Technique? Non! organisationnel

Premier «driver», la conformité. C’est l’avis, en tout cas, des cabinets de conseil KPMG et Deloitte. Aujourd’hui, être en ordre avec toutes les dispositions légales serait un incitant majeur. C’est aussi, indirectement, une façon de lever le risque commercial que d’aucuns jugent plus grand encore…

Un système IAM bien déployé indique de façon proactive là où les droits et privilèges octroyés entraînent des conflits. Or, la conformité d’une entreprise dépend entièrement de la gestion des conflits éventuels.

En près de dix ans, les motivations des entreprises ont bien changé. Dans le passé, il s’agissait d’accroître la productivité des entreprises. «Aujourd’hui, il est primordial de protéger les données, constate Arno Coster (Novell). L’IAM fournit rapidement aux contrôleurs et représentants des régulateurs l’ensemble des informations et des rapports voulus. L’automatisation de ces processus permet de générer des économies plus que sensibles.»

Il a donc fallu intégrer des règles de sécurité, de séparation et d’habilitation des rôles… Les entreprises, aujourd’hui, sont face à des offres matures tant au niveau des produits que des services.

L’aspect économique n’est pas relégué pour autant: l’IAM permet de réduire les coûts de gestion de tous les employés, des sous-traitants et des prestataires qui se connectent au système d’information, entre autres par la réduction du nombre d’appels au Help Desk.

Bart Callens (Belgacom) identifie deux «drivers»: conformité et efficacité. «Tout dépend des secteurs d’activité. Dans la finance, par exemple, une récente directive de la CBFA impose de nouvelles règles en matière de sécurité -c’est donc la notion de conformité qui domine. Dans les projets d’accès, dont le SSO, c’est la recherche d’efficacité qui est privilégiée. On très net, en particulier, dans le secteur hospitalier où il s’agit de tenir compte de la mobilité du personnel soignant.»

Bref, des motivations multiples. Ce qui, dans un sens, ne simplifie pas la prise de décision. «Il peut être difficile de faire passer un message en interne alors que celui des éditeurs et des intégrateurs est souvent discordant, regrette Ulrich Seldeslachts (LSEC). Tant que le responsable du projet n’a pas les idées claires sur ses objectifs et les moyens d’y parvenir, il aura des difficultés à faire passer son projet. Il peut se faire aider par un intégrateur, mais c’est insuffisant. Pour progresser dans ce domaine, il va falloir unifier et clarifier les discours.»

Deux projets sur trois échouent! A lui seul cet ordre de grandeur laisse un froid. D’emblée, on pense technologie. On oublie qu’elle ne représente qu’une part infime du projet. Ce n’est pas une solution «out-of-the box»; elle réclame un gros travail initial d’analyse des besoins, mais aussi d’intégration, assure Nicolas Rocq (Bull).
«Et là, la relation entre l’intégrateur et l’éditeur de la solution peut faire toute la différence.»

Une alliance primordiale, confirme Anthony Moillic (Quest Software). «On doit être sur la même longueur d’onde… L’identité c’est hypersensible. La perception qu’on en a varie d’une entreprise à l’autre, mais aussi d’un pays à l’autre. On ne manquera pas de capitaliser sur nos expériences respectives, mais sans perdre de vue qu’il s’agit toujours d’un projet ‘touchy’!»

Pour cet éditeur, spécialisé dans l’environnement Active Directory, on ne part plus d’une page blanche. Dans leur majorité, les entreprises disposent de certaines briques. Il s’agit donc de compléter l’édifice. Mais aussi débuter dans un premier temps en dressant un inventaire des données accessibles utilisateur par utilisateur. On automatise ensuite la définition et la gestion du cycle de vie des droits d’accès aux ressources du système d’information, telles que les fichiers, les dossiers et les dossiers partagés, par utilisateurs ou groupe d’utilisateurs définis dans Active Directory.

C’est un projet d’intégrateur, tranche Jean-Hubert Antoine (Dimension Data Luxembourg). Un éditeur n’a pas la connaissance des différents systèmes d’exploitation, des différents DBMS… «Or, trop souvent, c’est encore et toujours un projet d’éditeur, le choix initial reposant sur une technologie. A mon sens, c’est prendre le projet à l’envers, au risque de s’enfermer dans des contraintes, des restrictions. Or, les risques sont davantage stratégiques…»

Projet organisationnel, mais rien ne vous empêche de l’aborder sous l’angle purement ICT, propose Ulrich Seldeslachts (LSEC). C’est le cas si vous privilégiez une approche purement SSO. Et là, la technique prend vite le dessus. «Au cours d’un récent séminaire, un consultant évoquait ses difficultés dans un projet SSO qu’il lui fallait construire en tenant compte des deux Unix en place chez le client, AIX et Solaris… Le volet technique ne peut être sous-estimé. Encore moins si vous comptez lier les notions d’accès logique et physique.»

