L’acronyme IAM signifie Identity and Access Management. En français, il est souvent traduit par Gestion des Identités et des Accès (GIA).

L’Identity and Access Management est un ensemble de processus mis en place par le département IT pour la gestion des habilitations des utilisateurs (qui peuvent être des collaborateurs, des prestataires, des intérimaires…) afin de réglementer l’accès au réseau et aux applications de cloud computing.

Vous n’avez pas le temps ? Voici un résumé. 👇

▶️ Un IAM comprend plusieurs points à maîtriser dans la gestion des identités : l’arrivée et le départ des collaborateurs, les mouvements internes. Ces points sont fondamentaux car ils entraînent si cela est mal maîtrisé des frustrations chez les utilisateurs et des comptes fantômes.  Pour éviter cela, une réconciliation, c’est-à-dire, lier les comptes (IT) avec les utilisateurs (RH), est nécessaire.

▶️ C’est en cela que la mise en place d’un IAM est utile car vous allez gagner en :

  • automatisation avec des workflows
  • autonomie des utilisateurs avec du self-service
  • gestion des droits utilisateurs durant les évolutions internes

⚠️ Attention à ne pas confondre SSO et IAM ils sont complémentaires mais pas similaires.

    ▶️ Passons à la mise en place d’un IAM, pour cela il vous faudra réaliser un annuaire complet et régulier de vos utilisateurs, puis de vos logiciels et comptes pour les rapprocher par la suite. Appliquez enfin une politique de droits utilisateurs.

    Sommaire

    Nous allons ainsi traiter 4 points importants pour ces parties.

    Pressez de tout connaître tout de suite ? Découvrez le résumé 👇

    Qu’est-ce que l’identity access management ?

    Avec l’explosion ces dernières années du nombre de logiciels utilisés en entreprise et la mobilité des collaborateurs qui s’accélère, la gestion des identités et des accès est plus que jamais nécessaire dans une entreprise.

    On peut résumer l’IAM comme étant un processus permettant d’adapter les droits d’accès ou les habilitations des utilisateurs de l’entreprise en fonction de leur rôle de leur fonction ou de leur responsabilité hiérarchique.

    Comme M. Jourdain qui faisait de la prose sans le savoir, vous avez certainement déjà une gestion des identités et des accès dans votre entreprise, même si vous n’êtes pas familier de l’acronyme IAM : lorsqu’un collaborateur arrive dans votre entreprise, vous lui créez ses accès sur les différents logiciels avec les bons droits pour qu’il puisse travailler. Cette étape de création des comptes est toujours réalisée car il s’agit de la seule étape nécessaire au fonctionnement “métier” de l’entreprise. Le collaborateur a besoin d’outils pour travailler, ces outils sont donc réclamés par le manager ou le nouveau collaborateur lui-même auprès du service IT.

    Il y a un peu plus de 10 ans, il fallait simplement créer le compte Active Directory du nouveau collaborateur ainsi que sa boîte mail. La suite du processus de son onboarding était principalement la préparation de son poste de travail (son pc fixe ou son ordinateur portable) pour lui installer et configurer les différents logiciels. 

    De nos jours, le poste de travail n’est plus qu’un terminal d’affichage des outils et tout a été mis en oeuvre par les DSI pour que le poste de travail ne nécessite que peu de maintenance ou configuration : mise en place de GPO pour le déploiement automatiques des logiciels sur les postes, mis en place de postes en VDI (Virtual Desktop Infrastructure), mise à disposition de clients légers, utilisation de serveurs RDS pour le Remote Desktop etc…

    La DSI est donc davantage concentrée sur les usages plutôt que sur les outils : les services cloud se multiplient et les directions “métier” font naturellement pression pour disposer de différents outils métiers qui se multiplient ainsi dans l’entreprise.

