Depuis plus de vingt ans, Wavestone accompagne ses clients dans leur programme de gestion des identités et des accès. Le constat que nous tirons de notre connaissance du terrain est que l’IAM est très souvent abordée partiellement par les organisations, c’est-à-dire sans tenir compte des autres dimensions du sujet : la sécurité évidemment, mais aussi l’UX et l’amélioration de ses procédures internes. De fait, il est également complexe d’évaluer sa maturité en IAM et de l’évaluer avec précision ; les standards du marché, comme le NIST, ne permettant pas d’évaluer sa maturité sur toutes les problématiques.
Afin de formaliser notre expérience acquise et d’aller plus profondeur, nos experts ont créé un outil d’évaluation de maturité IAM.
Entretien avec Anatole CATHERIN, Manager et expert IAM depuis presque 10 ans chez Wavestone.
Bonjour Anatole, merci pour ton temps ! Pour commencer, pourrais-tu nous expliquer ce que c’est (vraiment) l’IAM ?
L’Identity and Access Management (IAM) est une discipline à la croisée de trois mondes.
Évidemment, celui de la cybersécurité puisqu’il s’agit de gérer les identités, les droits accordés à ces identités et l’accès des utilisateurs aux ressources de l’entreprise. Concrètement, chaque utilisateur a des accès dans le cadre de son rôle au sein d’une organisation. Les organisations doivent savoir qui peut faire quoi, quand et pourquoi au sein de leur système d’information. L’IAM est ainsi une condition sine qua non de la cybersécurité, notamment pour mettre en place une politique Zero Trust.
La gestion des identités et des accès doit aussi être perçue comme un business enabler, un facilitateur pour la réussite des programmes de transformation numérique des organisations , tout en offrant des processus opérationnels plus efficaces à ses collaborateurs et clients. Il permet par exemple de contrôler et fluidifier la gestion des arrivés, des départs ou des mobilités : l’IAM assure que chaque nouveau collaborateur bénéficie des bons accès, qu’en cas de mobilité ou de départ, les accès pertinents soient coupés et qu’il n’y ait pas de perte d’informations.
Le troisième volet est que l’IAM fluidifie l’expérience utilisateur des collaborateurs au sein d’une organisation. D’ailleurs, le meilleur système IAM ne se voit pas ; pouvoir travailler dès son arrivée ou bénéficier d’une connexion renforcée lorsque le contexte de sécurité le nécessite devraient être considérés comme normal, par tous.
Pourquoi est-ce si difficile de construire un système IAM qui fonctionne ?
Vous l’aurez compris, l’enjeu de l’IAM c’est de trouver (et garder) l’équilibre entre sécurité et fluidité de navigation et ce n’est pas simple.
Et pour progresser, il faut savoir où on en est… Mais d’expérience, nous avons constaté que nos clients éprouvaient des difficultés à mesurer l’efficacité de leur système IAM en place… et pour cause ! Il n’existe pas sur le marché de référentiel dédié pour s’évaluer. Les piliers du NIST restent très haut niveau et ne permettent pas de couvrir toutes les questions liées à l’IAM évoquées précédemment ; les référentiels existants ne traitent l’IAM que sous le volet cybersécurité sans mesurer son impact sur l’efficacité opérationnelle des procédures internes d’une organisation et sans mesurer non plus la fluidité du parcours utilisateur.
Le but en créant l’IAM Framework était donc de proposer un cadre qui évalue l’ensemble de la discipline et qui puisse servir à construire un plan d’actions concrètes.
Justement, peux-tu nous parler brièvement de l’outil d’évaluation de maturité IAM ?
Plus qu’un outil, je parlerais surtout d’un cadre de travail et d’une méthodologie outillée pour accompagner clients et les aider à faire un état des lieux de leur maturité IAM.
Le Framework permet de savoir où en est l’organisation à date : sur quel périmètre l’IAM est déployé (ou non) et quels sont les grands axes sur lesquels travailler. Il donne ainsi une vue d’ensemble, avec le bon cadre, le bon angle et la bonne résolution pour parcourir tous les sujets IAM.