En fait, tout dépend de la nature du projet. En gestion des identités, on s’intéressera davantage aux aspects organisationnels à travers l’analyse des processus, résume Bart Callens (Belgacom); pour les accès, notamment dans le cadre d’un projet de SSO, la technologie domionera.

Ne sous-estimez pas la phase d’analyse, conseille Nicolas Rocq (Bull). Sans quoi, on risque d’inscrire le projet dans une série de va-et-vient. Et le projet de s’éterniser…
Comme c’est le business qui doit «tirer» le projet, mieux vaut se faire accompagner. Pour bien définir les buts, étendre le champ de vision ou, au contraire, pour recentrer l’action. Le danger est d’aller trop loin. Il faut clairement savoir jusqu’où aller dans la gestion des accès aux ressources.

«Avant de commencer, planifiez un programme d’actions, propose Arno Coster (Novell). Quelles sont les politiques de la maison, qui du côté busines est concerné par l’IAM? Quelles sont ses possibilités futures, après l’implémentation? La réponse à ces questions de bon sens permet souvent de dégager le budget et incite la direction à soutenir le projet.»

Pour Jean-Hubert Antoine (Dimension Data), «c’est l’opportunité qui compte, pas la nécessité. On peut profiter d’une migration technique pour aborder l’IAM, voire le déploiement d’une application majeure comme SAP. Le tout est de savoir ce que l’on vise!»

Pour Dimension Data, il s’agit donc de considérer prioritairement la stratégie de l’entreprise, l’état de ses ressources, l’analyse de ses besoins. «Nous accordons plus d’importance au choix des sponsors et des utilisateurs clé, que nous invitons à s’impliquer. Ces utilisateurs, croyez-moi, il faut les gagner!»

La plus grande difficulté n'est pas technique, mais réside dans l'attribution des droits. Ce processus peut être partiellement automatisé par un moteur de «provisioning» qui s'appuie sur des profils types et des rôles hiérarchiques. Cela suppose en amont une description, manuelle et fastidieuse, du mode de fonctionnement de l'entreprise. Les nombreux cas particuliers seront traités par des processus manuels, basés sur des workflows. Il faudra donc désigner les validateurs.

«Authentification, accès, administration, conformité réglementaire… Il ne s’agit plus seulement de gérer les identités et les accès, une démarche plus globale s’impose autour de la traçabilité, affirme Anthony Moillic (Quest Software). Chaque changement dans l’organisation de l’entreprise, nouvelle application ou mouvement de personnel -arrivée, réaffectation et départ- contribue à accroître la complexité de gestion et de contrôle des identités et des accès au système d’information.»

Pour appréhender la réalisation d'un projet de gestion des identités, ne perdons pas de vue qu'il doit être envisagé sur le long terme et amener l'entreprise à procéder par étapes.
Lorsque l'on débute un projet de gestion des identités, il faut donc pouvoir agréger les données utilisateurs en interne, et les enrichir progressivement de données externes sur la base du «provisioning» à condition de ne pas négliger la phase de modélisation avant celle du déploiement.


Côté éditeurs, on s’accorde à estimer que, pour donner les meilleurs résultats, un projet de gestion des identités et des accès doit être mis en œuvre pas à pas, à travers des étapes clairement identifiées et fournir des résultats concrets à chacune de ces étapes.

Concrètement, cela signifie délivrer au fil de l’eau, soutient Anthony Moillic (Quest Software). «Les grands projets qui s’éternisent sur deux ans, c’est fini! Il faut un ROI rapide. Et donc, dans un premier temps, bien cerner les besoins et savoir fixer les priorités.»

«Un projet clairement balisé permet effectivement d’en surveiller la qualité et d’en respecter les délais, ce qui se solde par une réduction des coûts, renchérit Arno Coster (Novell). De plus, une mise en œuvre ‘step by step’ permet de récolter plus rapidement des succès dans l’une ou l’autre étape, ce qui se traduit par plus de soutien du projet au niveau interne.»

Prendre le temps de réaliser des «quick wins», conseille Ulrich Seldeslachts (LSEC). «Vous pouvez débuter par un SSO, le limiter à trois ou quatre applications. Penser ensuite aux rôles… Retenez qu’il faut des résultats tangibles tant pour les utilisateurs que pour les sponsors du projet. A bien des égards, un projet d’IAM ressemble à un projet d’ERP!»

Jean-Hubert Antoine (Dimension Data) va dans le même sens. Oui, «step by step». Mais sans laisser l’impression que le projet s’éternise, nuance-t-il. «Ne les découragez pas. Sans quoi vous perdez leur adhésion… C’est bien la preuve qu’il s’agit plus d’un projet organisationnel que technique!»