    Pour un nouveau collaborateur, ce sont donc plusieurs dizaines d’accès aux différents outils métier qu’il faut lui créer lorsqu’il arrive : son accès aux fichiers, sa boîte mail, sa messagerie instantanée, son accès au CRM, aux outils de reporting, à l’intranet corporate, aux outils de gestion de notes de frais etc…

    Ces créations de comptes à l’arrivée d’un collaborateur se font souvent dans la douleur mais finissent par se faire. De multiples allers retours sont parfois nécessaires entre le manager, les RH, le service IT etc… pour que le nouveau collaborateur aie bien accès aux bon logiciels dont il a besoin.

    Gestion arrivée, départ, mouvement et réconciliation

    Mais cet “onboarding” de l’IAM n’est que la partie visible de l’iceberg, car la gestion des Identités comporte 4 points de pilotage principaux :

    1. Gestion des Arrivées : lorsqu’un nouveau collaborateur arrive.

      Cette étape est généralement réalisée… mais pas forcément correctement. L’ouverture des comptes se fait mais souvent au forceps. Le manager se retrouve balloté entre les RH et l’IT, les premiers n’ayant pas informé les seconds et les seconds pas toujours prompts à créer les accès. Ces allers-retour créent souvent des frictions entre les managers et le service IT.

    2. Gestion des Départs : lorsqu’un collaborateur quitte l’entreprise.

      Ce point est le plus douloureux. Personne n’a “besoin” que les comptes d’un utilisateur qui est parti soit clôturés, personne n’est à l’aise avec la suspension de comptes : “est ce qu’il ne faut pas attendre ?”, “on peut peut être laisser ouvert, le temps de reprendre les dossiers ?”
      Et qui est en charge de cette étape ? La DSI n’est que rarement informée du départ d’un collaborateur, et doit donc faire avec les moyens du bord pour clôturer convenablement les comptes de l’utilisateur qui est parti.
      Les processus n’étant pas toujours suivi, la DSI a été obligée de mettre en place une “revue de comptes” à fréquence régulière : il s’agit de parcourir la liste des comptes et de les comparer avec l’effectif “actif” fourni par les RH à un instant donné.
      Cet “inventaire” se fait souvent manuellement à base de fichiers excel que l’on essaye de fusionner entre eux. Il est relativement lourd et ne se fait qu’à fréquence annuelle ou biannuelle.

    3. Gestion des Mouvements : lorsqu’un collaborateur bénéficie d’une mobilité interne

      Dans cette étape il y a 2 points : lorsqu’un utilisateur change de poste, il bénéficie de nouvelles applications et de nouveaux droits qui correspondent à sa nouvelle fonction, mais il “perd” également les accès aux logiciels et aux droits de son ancien poste. Autant ce premier point est réalisé correctement (comme pour l’arrivée d’un nouveau collaborateur), autant le second point n’est que très peu réalisé car il est compliqué : il ne s’agit pas de suspendre un compte mais d’en modifier les droits, le périmètre d’accès. Par exemple un commercial qui change de secteur ne doit plus avoir accès au prospects ou aux clients de son ancien secteur.

    4. Réconciliation : l’analyse de cohérence des accès actifs

      Cette étape n’a pas de déclencheur comme l’arrivé ou le départ d’un collaborateur. Il s’agit de la tenue d’un “inventaire des identifiants” de chaque utilisateur pour pouvoir assurer le suivi des points précédents. Mais c’est surtout un point crucial dans la gestion des identités pour surveiller l’ensemble des comptes d’accès et s’assurer qu’ils ont chacun une raison valable d’exister (la principale raison étant qu’ils sont utilisés par tel ou tel utilisateur). Dans un monde idéal, les identifiants correspondent exactement aux utilisateurs, mais il y a les comptes “systèmes”, les comptes partagés, les comptes créés pour tester, les comptes temporaires etc…

    Ces identifiants doivent être inventoriés et identifiés clairement dans un système de gestion des identités et des accès.