Cette évaluation de maturité permet ensuite de prioriser les chantiers et de mettre en place un plan d’action IAM ! Grâce à ce cadre, nous pouvons identifier les grands axes d’amélioration, tout en tenant compte des spécificités de chaque organisation, via l’introduction de la notion de périmètre.
En résumé, il répond à trois objectifs : Evaluer, Améliorer et Etendre l’IAM sur d’autres périmètres, par exemple, au-delà des internes et prestataires, avec les clients ou partenaires. Il a été voulu exhaustif afin de mettre en lumière les manquements de nos clients et mesurer par la suite leur progression et l’efficacité de leur programme de transformation.
Notre ambition serait d’en faire le premier standard d’évaluation, intégralement dédié à l’IAM, avec un niveau de granularité suffisant pour couvrir toutes les thématiques !
Comment est-il construit ?
Concrètement, notre outil est composé d’une cinquantaine de questions qui couvrent les 6 thématiques IAM :
- Gouvernance
- Gestion des identités
- Gestion des habilitations
- Contrôle des accès
- Gestion des accès à privilège
- Rapport et contrôles
Il peut être utilisé dans plusieurs cas, dont voici 2 exemples :
Cas d’usage 1 : À l’occasion d’une mission d’audit ou de (pré)cadrage, c’est-à-dire dans le cas où vous ne connaissez pas votre niveau de maturité en matière de gestion des accès et des identités. Dans ce cas, les questions permettent d’identifier les axes d’amélioration pour lancer des projets d’évolution IAM. |
Cas d’usage 2 : Dans le cadre d’un programme de transformation (moyen ou long terme). Cela peut en effet être pertinent de faire ce type d’évaluation de maturité à mi-chemin pour constater des progrès réalisés et réorienter si besoin la stratégie. |
Peux-tu nous parler de la dernière fois que tu l’as utilisé avec un exemple concret ?
Nous avons confronté le questionnaire à la réalité terrain lors de plusieurs missions, au cours desquelles l’exploitation de l’IAM Framework a permis d’accélérer la démarche mise en œuvre. Ces missions concernaient :
- la définition d’une feuille de route IAM pour une grande entreprise de l’énergie
- le cadrage d’une migration vers un outil IAM pour le compte d’un groupe bancaire, qui a permis de mesurer les écarts entre leur solution existante et la nouvelle
- l’évaluation de maturité IAM pour un acteur de l’assurance, afin d’identifier les points de frictions et les axes d’amélioration et d’établir une roadmap
Pour ces trois projets, la grille d’évaluation a permis d’identifier l’ensemble des sujets à traiter (connus ou non du client au départ) afin de fournir une roadmap actionnable couvrant l’intégralité des enjeux IAM. En d’autres termes, le Framework peut être utilisé comme cadre d’analyse pour la réalisation d’un projet.
De nouvelles missions vont se lancer sur le sujet et nous avons hâte d’accompagner de nouveaux clients pour améliorer leur structure IAM !
Un mot pour la fin ?
Je terminerai par rappeler toutes les qualités du Framework !
- Prêt à l’emploi, il permet de couvrir tous les sujets IAM grâce ses cinquantaines de questions, pensées par les experts Wavestone,
- Il offre une vision standardisée et formalisée de sa maturité sur le sujet de la gestion des accès et des identités. Cette évaluation est d’ailleurs l’occasion d’impliquer tous les acteurs clés impactés par l’IAM: les équipes cyber bien sûr, avec les équipes IT, mais aussi les équipes d’audit interne et surtout métier,
- Il facilite la priorisation des actions à mener dans le cadre d’un programme de transformation. Comme expliqué précédemment, il peut par ailleurs être utilisé à différent moment et peut donc s’inscrire comme support dans le cadre d’une réflexion plus large,
- C’est enfin un moyen flexible d’utilisation: soit à utiliser pour du très haut niveau (un niveau stratégique) soit à utiliser pour développer des actions très précises.
Envie de vous évaluer ? Contactez nous !