Pierre-Antoine Blondel

J’ai lu il y a peu un article sur les nouvelles du net, titré « Un projet d’IAM, c’est cher, long et peu profitable » (voir http://www.lesnouvelles.net/articles/business/iam-cher-long-et-peu-profitable-selon-idc).

Cela doit faire près de 7 ans que je vends des projets IAM (Identity & Access Management, Gestion des Identités et des Accès) au sein de Devoteam, vous devinez que l’article m’a quelque peu interpellé… !

« Cher », « long » et « peu profitable », voilà trois sentences qui méritent bien qu’on y accorde un peu d’attention.

Les problématiques que cet article soulève, et notamment son titre – un tantinet provocateur – sont en effet d’importance, car elles résument les enjeux que nous travaillons systématiquement avec nos clients durant les phases d’avant-projet ou d’avant-vente, afin de construire le business case du projet IAM :
- Quels sont les drivers du projet ?
- Y’a-t-il des retours sur investissement à en attendre et lesquels ?
- Comment structurer le projet : quel lotissement, quel planning ?
- Jusqu’où aller et où s’arrêter ?

J’avoue que je ne vois plus de clients partir la fleur au fusil sur des projets et qu’ils ont même tendance à se montrer très soucieux de visibilité sur les bénéfices attendus d’un projet IAM et sur tous les types d’efforts à fournir pour y arriver : investissements économiques, humains et organisationnels. 

A la lecture de l’article, « cher » semble être intimement lié à « long » (lire l’article); par ailleurs, la logique de l’ensemble semble indiquer que « cher » et « long » sont les éléments constitutifs du « peu profitable ».

Finalement, on pourrait synthétiser la problématique par : « est ce qu’un projet IAM est peu profitable ? ».

C’est d’ailleurs la question que posent tous les clients que je rencontre depuis des années : le retour sur investissement d’un projet IAM !

Afin de répondre à cette question, il est nécessaire de revenir un instant sur les fondamentaux de ce qu’est un projet IAM, au risque sinon de ne pas comprendre les paramètres de l’équation.

Ce projet réunit différents types d’enjeux :
- La sécurité du SI en tout premier lieu, à travers la capacité à maîtriser les accès des utilisateurs et à en garantir la conformité, tant en termes de processus et de procédures que de réglementations,
- L’industrialisation d’une gestion complexe, à travers l’automatisation de tout – le maximum surtout ! –  le récurrent et la « dé technicisation » des demandes et des droits d’accès,
- L’amélioration de la qualité de service offerte aux utilisateurs, afin de professionnaliser et fluidifier cette partie sensible que sont les besoins et demandes d’accès.

Vis-à-vis de ces enjeux, il existe plusieurs « recettes » d’implémentation d’une solution IAM pour chaque client, qui vont se construire à partir des ingrédients suivants :
- Les besoins de sécurité, de production et d’ergonomie utilisateurs,
- Le périmètre à couvrir et l’éligibilité des applications à y intégrer en fonction de critères d’utilisation et de volume, ainsi que de critères économiques et de productivité,
- Le lotissement permettant d’apporter des bénéfices visibles, périodiques, en évitant les effets tunnels de projets qui tardent à délivrer et dont la conception peut à la longue devenir caduque,
- Le retour sur investissement, par l’automatisation du récurrent, les économies sur les services de support, etc.

Lorsque je relis ces dernières lignes, j’ai la conviction que tout ceci tient du bon sens commun, mais je vois encore des projets IAM se lancer sur des périmètres exubérants, sans lotissement itératif « intelligent » permettant de progresser, d’adapter, de faire en sorte que la vie de la solution en production fasse mûrir les guidelines des lots ultérieurs.

Je ne recommande que trop, notamment à la lecture de l’article des nouvelles du net, que le cadrage de projets IAM construise un business case du projet clair et partagé :
- De quoi ai-je réellement besoin, d’une voiture ou d’une limousine ?
- Ai-je besoin de tout maintenant ou est-il pertinent de décomposer ?
- Dois-je prendre du prêt-à-porter que j’adapterais et auquel je m’adapterais, ou dois-je faire un développement spécifique « haute-couture » ?
- Combien ca me coûte, que cela me rapporte t-il , et surtout que cela me permet-il d’économiser ?

Les projets IAM, « longs » ? Ce sont des projets entre 1 et 3 ans, selon le périmètre…

Les projets IAM, « peu profitables » ? Non, définitivement non…

Travaillons sur le cadrage de votre projet et construisons le Business Model d’un projet IAM profitable.

Olivier Caleff

Je suis collectionneur de filoutages, et j’ai validé il y a peu la découverte de mon 666ème site de phishing.