    Gouvernance des identités

    C’est grâce à ces 4 points qui définissent l’IAM que l’entreprise, et plus particulièrement son service IT va maîtriser et sécuriser l’identité numérique de ses collaborateurs par une gestion des droits d’accès aux ressources comme les applications, logiciels, dossiers et autres. Elle sera en mesure de suivre le collaborateur de son arrivée à son départ avec toute son évolution dans l’entreprise, impliquant des ajouts, modifications et suppressions de ses droits d’accès.

    Ainsi, l’IT et plus largement, les entreprises sont en mesure de respecter des normes de sécurité et de conformité, d’avoir une meilleure gestion des logiciels, une réduction majeure des failles de sécurité et une lutte efficace contre le shadow it.

    Quant aux ressources humaines, elles ont une meilleure approche du collaborateur par un onboarding réussi qui permet d’apporter l’ensemble des ressources dont il a besoin à son arrivée, un suivi de sa carrière et un offboarding maîtrisé.

    La gestion des accès informatique répond bien à une sécurisation AAA du protocole informatique. Ce terme un peu barbare reprend le triangle informatique qui est :

    • Authentification : gérer l’authentification des utilisateurs donc la gestion des identités. On peut formaliser cela par la question : “est ce que l’utilisateur a une relation contractuelle avec l’entreprise ?”. Cette relation contractuelle peut être sous la forme d’un contrat de travail mais aussi d’un contrat de prestation de service, de sous traitance, d’intérim…

    • Autorité : vérifier la légitimité de cet utilisateur à aller sur cette ressource avec ce niveau d’autorisation.

    • Audit/traçabilité : auditer et suivre tous les évènements autour de cette identité. L’utilisateur était parfaitement identifié et contrôlé il est donc possible de connaître son utilisation des ressources. Tout est inscrit, donc auditable.
    AAA authentification, autorisation, audit

    Pourquoi avoir besoin de mettre en place des solutions pour gérer l’IAM informatique ?

    Réponse courte : pour enfin savoir qui a accès à quoi.

    Les 2 questions suivantes ont l’air anodines mais elles mettent généralement mal à l’aise les DSI car il est très difficile d’y répondre à l’instant T :

    • Connaissez-vous la totalité des ressources auxquelles vos collaborateurs ont accès ?
    • Maitrisez-vous l’éligibilité aux accès des ressources de chaque collaborateur en fonction de son niveau de responsabilité ? Est-ce que l’accès au logiciel est approprié pour ce qu’il a l’intention d’en faire ? Pour son niveau hiérarchique ?

    De manière générale, les collaborateurs ont accès à un grand nombre d’outils : fichiers, applications, système, services cloud, réseau, base de données, téléphone pro, plateforme virtuelle… Ce qui introduit inévitablement un risque plus élevé de fraude et d’attaque du réseau de l’entreprise. Nous le remarquons d’ailleurs avec des chiffres des cyberattaques alarmants. Que faire ? Verrouiller les ressources de votre entreprises pour n’avoir qu’une petite liste officielle ? Ça serait tout simplement contre-productif. On le voit bien aujourd’hui, les usages changent, les évolutions de comportement comme le télétravail le prouvent, l’entreprise doit s’adapter aux nouveaux usages notamment portés par le cloud.

    Concrètement, l’évolution de ces usages accélère et multiplie les demandes de modifications sur les accès sur les différents logiciels, plateformes cloud etc… ce qui complexifie de manière exponentielle le suivi de ces différents accès.

    Pour mener à bien les missions des suivi des identités, la DSI doit déployer des bonnes pratiques, des outils de surveillance, de reporting, de contrôle qui sont très chronophages dans le quotidien.

    Un besoin d’automatisation est donc très fort. En cela l’IAM va considérablement aider le service IT par la mise en place de workflow avec une délégation des validations par les métiers

    Un logiciel d’IAM doit être un outil géré par l’IT mais utilisé par les managers et le service RH.

    Les directions IT sont souvent frileuses à l’idée de déléguer une partie de leur métier aux opérationnels : les DSI n’ont pas très envie que les managers gèrent eux-mêmes les créations de comptes pour leurs équipes.

