IAM : Comment gérer les identités et les accès de ses utilisateurs
Les applications se multiplient dans votre entreprise : SaaS et On-Premise. Les mouvements de collaborateurs se font de plus en plus fréquents.
Pour orchestrer votre écosystème d’utilisateurs, automatiser et gérer les habilitations de chacun sur les logiciels de l’entreprise, il est grand temps de découvrir ce qu’un logiciel IAM est capable de vous apporter.
Qu’est-ce que l’IAM ? Définition et principes de base
L’IAM (Identity and Access Management) ou GIA en français (Gestion des Identités et des Accès) regroupe l’ensemble des dispositifs mis en place pour gérer les habilitations des utilisateurs afin de maîtriser leurs accès et leurs droits aux applications.
Si l’on voulait résumer l’IAM en une phrase simple (simpliste ? 🙂), on pourrait dire que l’IAM correspond à la gestion des utilisateurs et de leurs habilitations.
Depuis plusieurs années, l’IAM est devenu un véritable enjeu au cœur des process de l’entreprise, au-delà même des prérogatives de la DSI.
ℹ️ Pourquoi est-ce donc important de gérer les habilitations des utilisateurs ?
Dans une entreprise, les collaborateurs vont avoir besoin d’accéder à des logiciels ou à des données avec un certain nombre de règles d’habilitation pour réaliser leur travail.
À l’arrivée de chaque collaborateur, une grande partie du processus d’onboarding consiste en la création des 2 groupes de ressources :
- Les ressources appartenant au « tronc commun ». Il s’agit des outils bureautiques de base comme les comptes Active Directory, la messagerie (Office 365, GSuite…),
- Les ressources « spécifiques métier ». Ces ressources correspondent aux outils spécifiques au collaborateur ou au service auquel il appartient.
Il est également important de noter que pour le tronc commun, les paramétrages de chaque ressource sont spécifiques à la fonction de l’utilisateur. Par exemple, la création du compte Active Directory doit s’accompagner du paramétrage des groupes de sécurité correspondants à la fonction de l’utilisateur.
Après l’arrivée du collaborateur, il est de même nécessaire de faire évoluer les habilitations et les outils de l’utilisateur en fonction de son évolution dans l’entreprise. Lorsqu’il change de fonction, lorsqu’il rejoint un nouveau service ou une nouvelle équipe, il faut retirer et ajouter des droits de sécurité, faire évoluer les groupes de distribution auxquels il appartient, lui donner de nouveaux droits sur un nouveau logiciel et surtout : ne pas oublier de lui retirer les droits dont il n’a plus besoin.
Toutes ces opérations peuvent être réalisées manuellement en suivant des process. Il faut également s’assurer de faire évoluer les processus en fonction des évolutions du SI ou du périmètre du SI. Pour cela, il faut tenir à jour un inventaire des comptes de tous ces logiciels, de tous les types d’habilitation (que l’on nomme parfois profils d’habilitation), et tenir à jour un référentiel des habilitations de chaque utilisateur pour savoir qui a accès à quoi.
ℹ️ Pourquoi est-ce si important de disposer de ce type de référentiel ?
Parce que lorsque quelqu’un quitte l’entreprise, il ne faut pas que ses accès restent ouverts. La société Cisco par exemple, a été victime d’un piratage de la part d’un ancien collaborateur qui avait encore accès à tous ses outils plusieurs mois après son départ.
Également parce qu’en cas d’audit, vous devez montrer que vous contrôlez les accès de manière fine : ne laissez pas la place à l’approximation ou à l’artisanat lorsque vous parlez d’habilitations !
Pour avoir une gestion rigoureuse, et comme nous parlons de plusieurs centaines, milliers d’utilisateurs, d’accès, de paramètres d’habilitation, il est nécessaire d’utiliser un outil permettant la gouvernance et idéalement l’automatisation de la tenue de ces référentiels.
Les 4 étapes dans la mise en place d’un IAM
Étape 1 : connaître ses collaborateurs
Ça peut paraitre surprenant, mais oui, il est important de bien répertorier TOUS les utilisateurs. Qui dispose de la liste des utilisateurs dans votre entreprise ? En réalité, personne !
