Choisir une solution IAM : quelles stratégies adopter ?

Le choix d’une solution IAM n’est pas un sujet simple tant par l’hétérogénéité du marché que par la complexité induite par l’empilement des protections et des acronymes (IGA, AM, PAM, etc.). Sans compter la nécessité de prendre en compte les problématiques de positionnement des données et de conformité règlementaire. Voici quelques clés pour bien choisir.

---

Par Julien Bertault, chef de projet Senior Identité Numérique chez Synetis

---

Alors que les menaces planant sur les Systèmes d’Information (SI) s’intensifient tous les jours et que leur sécurisation est passée à la granulométrie de l’identité, de nombreuses entreprises et organisations cherchent à déployer des solutions d’IAM (Identity and Access Management) pour fiabiliser les processus de gestion de leurs employés, partenaires, prestataires et clients.

Les entreprises qui possédaient déjà ce type de solutions de longue date, du fait de contraintes réglementaires fortes, comme c’est par exemple le cas pour les organisations financières, voient leurs solutions historiques ne plus répondre aux besoins du fait de développements internes et/ou ne plus être maintenues (développeur/éditeur disparu, changement de stratégie de l’éditeur) et se voient contraintes de les renouveler.

Se pose alors la question de comment trouver la solution adéquate qui saura s’intégrer au SI et aux processus de l’organisation : quelle stratégie adopter face à une offre complexe et hétérogène, où tous les éditeurs vantent les capacités de leurs solutions à pouvoir gérer les identités, à répondre aux dernières règlementations (RGPD, DORA, NIS2) ainsi qu’à s’inscrire dans les dernières tendances sécuritaires (Zero Trust, Passwordless) ?

Choisir une solution IAM : un sujet complexe

Le sujet est d’autant plus complexe que derrière l’IAM et ses différentes composantes (IGA – Identity Governance and Administration, AM – Access Management, PAM – Privileged Access Management, CIAM – Customer IAM), se cachent quasiment autant de types de solutions ad hoc, la concentration du marché n’ayant pas encore fait émerger de « solution tout en un ».

Facteur de complexité supplémentaire à prendre en compte, la plupart des éditeurs des solutions évoquées précédemment n’en réalisent pas eux-mêmes le déploiement/paramétrage et ont une vision très technique de la mise en œuvre de celles-ci. Cette approche très orientée « raccordement technique » ne tient pas nécessairement compte des besoins et des attentes métiers (RH inclus), ni des processus organisationnels liés nécessaires pour répondre aux enjeux de l’entreprise. A moins que le client ne dispose, au sein de ses équipes, des compétences techniques nécessaires pour le faire et qu’elles aient la disponibilité pour celà, ce sont souvent des entreprises spécialisées, les intégrateurs, qui vont assurer le déploiement des solutions. C’est aussi, en général, auprès de ces mêmes intégrateurs que les clients vont souscrire les licences nécessaires (les éditeurs leur déléguant aussi ce sujet), ainsi qu’une éventuelle TMA (Tierce Maintenance Applicative), pour assurer l’exploitation quotidienne et les évolutions.

Il faut encore ajouter à cela les potentielles réglementations – et donc de possibles contraintes – internes et/ou externes s’appliquant à certaines entreprises et organisations. Ces règles leur imposent, parfois, le recours à des éditeurs nationaux, à des solutions On Premise uniquement ou encore à ce que certaines données soient gérées exclusivement en France, en Europe ou encore dans d’autres localisations géographiques d’intervention de l’entreprise.

Ainsi, plusieurs défis se posent simultanément, parmi lesquels : la définition de la méthodologie de consultation (AO – Appel d’Offre, RFP Request For Proposal), l’identification de la/des solution(s) pertinente(s) et adaptée(s) aux besoins et attentes, la séquence optimale pour choisir entre les solutions et les intégrateurs, tout comme la nécessité de mener des consultations parallèles ou communes entre éditeurs et intégrateurs.

Enfin, il est également crucial de pouvoir comparer concrètement les différentes solutions disponibles, de les challenger entre elles et de s’assurer, qu’au-delà des discours marketing, les fonctionnalités attendues sont bien disponibles et avec quel niveau de complexité de mise en œuvre (simples paramétrages ou développements spécifiques).

Il faut s’assurer que rien n’a été omis dans le processus d’identification et de sélection de ces solutions particulièrement structurantes pour l’entreprise.

Quelles stratégies de consultation IAM ?

Ici aussi, il n’y a pas de solution unique. Chaque entreprise et organisation est différente dans ses contextes métiers, organisationnels, fonctionnels et humains. Chaque consultation est spécifique et nécessite un cadrage poussé pour en définir les contours.

La première chose à faire est de définir une équipe projet pluridisciplinaire. Les projets IAM ne doivent surtout pas être abordés uniquement par l’angle technique ou sécuritaire. Les solutions IAM (plus spécifiquement les solutions IGA) impactent toutes les équipes et tous les processus de l’entreprise, il est important que toute l’entreprise participe à la sélection afin que les besoins et attentes de chacun soient bien pris en compte et que tous puissent ensuite s’appuyer dessus.