Diviser sans morceler. C’est toute la nuance. «Par expérience, je me méfie des projets qui s’étirent, pour lesquels on ne prend pas vraiment de décisions, juge Nicolas Rocq (Bull). On entre alors, sans s’en apercevoir, dans une zone de turbulences, une zone à risques…»

Comme le note Bart Callens (Belgacom), il faut tout à la fois viser la «big picture» du projet, notamment à travers des PKI clairs, et l’ambition de générer rapidement des résultats concrets. «L’objectif peut sembler contradictoire, il n’en reste pas moins atteignable. L’instauration d’un SSO peut être la première étape d’un projet d’IAM global. Très vite, on pourra en apprécier les résultats. Et, sur cette base, franchir une autre étape. Construire, en somme.»

Alors que ce type de projet est davantage organisationnel que technique, il nécessite en préambule un important travail d'implémentation de modèles visant à attribuer et définir des rôles bien déterminés aux utilisateurs, insiste Ulrich Seldeslachts (LSEC).

La réussite d’un projet de gestion des identités passe par l’implication de différents services -IT, HR, métiers. Le projet doit être porté par la direction générale -«réellement, insiste Nicolas Rocq (Bull). «De même, nommer des sponsors ne sert pas à grand chose si ceux-ci ne s’engagent pas: il faut suivre le projet dans toutes ses phases, s’assurer de sa bonne implémentation.» La clé du projet? Trouver au sein de l’entreprise un sponsor fort qui en sera le moteur. En revanche, ce sponsor ne doit pas être trop impacté par la mise en place du projet afin d’avoir le recul suffisant pour prendre les décisions stratégiques.

C’est purement un projet organisationnel, donc humain, assure Nicolas Rocq (Bull). C’est le business qui doit le tirer. Et qui devra mobiliser ceux qui le financeront, mais aussi les utilisateurs. Car c’est de leurs accès, donc de leurs droits dont il s’agit. «Il faudra convaincre en insistant sur les gains. Il faudra aussi rassurer. Le danger, en effet, serait que les utilisateurs voient dans l’IAM une forme de ‘flicage’. De là l’importance d’une bonne, d’une très bonne communication.»

Communication… Le mot revient souvent chez nos spécialistes. «Une communication claire de ce qui se passe afin de tenir l’organisation au courant», conseille Arno Coster (Novell). De là, aussi, l’intérêt de travailler par lots afin, d’une part, d’éviter «l’effet tunnel» et de pouvoir faire sentir aux utilisateurs les avancées du projet. D’autre part, il est ainsi plus facile de «coller» aux évolutions de l’entreprise, car ces projets sont longs à déployer dans leur intégralité. Bien sûr, il faut communiquer durant tout le projet et former les utilisateurs. Pour cela, il faut mettre en place des indicateurs afin de montrer la QoS obtenue.

Dans les projets, la question de la liberté revient souvent sur le devant de la scène. Comment, dans un projet par nature centralisateur, laisser une certaine latitude et un degré de liberté aux utilisateurs dans la gestion d'une partie de leurs informations personnelles?

Chez Novell, on rappelle qu’avec les fonctionnalités de «self service», les utilisateurs peuvent introduire des demandes, redéfinir des mots de passe, adapter leurs coordonnées après -par exemple- un déménagement en interne.... «Ce niveau de liberté est donc nécessaire, estime Arno Coster. Il même encouragé.»

Le niveau de liberté dépend de la philosophie de l’entreprise, observe-t-on chez Dimension Data. «Ici, l’IAM sera rigide dans le sens où le projet répond prioritairement à un besoin de sécurité; là, on pensera davantage en termes de gains de productivité et d’efficacité, constate Jean-Hubert Antoine L’approche du projet sera donc radicalement différente.»

Pas si sûr, estime Ulrich Seldeslachts (LSEC). A l’entendre, il faut d’ores et déjà penser Web Services, Cloud Services… «Pour preuve, l’intérêt pour la notion de fédération d’identités. En soi, rien de vraiment neuf. Sauf le regard porté sur ce concept. Les entreprises y viennent, enfin! Comme le partage des informations d’identité et sessions utilisateur est sécurisé entre les partenaires d’un même cercle de confiance, les utilisateurs profitent d’un accès transparent aux applications, qu’elles soient internes ou externes à leur entreprise. Centralisateur, l’IAM laisse aussi des espaces de liberté et de créativité!»

Pour Bart Callens (Belgacom), cette évolution est inéluctable. La sécurité tend à devenir un service à part entière délivré en mode PaaS. «Hier, les entreprises hésitaient à sous-traiter la gestion de leurs firewalls. Plus aujourd’hui… Il en ira de même pour l’IAM. Chez Belgacom, nous sommes en train d’intégrer cette offre dans notre portefeuille de services en mode PaaS.»

Bart Callens, Applications Security, Solutions Manager, Belgacom
Arno Coster, Director BU Identity & Security Management, Novell Benelux
Nicolas Rocq, IAM Dexia Program Manager, Bull BeLux
Anthony Moillic, Quest Software
Jean-Hubert Antoine, Security Solutions Manager, Dimension Data Luxembourg
Ulrich Seldeslachts, Leader SECurity (LSEC)