    Mais il faut considérer l’analogie suivante : de la même manière qu’il serait contre productif d’appeler son électricien à chaque fois que vous voulez allumer la lumière chez vous, la DSI ne doit pas être sollicitée pour des création de comptes ou une modification de droits.

    La DSI doit en revanche fournir l’interrupteur, c’est à dire un système, un logiciel qui permette aux opérationnels d’être autonomes sur les opérations qui concernent leurs équipes.

    Les enjeux de l’IAM sont aussi tournés vers une maîtrise des accès informatique des utilisateurs et de leur identité. Ainsi on peut enfin “réconcilier” (en comptabilité on parle de “rapprochement”) les profils utilisateurs de l’Active Directory avec les collaborateurs de l’entreprise. 

    On peut de cette manière associer le type de poste occupé avec certains logiciels. On met en place une gestion des droits d’accès aux applications qui permet d’attribuer l’accès en fonction du niveau de responsabilité. De cette façon, une des grosses problématiques qui survient durant un audit et qui est : l’accès aux données sensibles de l’entreprises par des personnes extérieures comme les prestataires est-elle maîtrisée ? La réponse est oui. 

    Chaque manager ayant la possibilité de gérer les accès applications et chaque accès à une plateforme étant monitoré, on maîtrise ses connexions logiciels.

    Attention à ne pas faire d’amalgame entre IAM et SSO : de nombreux DSI pensent qu’il est possible de régler la problématique de gestion des identité en mettant en place le Single Sign On pour toutes les applications. L’objectif initial est d’avoir un seul point de gestion des utilisateur (par exemple Azure Active Directory, GSuite ou Okta) et d’y rattacher les autres applications pour que celles-ci s’appuient sur le fournisseur d’identité pour l’authentification.

    Cette pratique, plutôt à la mode, embarque 4 inconvénients majeurs :

    1. Le risque de sécurité lié à l’authentification repose sur un point central qui est le fournisseur d’identité qui devient un point de vulnérabilité.

    2. Le SSO apporte un confort pour l’utilisateur qui n’a plus qu’un mot de passe à gérer et ce mot de passe devient également un point de vulnérabilité car il donne accès à tout.

    3. Le SSO ne permet pas (encore) de gérer les niveaux d’autorisation sur les différents logiciels qui y sont rattachés. Cette gestion doit se faire sur chaque logiciel, ce qui diminue l’intérêt d’utiliser un annuaire central si ensuite les ajustement doivent se faire de manière unitaire sur chaque compte de chaque logiciel.

    4. Le SSO ne couvre actuellement que les logiciels compatibles. Les logiciels les plus importants sont intégrables (Office 365, Salesforce, Gsuite…) mais pas les dizaines ou centaines d’autres applications métier utilisés dans l’entreprise. Le “Single” de l’acronyme “Single Sign On” n’est donc qu’un voeu pieu.

    En résumé pour les DSI, il est nécessaire d’amener de la flexibilité dans un modèle économique qui en demande constamment tout en gérant les outils comme le cloud et le SaaS qui sont les plus complexes à sécuriser. Bien sûr, l’IAM n’est pas une baguette magique et rien ne remplacera les échanges avec les différentes entités pour échanger sur les besoins en applications et partager les bonnes pratiques en matière de sécurité informatique.

    Concrètement comment met-on en place une gestion des identités ?

    Pour mettre en place un système de gestion des identités, il faut suivre ces 4 étapes :

    réconciliation des utilisateurs entre RH et IT

    1. Annuaire des utilisateurs

    Il s’agit de construire la liste des personnes qui ont une relation contractuelle avec l’entreprise qui est généralement un prérequis pour ouvrir un compte sur un logiciel.

    Dans cet annuaire, il faut renseigner les collaborateurs évidemment mais aussi les autres utilisateurs (intérimaires, prestataires, freelances…).

    Cet annuaire ne doit comporter que des personnes “physiques”, et pas de noms génériques car il s’agit d’identifier le détenteur des comptes qui lui seront affectés.