Les principes fondamentaux nécessaires et les questions à se poser pour mener des consultations IAM efficaces sont :

>> Recenser tous les cas d’usage présents et attendus : quelles sont les fonctionnalités actuellement en place à reprendre, celles à améliorer et les nouvelles attendues ?

>> Qualifier le contexte, les besoins et les objectifs : par quoi est porté le projet (fiabiliser les processus, répondre à des exigences d’auditabilité, améliorer le parcours et l’expérience utilisateur, …) ?

>> Définir les périmètres à couvrir à court, moyen et long terme : quelles sont les populations d’identités (métiers et/ou géographiques), les applications concernées et les fonctionnalités à déployer ?

>> Définir les spécificités impactant le projet : quels sont les contextes réglementaires et/ou internationaux ? Quel est l’éventuel cloisonnement/isolation technique nécessaire à mettre en œuvre entre les périmètres d’identités et d’applications ?

>> Se renseigner sur l’état de l’offre/du marché : quels types de solutions IAM peuvent répondre aux besoins ? Quels sont les retours d’expérience d’entreprises/organisations à contextes similaires ?

>> Identifier les ressources humaines et techniques à impliquer : sont-elles en capacité d’accompagner le projet (disponibilité, expertise, etc.) ou faut-il les renforcer ?

>> Identifier les ressources financières à engager : quelles sont les capacités budgétaires de l’entreprise, non seulement envers les coûts de déploiement mais aussi envers les coûts d’exploitation et de gouvernance de telles solutions ?

>> Définir le planning de mise en œuvre : quelles sont les principales fonctionnalités puis les priorités et urgences à couvrir ? Comment arriver rapidement à un MVP (Minimum Viable Product) permettant de rassurer sur la solution et ses capacités ainsi que de commencer l’exploitation ?

>> Prévoir les phases de transitions techniques en cas de remplacement de solution : comment basculer d’une solution à l’autre et décommissionner proprement l’ancienne ?

>> Prévoir la conduite du changement : comment assurer la formation, l’information et la communication nécessaire auprès de tous les interlocuteurs ?

>> Prévoir la phase d’exploitation de la/des solution(s) mise(s) en œuvre : Qui assurera le MCO (Maintien en Conditions Opérationnelles) et les évolutions ? Comment s’organisera la gouvernance ?

Les différentes approches proposées par les solutions IAM sont aussi, souvent, l’opportunité pour l’ensemble des interlocuteurs de l’entreprise d’identifier les bonnes pratiques et donc les axes d’améliorations – voire de correction – des processus de gestion des identités et des accès en place. Les contraintes présentées par les solutions IAM – a fortiori celles encore plus strictes imposées par celles proposées en mode SaaS – sont, souvent, l’opportunité de (re)structurer l’entreprise autour de processus clairement définis et avec des intervenants clairement identifiés. Un mal pour un bien qui doit être mis à profit lors de la mise en œuvre – principe fondamental, ne pas chercher à « tordre » une solution pour lui faire faire des choses qu’elle ne propose pas. Soit ce n’est pas la solution adaptée, soit l’entreprise doit remettre en question ses processus.

Les consultations IAM sont complexes car elles concernent toutes les identités, tous les métiers et toutes les applications et ressources du Système d’Information. Les solutions IAM sont au cœur de l’activité des entreprises. Si leur introduction dans un SI qui n’en possédait pas précédemment est déjà un challenge en soi, organiser leur remplacement peut parfois s’avérer encore plus fastidieux, pour peu que de « mauvaises habitudes » aient été prises avec la/les précédente(s), avec des customisations par exemple.

Débutants sur le sujet ou déjà aguerris par de longues années de pratiques IAM, il reste fortement recommandé de se faire accompagner par des experts, qui sauront organiser le cadrage du projet – qui peut aller de quelques semaines à plusieurs mois – afin d’identifier la meilleure stratégie de consultation, en fonction de la taille de l’entreprise, de ses objectifs, de ses moyens humains et financiers ainsi que de son planning. Bien cadrer la consultation permet aussi de mieux qualifier les besoins et attentes, pour obtenir des réponses techniques et économiques pertinentes, ainsi qu’un planning de déploiement au plus juste de la part des éditeurs et des intégrateurs.

Bien cadrer sa recherche de solution(s) est le premier jalon critique d’un projet IAM. Ne partez pas sur de mauvaises bases avant même d’avoir déployé quoi que ce soit.

À LIRE AUSSI :

Secu

L’identité est devenue le fondement de la sécurité de l’entreprise

La rédaction

26 Mar

À LIRE AUSSI :

Secu

Pour l’Amour du Risque (Cyber), vers une vision holistique

Laurent Delattre

28 Mai