Accueil AVIS D’EXPERT - 9 conseils pour réussir son projet d’IAM

AVIS D’EXPERT – 9 conseils pour réussir son projet d’IAM

AVIS D’EXPERT 

 

Bastien Meaux,
responsable marketing de Beta Systems

 

  1. 1 Constituer une équipe IT & métier

Un projet IAM, transversal, ne peut être conduit uniquement sous l’angle technique. Il faut obtenir l’adhésion et la coopération des directions métiers pour mobiliser les sachants autour du projet et pouvoir s’appuyer sur leurs connaissances des processus métiers de l’entreprise et de sa structure organisationnelle.

 

  1. 2 Définir la gouvernance et les objectifs

Déterminez les rôles et les responsabilités de chacun ainsi que les étapes de déploiement. L’atteinte de vos objectifs implique un pilotage et un contrôle rigoureux ainsi qu’une étroite collaboration entre l’équipe projet et les consultants de l’éditeur IAM. Assurez-vous que les spécifications et objectifs sont mutuellement compris et documentés avant tout.

 

  1. 3 Réduire le sur-mesure au minimum

Les systèmes IAM standards et préconfigurés représentent la meilleure stratégie, notamment parce que cette approche capitalise l’expérience terrain acquise par l’éditeur IAM, grâce à ses précédents déploiements, et qu’elle simplifie l’intégration de fonctions au fur et à mesure de l’arrivée de nouvelles versions du logiciel. A la clé, des coûts de mise en œuvre et de maintenance réduits, et une mise en production accélérée.

 

  1. 4 Déployer par étape

Préférez une approche quick-Win en déployant par étape, avec des objectifs intermédiaires réalisables. En limitant le périmètre initial à un nombre restreint de systèmes cibles, d’utilisateurs et de fonctionnalités, vous obtiendrez des résultats plus rapidement. Ces premiers retours sur investissement vous aideront à renforcer l’adhésion de l’entreprise, à obtenir des budgets supplémentaires et à étendre le périmètre du projet.

 

  1. 5  Connecter les systèmes RH

Les évolutions de personnel (nouvel arrivant, départ, mobilité…) peuvent être signalées aux départements informatiques ou ressources humaines avec un certain retard, voire pas du tout. Ces complications s’amplifient lorsque les tâches d’administration du personnel sont réalisées manuellement ou de manière décentralisée. C’est pourquoi, dans un premier temps, la principale source de données RH doit être connectée de manière automatisée au système IAM. Les bénéfices sont vite quantifiables : accès simplifiés, gain de productivité, satisfaction des utilisateurs…

vulnerability

 

  1. 6  Nettoyer les données

Très souvent, les données des droits d’accès ne sont plus maintenues depuis longtemps, et peuvent être désordonnées : des liens entre comptes et utilisateurs sont manquants, des comptes sont orphelins, d’autres sont erronés, etc. Un projet IAM commence nécessairement par la consolidation des identités des utilisateurs (user-ID) : les comptes utilisateurs sont affectés aux personnes auxquelles ils correspondent dans le référentiel des identités. Plus de comptes orphelins !

 

  1. 7 Déployer les rôles

Un rôle est un ensemble de droits d’accès individuels nécessaires pour une fonction particulière ou une tâche dans l’entreprise. Il est intimement lié aux métiers et aux processus propres à l’organisation. Les « groupes » de droits d’accès, appelés « rôles », réduisent significativement les efforts d’administration. Ils sont la clé pour l’automatisation des processus et la mise en place de règles de non-cumul de certains droits (Segregation of Duties). Mais la mise en œuvre des rôles exige plus qu’une simple définition de groupes de droits d’accès. Les rôles sont des objets vivants. Ils ont besoin d’être mis à jour et maintenus en continu. Désignez un « propriétaire » pour chaque rôle : il sera le garant des évolutions du rôle.

 

  1. 8 Introduire l’évaluation du risque

Les systèmes IAM fournissent de vastes données qu’il faut traiter pour faire apparaître les éléments les plus risqués. L’identification et l’évaluation de ces risques sont un puissant outil pour classer les données d’accès, telles que les utilisateurs, les rôles et les comptes, en fonction du niveau de risques potentiels. Une mesure du risque pour l’ensemble de votre structure de droits d’accès demande du temps et des ressources. Utilisez une approche top-Down (du haut de la pyramide vers la base) pour obtenir des premières analyses de risque, en les classant par catégorie et par score. Vous étendrez ensuite la portée de ces évaluations.

 

  1. 9  Fournir les fonctionnalités métiers

Focalisez-vous dès les premières étapes sur les fonctionnalités métiers destinées à faciliter la vie des utilisateurs : par exemple, un portail Web pour re-certifier les droits de certaines personnes, ou un workflow pour automatiser l’approbation des demandes de droits.