    Ce qui est très important, c’est de maintenir cet annuaire à jour : la connexion à un SIRH est évidemment confortable car elle permet d’avoir en quasi temps réel la liste des collaborateurs avec leur dates d’arrivée et de départ, leur manager etc…

    Mais vous pouvez aussi ajouter plusieurs sources de données : des fichiers csv que mettent à jour et envoient les directions métier, etc…

    Certains outils d’IAM vont même jusqu’à détecter directement sur les logiciels les noms et prénoms et ainsi vous alerter ou suggérer des utilisateurs que vous auriez oublié dans votre annuaire. Vous pouvez ainsi contrôler plus facilement les utilisateurs qui ont été créés “hors système”.

    2. Annuaire des logiciels et des comptes

    Cet annuaire est un inventaire de tous les logiciels que vous souhaitez superviser, donc a priori de tous les logiciels. Il est parfois également possible de rajouter dans cet annuaire des matériels d’accès comme des badges de sécurité, des clés etc…

    Il est nécessaire, comme pour l’annuaire des utilisateurs, que l’inventaire des comptes existants sur chaque logiciel soit fait de manière automatique et régulière.

    Pour lister les logiciels, appuyez vous sur l’architecture des systèmes que vous connaissez mais il faut également que cette liste puisse être évolutive : dès qu’un nouveau logiciel entre dans le radar de la DSI, il faut l’ajouter (manuellement ou automatiquement) dans la liste. La sensibilisation des utilisateurs est importante pour qu’ils signalent les nouveaux logiciels à la DSI et ainsi éviter le shadow it.

    3. Rapprocher les 2 annuaires

    Les 2 annuaires précédemment constitués et tenus à jour doivent être “rapprochés”. Il s’agit pour chaque compte, qui par défaut est “orphelin” de le rattacher à un ou plusieurs utilisateurs. Le premier rapprochement peut se faire manuellement (cette opération est fastidieuse mais est possible) ou alors automatiquement avec des systèmes intelligents d’association automatiques. Par la suite, c’est en fonction des demandes de création de comptes que le rattachement se fera automatiquement si vous utilisez un outil d’IAM pour générer les créations de compte.

    4. Définir la stratégie d’attribution des comptes et des droits

    Cette stratégie doit être faite en collaboration avec les directions métier et même les managers eux-mêmes, car ce sont eux qu’il faut sensibiliser : ils doivent adapter les droits à la stricte nécessité de leurs collaborateurs et pas définir tous les utilisateurs en profil “admin” sur leur logiciel métier sous prétexte que “ça fonctionne très bien comme ça”.

    Il est impossible de mettre en place une stratégie digne de ce nom pour l’ensemble des logiciels. D’une part parce que la liste des logiciels évolue tous les jours, et d’autre part parce qu’il est déraisonnable de mettre en place une stratégie pour un logiciel qui ne comporte que 2 comptes et qui font partie de la “longue traîne” de la liste des logiciels utilisés.

    Pour finir, voici quelques points importants à retenir :

    Il est fondamental de voir l’usage de l’IAM dans son ensemble, il y a la gestion :  

    • des arrivées bien connue de tous,
    • des départs beaucoup moins plaisante mais très importante en terme de sécurité,
    • des mouvements, le suivi du collaborateur dans son parcours professionnel difficilement traité actuellement,
    • des réconciliations, le rapprochement entre compte utilisateur et les accès sur une application.

    Ensuite il faut bien respecter les étapes de mises en place :

    • Un annuaire des utilisateurs que vous pouvez avoir par un lien avec les RH
    • Un annuaire des logiciels et des comptes
    • Faire un rapprochement entre les deux annuaires, c’est l’étape importante qui permet d’avoir une bonne vision sur la sécurité interne de l’IT
    • Définir sa gestion des identités et des accès !
    François Poulet CEO Youzer

    François Poulet

    Product manager


    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

    By continuing to use the site, you agree to the use of cookies. more information

    The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

    Close