Les RH en ont une partie (les collaborateurs en CDI, CDD, etc.), les Directions métiers en ont une autre partie (les intérimaires, les prestataires…). Il est donc fondamental d’avoir une vue unique de l’ensemble de ces utilisateurs pour pouvoir en gérer les habilitations.
Étape 2 : recenser ses logiciels
La tâche peut s’annoncer difficile, mais il faut répertorier tous les logiciels qui sont utilisés dans votre entreprise. Je risque de retourner le couteau dans la plaie, mais il faut vraiment tous les logiciels même ceux qui ne sont pas gérés/connus par l’IT.
Si vous voulez assurer la sécurité de votre entreprise jusqu’au bout, il est pertinent à ce moment de noter également tous les matériels qui sont fournis comme les badges d’accès, les clés et le matériel informatique.
Étape 3 : « réconcilier » utilisateurs et logiciels
En comptabilité, on appelle ça le « lettrage » : cela consiste à associer les différents comptes de toutes les applications, aux bons utilisateurs. Ce rapprochement permet de définir la liste des outils accessibles pour chaque utilisateur.
Lorsque cette action de rapprochement est réalisée, vous trouverez des comptes « orphelins » : ce sont soit des comptes « systèmes », soit des comptes d’utilisateurs qui n’existent pas ou plus dans votre référentiel. Ce sont les fameux « comptes fantômes ». Les utilisateurs sont partis, mais les comptes sont toujours actifs.
Notre conseil : réalisez ces 3 étapes le plus souvent possible, c’est cela qui assure la sécurité de votre SI.
Un logiciel d’IAM peut simplifier ces 3 opérations :
En connectant votre solution d’IAM à votre SIRH, vous obtenez la liste des collaborateurs puis vous connectez la solution à votre Active Directory (ou similaire) et vous obtenez la liste complète des comptes. La solution effectue le rapprochement automatiquement et vous signale les utilisateurs et les comptes en erreurs. Cela ne demande aucun effort de votre part et vous avez toutes les informations dont vous avez besoin en quelques minutes !
Ce qu’il y a de très avantageux avec une solution d’IAM c’est qu’une fois paramétrée, celle-ci peut réaliser ces actions en quasi temps réel.
Étape 4 : gérer les droits d’accès
La dernière étape consiste à gérer les droits d’accès de vos utilisateurs. En effet, vous venez de dire qui a le droit d’utiliser quels logiciels, mais vous devez maintenant définir ce qu’ils ont le droit de faire avec ce logiciel.
Attention, l’erreur la plus fréquente est de mettre tout le monde en droit administrateur. Si vous donnez les pleins pouvoirs à tout le monde, autant dire que vous n’avez pas de politique de gestion des droits !
Lorsque vous donnez des accès administrateurs, réfléchissez bien aux responsabilités de la personne qui va recevoir ces droits. Surveillez plus particulièrement ces accès-là, car s’ils sont piratés, les dommages seront évidemment catastrophiques.
Certains systèmes d’IAM permettent de monitorer spécifiquement certains droits d’accès sensibles afin d’être informé en cas de modification (par exemple un utilisateur qui est nommé administrateur d’une ressource).
La gestion des comptes de ses utilisateurs, on le fait soit même ou l’on choisit une solution externe ?
Après avoir lu les 4 étapes pour réaliser soit même votre gestion des identités et des accès vous vous dites, soit :
- d’accord, je vais mettre ça en place OU
- ça me parait un peu chronophage de réaliser toutes ces actions régulièrement et sans avoir la certitude d’être exhaustif.
Ce que vous pensez à ce moment-là est déjà un bon indicateur de votre nécessité ou non de prendre une solution d’IAM à part entière.
La taille de l’entreprise et votre turn-over sont d’autres critères importants.
Les réponses faciles : à partir d’un effectif de 100 collaborateurs et/ou que si vous avez un turn-over important, choisissez une plateforme d’IAM.
Au-delà de 200 collaborateurs, il n’est pas envisageable de fonctionner sans un tel système.
Les 3 erreurs les plus classiques à ne pas commettre dans l’IAM
Erreur n° 1 : confondre IAM et SSO
Le SSO est un système d’authentification alors que l’IAM est un système de gestion des comptes.
L’IAM et le SSO fonctionnent très bien ensemble, mais ne remplissent pas du tout les mêmes fonctions.
