Votre gestion des identités est-elle en péril ?
Une politique de gestion des identités bien pensée est reléguée au second plan depuis des années au sein des organisations. La plupart des organisations ne s'y mettent que lorsqu'elles ne peuvent plus l'éviter en raison de la réglementation ou d'audits externes. C'est d'ailleurs la raison pour laquelle d'autres pays sont en avance sur la France à ce sujet. Le respect des obligations de conformité et des audits constitue certes un excellent motif pour définir une politique stratégique de gestion des identités, mais en se focalisant sur cet aspect un autre risque apparaît.
Mise en œuvre technique de la gestion des identités
Plusieurs options existent pour mettre en place techniquement un environnement de gestion des identités. À mon sens, de nombreuses organisations font un choix peu logique. Parce qu'elles se focalisent sur les audits et la réglementation, elles déploient souvent un système de BI ou une solution de type entrepôt de données où sont stockés les droits d'accès des employés. Chaque mois, cette solution récupère alors un fichier CSV contenant les modifications auprès des différents systèmes du réseau (par exemple le SIRH, Active Directory). Ensuite, un rapport est généré à partir de cette base de données et, sur cette base, les incohérences par rapport à la réglementation sont corrigées.
Pollution des systèmes sources
À première vue, cela paraît très logique. Mais si l'on considère d'autres façons de mettre en place techniquement un environnement de gestion des identités, les organisations réaliseront que cette approche est un travail vain. Car si le système du réseau est pollué, ce qui est le cas dans de nombreuses organisations, chaque fichier CSV reflétera à chaque fois cette pollution. En outre, l'expérience montre que les organisations ont rapidement besoin de 1 à 2 ETP pour gérer les rapports mensuels. Enfin, une mise à jour mensuelle, et non en temps réel, des droits d'accès signifie que des employés licenciés ou temporaires disposent encore d'un accès au réseau de l'entreprise. Cette approche met donc en péril la gestion des comptes utilisateurs.
Je pense que les organisations peuvent structurer autrement leur processus d'audit, ce qui soutient également la gestion des comptes utilisateurs. Je recommande aux organisations de commencer leur politique de gestion des identités par le provisionnement automatique des comptes utilisateurs. Les journaux et les rapports peuvent être utilisés pour l'audit et la conformité. Deux objectifs atteints en une seule action. Et même davantage, car la gestion des workflows et le RBAC peuvent également y être ajoutés facilement. Cela se traduit par un environnement de gestion des identités plus complet.
Écrit par :
Tjeerd Seinen
Depuis plus de 20 ans, Tjeerd Seinen travaille en tant que gestionnaire de compte technique chez Tools4ever. Il a une expérience à la fois technique et commerciale et est donc capable de convertir les opportunités de marché en fonctionnalités pour les produits et les services de conseil.