La gestion des accès des utilisateurs au système d’information connaît ces dernières années un succès croissant, guidé par des besoins de sécurité, de productivité et d’amélioration de l’ergonomie du poste de travail.
Depuis les besoins structurels des entreprises en matière de gestion des accès, jusqu’aux faits divers médiatisés ou restés confidentiels, tout milite pour une meilleure prise en compte des problématiques de l’IAM (Identity and Access Management) dans l’organisation de l’entreprise.
Comment donc accompagner l’utilisateur durant son cycle de vie dans l’entreprise, et gérer efficacement les évènements qui y ponctuent son existence:
- Des changements de métier,
- De biens agréables promotions influant sur les fonctions et attributions du collaborateur,
- Des envies d’expatriation, de congés sans solde,
- Des restructurations de l’entreprise,
- Etc.
Les organisations s’attachent bien souvent à gérer les besoins statiques des populations à comportement maîtrisé, ou à gérer des demandes explicites de changement.
Mais la détection des évènements implicites de la vie d’un collaborateur, générateurs de changement, est souvent bien moins traitée.
Comment être en mesure d’assurer, dans la masse dense et hétérogène du système d’information, une cohérence voire une maîtrise des droits d’accès?
L’approche fournissant les meilleurs résultats s’articule selon une démarche à deux volets:
- Un volet “accompagnement”, qui s’intéresse à la conduite du changement,
- Un volet “contrôle”, qui s’intéresse à l’auditabilité et la conformité des accès.
Si le second volet est un grand classique – avec des solutions novatrices de Role Management et de Compliance -, le premier connaît une transformation de fond depuis peu pour s’inscrire dans la stucture même des processus d’entreprise.
La structuration des processus de production informatique, notamment à travers la généralisation d’ITIL, trouve sa résonnance dans le domaine de l’IAM à travers la gouvernance des processus d’identités.
Comme nous l’écrivions plus haut, il s’agit bien ici d’accompagner l’utilisateur durant son cycle de vie dans l’entreprise, en se dotant des processus et outils le permettant.
Des processus pour:
- Etre garant d’une prise en compte systématique des évènements,
- Déclencher et dérouler les processus normalisés d’entreprise,
- Impliquer tous les acteurs du changement (au niveau des métiers, des responsables fonctionnels et techniques, des respoonsables budgétaires, etc.).
Des outils pour:
- Constituer et disposer des référentiels d’information présentant une information juste,
- Réaliser les circuits de Workflow en gérant les backups, escalades, délégation,
- Réaliser les mises à jour ou solliciter leur réalisation.
Ceci passe par la constitution d’une organisation adaptée et la mobilisation des ressources et moyens nécessaires.
Nous parlons ici de cartographie des processus et de leurs évolutions (harmonisation, refonte, autres).
Nous parlons ici de redéfinition des périmètres de responsabilité.
A l’heure du bilan de la seconde génération des solutions de gestion des identités et des accès, la gouvernance des processus d’identité constitue bien le principal bénéfice qui a donné les moyens aux Directions Informatiques d’encadrer l’accès au système d’information et qui a modifié la perception composite/chaotique que l’utilisateur pouvait en avoir.
A l’instar des solutions de sécurité réseau, la troisième génération des solutions de gestion des identités et des accès s’intéresse à la dé-périmétrisation des accès et des processus.
Mais ceci fera probablement l’objet d’un article à part entière.
(4 votes)
Loading ...