15 ans d’IAM: la fin d’une ère ?

Les projets de gestion des identités se sont multipliés depuis le début des années 2000 et la plupart des grandes entreprises en ont implémentés. Malheureusement, pour la plupart des organisations, un écart significatif est apparu entre leurs attentes quant à ces projets d’IAM, les bénéfices attendus et ce qu’ils en ont réellement obtenu, ou plutôt ce qu’ils ne sont pas parvenus à atteindre. De nombreux aspects de ces projets, initialement prévus, n’ont pas pu être implémentés ou demandaient, par la suite, des développements spécifiques empêchant les évolutions et montées de versions en raison de ces spécifications « maison ».

Les entreprises lançaient initialement des projets IAM afin de fournir une réponse efficace à leurs défis de conformité et de sécurité au travers de l’automatisation de la gestion des identités. Malheureusement, le résultat a été une attention particulière donnée à l’efficacité opérationnelle, tout en délaissant la maîtrise des risques à terme.

Aujourd’hui, la domination des projets d’IAM est de plus en plus remise en question avec avec l’évolution rapide des besoins métiers et de sécurité IT, notamment liés aux accès. Cette évolution rapide des besoins accélère le tempo, à un rythme bien plus important que celui de l’implémentation d’importants projets d’IAM traditionnels. Désillusion, architectures IT contraignantes héritées de ces projets, manque de définition des objectifs et périmètres, toutes font partie des raisons qui font que les solutions d’IAM seules ne suffisent plus.

Les organisations ont besoin d’autre chose aujourd’hui – de quelque chose de plus – pour assurer une gestion des identités efficace et sécurisée mais également afin d’implémenter une gouvernance des accès, une conformité continue et une réduction réelle des risques de sécurité qui continent de croître chaque année.

Dépasser les silos et connecter la gestion des accès et des identités au reste du système d’information est aujourd’hui essentiel. Parmi les recommandations-clés à appliquer, il s’agit de simplifier la conduite des projets et de s’assurer que les acteurs métiers et techniques travaillent ensemble au quotidien. Travailler en silos n’est plus possible. Les services et départements au sein des entreprises sont de plus en plus connectés. Toute organisation appartient désormais à un réseau plus important et se doit de communiquer sur tous les plans, sans silo en dépit du fait que la plupart des projets d’IAM traditionnels ont été basés sur des silos.

C’est pourquoi il est aussi difficile de faire évoluer les solutions d’IAM en place, et dans certains cas impossibles, car elle ne peuvent pas êtres connectées le plus souvent au reste du SI. Dans de nombreux cas, faire évoluer une solution d’IAM représente autant d’investissement que d’en implémenter une nouvelle.

De fait, il semble que rien n’ait changé au cours des dix à quinze dernières années. Il y a un réel besoin de réévaluer la manière dont les entreprises tirent parti de leurs programmes de gestion des identités, en termes de services, de technologies et d’organisation.

Comprendre pourquoi les projets d’IAM peuvent être un échec

En considérant une approche traditionnelle d’Identity and Access Management (IAM), un accent important est mis sur un ensemble de connecteurs, c’est-à-dire sur la gestion opérationnelle des accès et son automatisation. D’autres services IAM qui devraient être implémentés sont trop souvent considérés comme secondaires et ne sont jamais réellempent intégrés.

Les expériences des entreprises en matière de projets d’IAM présentent souvent de nombreuses similitudes : de très longs projets, peu de visibilité sur l’adéquation de la solution finale aux besoins métiers des utilisateurs finaux, le retardement des dates limites fixées ou encore gonflement des budgets. La valeur du projet délivré ne correspond pas, le plus souvent, à ce qui était attendu. Pour la plupart des entreprises, le périmètre a été fortement réduit et peu de processus automatisés ont été implémentés et fonctionnent.

Un autre aspect important : les risques liés aux accès ne sont pas pris en charge par les solutions d’IAM mais représentent aujourd’hui des enjeux significatifs pour toute entreprise, compte-tenu des menaces externes et internes. De fait, les entreprises n’ont pas le choix et doivent maîtriser ces risques liés aux accès en implémentant une gouvernance des accès efficace, au-delà de leur seule gestion.

Connaître le système d’information dans son ensemble – ses utilisateurs, leurs fonctions, leurs droits d’accès et l’usage qu’ils en ont – est aujourd’hui nécessaire mais les solutions d’IAM ne peuvent y fournir de réponse.

Ce dont vous avez besoin pour réussir

Changer de solution d’IAM, tenter de faire évoluer votre solution pour s’accorder à vos besoins métiers ou étudier les alternatives possibles, toutes ces options requièrent d’appliquer de bonnes pratiques afin d’être sûr de choisir celle qui convient à votre entreprise.

Ce à quoi vous devez prêter attention : assurer une expérience utilisateur optimale, sécuriser des solutions scalables en accord avec l’évolution des besoins métiers, assurer une qualité de données suffisante ainsi que l’automatisation des processus de contrôle. De plus, avez-vous besoin tant que ça de provisoning pour assurer la gestion de vos identités et accès ?

Voici également 3 facteurs-clés de succès :

  • une plateforme unique pour centraliser et traiter l’ensemble des demandes utilisateurs
  • des outils techniques basés sur les standards en vigueur
  • des solutions transverses pour l’audit, le reporting et les contrôles

Ces 3 facteurs-clés vous permettront de briser les silos et de maîtriser l’ensemble des processus nécessaires : validation des workflows, provisioning ou encore reporting, audit et contrôles. Cela vous permettra d’opérer des processus transversaux et de briser 4 silos-clés : IT & logistique, IAM, données non-structurées et ERP.

Est-ce vraiment possible ? De telles solutions cross-systèmes et cross-applications existent-elles ? En effet, certaines organisations étudient et implémentent actuellement des alternatives à l’approche IAM traditionnelle. 

Etudier les alternatives : un nouveau paradigme avec l’Identity Analytics

L’Identity Analytics est une technology adéquate et prouvée sur le marché pour soutenir cette approche. Les entreprises peuvent décider de plusieurs combinsaisons, en fonction de leurs besoins, de leur taille, de leur environnement IT.

Certaines entreprises étudient des alternatives au modèle IAM traditionnel telles que le remplacement d’une solution d’IAM par un méta-référentiel ou encore la combinaison d’une solution d’Identity Analytics – comme Brainwave GRC – avec un outil ITSM.

Habituellement, une solution d’Identity Access Management (IAM) ne permet pas de couvrir l’ensemble des besoins initiaux et met de côté la gouvernance des accès ainsi que la maîtrise des risques liés aux accès. Avec ces alternatives, certaines entreprises commencent à comprendre qu’il est possible de répondre à l’évolution de leurs besoins en gestion des identités et sécurité en-dehors des projets d’IAM traditionnels et coûteux. Néanmoins, il ne s’agit pas ici de conclure que tous les projets d’IAM ont été des échecs – ce qui n’est pas la réalité – ou que le couple solution d’Identity Analytics et ITSM est la seule alternative. L’IAM et l’Identity Analytics sont complémentaires et les entreprises doivent les intégrer ensemble afin d’atteindre leurs objectifs prioritaires :  réduire les risques opérationnels et assurer une maîtrise des risques efficace, en continu.