Le contenu de cet article est issu d’une interview réalisée par Marc JACOB pour le magazine Global Security Mag en mars 2022, disponible ici.
De l’évidence de l’IAM, et de la difficulté des transformations qu’il implique
Face à l’évolution des menaces et des usages (mobilité, télétravail, Cloud Computing…), non seulement l’IAM n’est plus une option ; mais il est désormais acquis que disposer d’une gestion efficace et agile des identités et des accès est un différentiateur.
Par essence, l’IAM est à la croisée de toutes les transformations structurantes : c’est entre autres choses un pilier majeur pour s’orienter dans une approche zéro-trust, un essentiel « de base » pour servir efficacement ses utilisateurs et leur apporter un confort constant pendant toutes les phases de transformation, et c’est évidemment un différentiateur dans la création de la relation avec ses clients.
L’IAM ne peut plus simplement se permettre de « suivre à distance » les transformations de l’Entreprise, en offrant un niveau de service a minima et souvent difficile à faire évoluer. Il doit être efficace, agile, et en capacité d’anticiper des situations parfois complexes comme des M&A, la multiplication des APIs, ou la bascule vers modèle d’économie « plate-forme ». Ces situations impliquent de repenser en profondeur son IAM : son périmètre et son ambition, sa politique et sa gouvernance, son mode de delivery (on-premise vs SaaS), son offre de service et son modèle économique…
Le déploiement des services d’IAM chez les grands comptes
Maturité du marché : savoir évaluer sa maturité par rapport au marché pour engager son programme de transformation sur une base solide et objective
La grande majorité des grands comptes ont déjà conduit un ou plusieurs projets qui ont permis de déployer des services IAM. Toutefois, ces déploiements sont souvent partiels et la maturité du déploiement peut fortement varier d’une entité à l’autre. Historiquement, ces projets sont en fait confrontés à une forte hétérogénéité des existants (en matière d’organisations, de processus et de SI), et ne dispose pas de la légitimité nécessaire pour faire converger les pratiques. De plus, l’IAM était souvent vu comme un projet « one shot » avec des moyens souvent insuffisants pour suivre et s’adapter aux évolutions de l’Entreprise (réorganisation, M&A, évolutions d’application…). Ces éléments ont pu conduire à un « décrochage » entre les sujets IAM, trop statiques, et les besoins réels en évolution permanente.
Parce que déployer des services d’IAM, ce n’est pas simplement déployer une « boîte » en production. Pour en tirer bénéfice, il est nécessaire de repenser et simplifier son organisation et ses processus IAM, et notamment se poser les questions suivantes :
- Comment gérer l’arrivée d’un nouveau collaborateur ?
- Comment gérer l’internalisation d’un prestaire ?
- Comment modéliser ses profils métiers ? Comment les faire évoluer dans le temps ?
- Comment impliquer les managers, les responsables des données dans les processus IAM ?
- Comment traiter la perte de moyen d’authentification forte ?
- Quels standards imposer pour simplifier le raccordement des applications à l’IAM ?
- Comment s’assurer du respect des règles internes ou de règlementations ?
Depuis maintenant quelques années, nous constatons une réelle prise de conscience et une volonté de nos clients à s’emparer de l’IAM pour le rendre plus efficace, plus rationalisé et plus agile : cela implique pour pouvoir arbitrer et conduire une transformation en profondeur. Concrètement, sur les 3 dernières années, 2/3 de nos clients ont lancé de tels programmes de transformations IAM. Ces initiatives, pluriannuelles, ont gagné en ambition, en structure, en investissement, en visibilité et réussissent désormais à figurer en bonne place dans le « Top 5 » des grands projets de transformation de la DSI.
Pour engager de tels programmes, la première étape consiste à pourvoir évaluer sa maturité réelle, entité par entité, avant de pourvoir définir une trajectoire de transformation réaliste et fédératrice entre les parties prenantes. De manière très simplifiée, nous pouvons distinguer 4 niveaux de maturité :
- Fragmenté: l’organisation n’a pas d’approche consolidées
- Rationnalisé: l’IAM est simplifié et géré de manière centralisée sur les services de base
- Etendu: capacités organisationnelles d’IAM adaptées à un S.I en évolution
- Maîtrisé: IAM efficient, agile, réduction de la charge de travail grâce à l’automatisation
En tendance, nous pouvons considérer que les grandes entreprises se situent sur les niveaux intermédiaires « Rationnalisé » et « Etendu », et vise une cible « maitrisée » ; s’appuyant sur :
- Une infrastructure IAM centrale, unique et optimisée.
