastidieuse, mais est possible) ou alors automatiquement avec des systèmes intelligents d’association automatiques.
Par la suite, c’est en fonction des demandes de création de comptes que le rattachement se fera automatiquement si vous utilisez un outil d’IAM pour générer les créations de compte.
Cette stratégie doit être faite en collaboration avec les directions métier et même les managers eux-mêmes, car ce sont eux qu’il faut sensibiliser : ils doivent adapter les droits à la stricte nécessité de leurs collaborateurs et pas définir tous les utilisateurs en profil “admin” sur leur logiciel métier sous prétexte que “ça fonctionne très bien comme ça”.
Il est impossible de mettre en place une stratégie digne de ce nom pour l’ensemble des logiciels. D’une part parce que la liste des logiciels évolue tous les jours, et d’autre part parce qu’il est déraisonnable de mettre en place une stratégie pour un logiciel qui ne comporte que 2 comptes et qui font partie de la “longue traîne” de la liste des logiciels utilisés.
Pour finir, voici quelques points importants à retenir :
Il est fondamental de voir l’usage de l’IAM dans son ensemble, il y a la gestion :
Ensuite, il faut bien respecter les étapes de mises en place :
Convaincu par l’IAM ? Vous pouvez faire votre choix en vous aidant de 7 critères qui vous aideront à bien définir vos besoins.