Pour moi, cela a commencé comme un “jeu” courant 2003 : détecter des phishings dans la centaine de spams que je recevais à l’époque.

Le phishing est une forme d’attaque informatique qui consiste à soutirer des renseignements personnels à une personne et lui faisant croire qu’elle est mise en relation avec le site Web d’un tiers de confiance, tel celui de sa banque, de son opérateur téléphonique ou de sa messagerie électronique. L’objectif est ensuite d’utiliser ces informations pour perpétrer des actes malveillants basés sur l’usurpation d’identité. Il se fait la plupart du temps par l’intermédiaire du courrier électronique, qui amène la (future) victime vers un site Web falsifié et usurpant l’identité d’un site Web officiel.

Lire la suite de l’article »

Pierre-Antoine Blondel

La gestion des accès des utilisateurs au système d’information connaît ces dernières années un succès croissant, guidé par des besoins de sécurité, de productivité et d’amélioration de l’ergonomie du poste de travail.

Depuis les besoins structurels des entreprises en matière de gestion des accès, jusqu’aux faits divers médiatisés ou restés confidentiels, tout milite pour une meilleure prise en compte des problématiques de l’IAM (Identity and Access Management) dans l’organisation de l’entreprise.

Comment donc accompagner l’utilisateur durant son cycle de vie dans l’entreprise, et gérer efficacement les évènements qui y ponctuent son existence:
- Des changements de métier,
- De biens agréables promotions influant sur les fonctions et attributions du collaborateur,
- Des envies d’expatriation, de congés sans solde, 
- Des restructurations de l’entreprise,
- Etc.

Lire la suite de l’article »

Olivier Caleff

Ce n’est que lorsque “les autres” ont des problèmes que l’on se demande ce que l’on ferait … si cela arrivait “à nous aussi“.

Prenons comme cas d’école, celui d’un incident grave ou d’une crise affectant une société concurrente ou un partenaire, et mettons nous dans la situation d’un responsable informatique ou d’un dirigeant de l’entreprise qui se dit … “et pour nous ?”.

Voici donc un premier exemple d’approche rapide basée sur 5 questions visant à établir un diagnostic. Lire la suite de l’article »

Jean-Marc Boursat

Depuis quelques années les solutions de virtualisation ont fait leur apparition et pour des raisons essentiellement économiques, la tendance à virtualiser les infrastructures informatiques va perdurer.Les avantages de la virtualisation d’une infrastructure sont nombreux, comme ceux évoqués lors de rencontre d’experts [1]. Moins sérieusement, un des partenaires de VmWare propose une application flash qui calcule les gains (réels ?) à virtualiser des serveurs [2].

D’un point de vue sécurité, il est avantageux de virtualiser les environnements obsolètes afin de limiter les impacts des crashs logiciels ou matériels. Beaucoup d’entreprises ont des logiciels “maisons” qui ne sont plus maintenus et qui ne tournent que sur des OS non maintenus. Le coût de la virtualisation est souvent moins élevé que le re-développement de ces applications. Les problèmes de sécurité ne sont pas résolus par la virtualisation mais il est possible de mieux contrôler l’environnement virtuel. Lire la suite de l’article »

Jean-Marc Boursat

Les besoins ou les demandes des utilisateurs vont vers plus de mobilité et plus de facilité pour accéder aux ressources nécessaires à leur fonction. Bill Gates expliquait dans une interview parue dans l’Express le concept de cloud computing qui consiste à stocker les données des utilisateurs sur des serveurs centraux afin de les rendre accessibles depuis différents terminaux. Le futur retraité de Microsoft expliquait que ce concept implique un changement fondamental sur l’informatique, autrefois centrée sur les ordinateurs, qui doit désormais être centrée sur l’utilisateur. La nécessité d’intégrer la sécurité dans ce concept semblait évidente pour Bill Gates, mais est-ce si trivial dans un environnement professionnel qui suppose un partage contrôlé des informations ?

Lire la suite de l’article »

Yannick Trombetta

Bonne année et meilleur voeux à tous en ce début d’année 2008

Microsoft ne nous a pas oubilé et au lendemain de noël un nouveau blog a vu le jour. Son nom est assez représentatif de son futur contenu : “Microsoft Security Vulnerability Research and Defense blog“

L’objectif est de fournir des explications techniques plus approfondies sur les mises à jour de sécurité livrées par son centre de ressources MSRC (Microsoft Security Resource Center), les vulnérailités et les workarounds. Ces informations nous donnerons plus de lumière sur le contenu des “Patch Tuesday”.

En savoir plus :
http://blogs.technet.com/swi