- Une gestion courante déléguée au sein de chaque entité.
5 clés pour réussir à opérationnaliser sa stratégie d’IAM
L’IAM est un vaste sujet où il est facile de se perdre. De plus, la réalité opérationnelle de l’IAM est très souvent mal connue et la complexité de transformation sous-estimée.
Pour pallier ces risques, nous vous proposons 5 clés majeures :
- Bien définir son ambition IAM et s’assurer de la cohérence entre cette ambition et les moyens alloués : sponsor, capacité à faire bouges les lignes, moyens humains et financiers
- Prendre le temps de s’approprier la réalité opérationnelle de l’IAM
- S’organiser dans un programme de transformation à même d’aborder l’ensemble des facettes
- Se préparer à une transformation en profondeur, et accepter d’avancer par étapes et avec des compromis, et donc des renoncements, pour faire face à la somme des contraintes
- S’appuyer sur les données réelles pour expliquer ses arbitrages et pour anticiper les éventuels manques de qualité.
S’appuyer sur les fournisseurs IAM : tendances et risques
Le marché des fournisseurs IAM se structure, et translate dans le Cloud
Le marché des fournisseurs IAM, comme les autres marchés spécialisés, évolue à partir des évolutions que connaissent les systèmes d’informations : basculer vers le Cloud, offrir plus d’API, intégrer des fonctionnalités d’analyse de données, d’IA, afin de simplifier voire d’automatiser la prise de décision.
En complément de ces considérations, deux tendances propres au marché des fournisseurs IAM se dégagent :
- Premièrement, les acteurs leaders de l’Access Management cherchent à progressivement étendre leur couverture fonctionnelle vers des fonctionnalités de Gestion des Identités ou de PAM.
- Deuxièmement, il y a de plus en plus d’acteurs couvrant des besoins fonctionnels spécifiques, comme l’IAI (Identity Analytics & Intelligence), le CIAM ou le souhait de disposer d’une plate-forme directement développée dans Service Now.
Le déplacement dans le Cloud indique des modifications d’architecture des solutions IAM
De plus en plus d’éditeurs proposent des solutions d’IAM dans le Cloud. Ce mouvement vise à offrir la même couverture fonctionnelle que les applications « on-premise » en mode SaaS. Suivant les services offerts, elles sont structurées autour de deux composants :
- Une partie « Cloud » qui porte l’ensemble des fonctionnalités et stocke les données des clients ;
- Une « passerelle » sur site qui permet de faire le lien avec le système historique en place (pour le provisioning par exemple). Elle permet un meilleur contrôle des échanges de données et concourt donc à sécuriser l’architecture.
Ainsi, cette architecture à deux composants présente les mêmes risques que tout autre service Cloud, et il faut les aborder de la même manière : Quels sont les niveaux de services garantis ? Où sont stockées mes données ? Quid de la protection de mes données et du respect des normes (GDPR notamment) ? Dans quelles conditions puis-je changer de fournisseurs ?
Le contexte géopolitique accroit ces risques et fait également peser un risque spécifique de coupure de service en application d’éventuelles sanctions internationales.
Et l’IAM du futur : quelles évolutions ?
Demain, l’IAM va continuer ses transformations pour aller vers plus d’agilité, plus de Cloud, plus de standard et d’intégration, plus d’aide à la décision et d’automatisation grâce à l’IA. Concernant le système d’authentification, l’authentification forte est désormais un « basic » et deux évolutions majeures se jouent :
- Une évolution plutôt technique avec le « passwordless » qui vise à faire disparaitre les mots de passe, y compris techniquement dans les bases de données des applications et les flux inter-applicatifs.
- Une évolution sur le moyen d’authentification donné aux utilisateurs. Le Smartphone s’est imposé comme un facteur d’authentification mais toutes les populations en Entreprise ne sont pas équipées. Et alors que le support « carte à puce » est en perte de vitesse, les dongles sécurisés (composant matériel se branchant sur les ordinateurs ou les téléviseurs, généralement sur un port d’entrées-sorties semblent s’imposer pour ces populations sans Smartphone.
Enfin, à plus long terme, l’IAM évoluera certainement sous l’impulsion de l’approche « privacy-by-design », de plus en plus intéressante et amenée à être de plus fréquente ; et, pourquoi pas, avec la généralisation de l’identité citoyenne (avec un niveau d’enrôlement ad hoc), y compris pour des usages commerciaux.