Au départ de cette confusion, c’est la définition du besoin qui n’est pas forcément très clairement définie : le service IT souhaite alléger/centraliser la gestion des mots de passe pour les utilisateurs. Cette demande est à la croisée de l’IAM, du SSO et des gestionnaires de mot de passe.
La mise en place d’un système de SSO permet de centraliser une partie de l’authentification des utilisateurs sur leurs différents comptes. Mais les contraintes techniques de mise en place, de compatibilité et de maintenance font que le SSO n’est que partiellement appliqué sur les différentes applications de l’entreprise.
Si l’on voulait utiliser une métaphore :
Avec le SSO, vous décidez qui a le droit d’entrer dans la maison ;
avec l’IAM vous décidez qui a le droit de déplacer les meubles, de repeindre les murs ou seulement de s’asseoir.
Le SSO ne permet pas de gérer correctement les niveaux d’habilitation, vous n’avez pas de vision globale de vos outils et logiciels, car tous ne sont pas compatibles, vous n’avez pas non plus une vision globale des personnes travaillant dans votre entreprise, car celui-ci ne se connecte pas au SIRH.
Erreur n° 2 : confondre utilisateurs et comptes
Lorsque je suis en contact avec une entreprise et que je leur demande s’ils ont un référentiel qui centralise tous les utilisateurs, j’ai régulièrement la réponse : « oui, c’est l’Active Directory qui est la référence ». Or c’est précisément l’erreur à ne pas commettre : confondre les utilisateurs et les comptes.
Les utilisateurs sont des personnes physiques qui ont un nom, un prénom, une date d’arrivée et éventuellement une date de départ.
À ces utilisateurs, on donne des comptes d’accès en fonction de paramètres fonctionnels RH.
Si vous intégrez cette différence fondamentale, vous êtes sur la bonne voie pour mettre en place une gestion intelligente des identités dans votre entreprise.
Erreur n° 3 : penser que l’outil d’IAM une fois en place va fonctionner tout seul
Vous pouvez totalement rater votre projet d’IAM en ne mettant pas quelqu’un en charge de la gestion de l’outil. Oui, une solution d’IAM, même la meilleure, a besoin qu’on s’en occupe. Les nouveaux arrivants, les créations de comptes, les suspensions ont besoin de votre intervention et c’est en entretenant son SI qu’il restera « propre » et correctement synchronisé avec les informations RH.
Pour finir, les points clés pour se lancer
👉 Choisir une solution « User friendly » : vous allez régulièrement utiliser l’outil et la solution que vous aurez choisie se doit d’être simple, ergonomique.
👉 Une solution en SaaS : vous offre une flexibilité à toute épreuve, aucun logiciel lourd à installer et à entretenir. Votre solution est à jour en permanence, le TCO est bien plus intéressant en mode hébergé.
👉 La compatibilité avec vos applications : vos applications sont « On premise » pour une partie et en SaaS (Office 365 par exemple) pour les plus récentes. Il est important de bien vérifier que vous pouvez intégrer vos applications, quelles que soient leurs technologies afin de pouvoir couvrir tout le périmètre du système d’information. La difficulté principale est souvent l’intégration des outils propriétaires on premise. C’est pourquoi chez Youzer nous avons notamment mis en place un connecteur universel afin que nos clients puissent « fabriquer » un connecteur personnalisé pour chacune de leurs applications.
👉 Un service client réactif : vous vous engagez sur plusieurs années parfois avec une solution d’IAM, vous devez avoir en face de vous un service client réactif pour pouvoir répondre à vos questions et vos blocages. Si vous êtes sur une énorme plateforme, assurez-vous d’un délai de réponse correct et d’une bonne technicité de la personne (histoire de ne pas être promené avant d’avoir votre réponse 🙃).
👉 Une solution qui évolue : choisissez une solution qui évolue. Il n’est pas rare de voir aujourd’hui des plateformes logicielles qui n’ont pas évolué depuis plusieurs années voir plusieurs dizaines d’années. Les technologies et les usages évoluant très rapidement il est important de choisir une plateforme flexible et évolutive.
Article sponsorisé. Les contributeurs experts sont des auteurs indépendants de la rédaction d’appvizer. Leurs propos et positions leur sont personnels.