Pourquoi avez-vous besoin d’une solution IAM ?
La demande de solutions de gestion des identités et des accès (IAM) a connu une croissance rapide ces dernières années et celle ci ne semble pas s’arrêter. Le cabinet d’études Marketsandmarkets s’attend à ce que le marché de la gestion des identités et des accès atteigne 25,6 milliards de dollars entre 2022 et 2027. Selon une étude récente du cabinet Forrester, une grande partie de cet investissement dans les solutions IAM se fera dans des solutions basées sur le cloud. Plus de 80 % des décideurs informatiques dans le monde ont déjà adopté des solutions cloud, ou prévoient de le faire au cours des deux prochaines années. Mais cela fait-il du cloud le principal moteur de la croissance du secteur, ou d’autres catalyseurs entrent-ils en jeu ? Votre organisation devrait-elle également avoir une stratégie de gestion des identités et des accès ?
Dans cet article, nous examinons les principales raisons pour lesquelles vous aussi vous devriez mettre en œuvre une solution IAM.
Dans cet article
Gestion des identités et des accès
Cela fait maintenant plus de 20 ans que Tools4ever est un acteur majeur sur le marché de l’IAM. Au cours de cette période, nous avons constaté une évolution des raisons pour lesquelles les clients mettent en œuvre une telle solution. Avant d’aborder ce sujet, il est important de définir ce qu’est et ce que fait une solution de gestion des identités et des accès :
« La gestion des identités et des accès englobe les processus, les politiques et les systèmes qui gèrent les identités numériques des utilisateurs de manière sécurisée et rationalisée. »
Il s’agit donc d’un terme générique pour une variété de technologies telles que « l’approvisionnement des utilisateurs », « l’automatisation des services » et « la gestion des accès ». Chacune de ces technologies est également composée d’éléments tels que la « gestion du cycle de vie de l’identité », la « gestion du flux de travail », l' »authentification unique », etc. En résumé, la gestion des identités et des accès comprend trois concepts permettant de s’assurer que les bons utilisateurs, au bon moment, ont le bon accès aux bonnes applications : l’identification, l’authentification et l’autorisation. Lorsque les utilisateurs veulent accéder aux systèmes ou aux données, ils doivent d’abord s’identifier à l’aide du nom d’utilisateur associé à leur compte. Une fois leur identité et leurs autorisations établies par le processus d’authentification, tel qu’un mot de passe ou un jeton, ils peuvent accéder aux informations dont ils ont besoin.
Pourquoi une solution IAM ?
Dans la définition de l’IAM (identity and Access Managment), nous voyons déjà deux termes clés : sécurité et rationalité. Traditionnellement, c’est ce dernier qui focalise le plus l’attention. La rationalisation comprend l’efficacité et la réduction des coûts. Toutefois, ces dernières années, sous la pression de lois et de réglementations de plus en plus strictes, ce sont précisément la conformité et la sécurité qui ont pris le dessus. Ci-dessous, nous allons nous pencher plus en détail sur ces facteurs et expliquer certains défis actuels.
Efficacité et réduction des coûts
Les organisations utilisent un grand nombre d’applications hétérogènes. Elles fonctionnent à la fois sur site et dans le cloud et utilisent chacune leurs propres normes et protocoles. En raison de la forte augmentation des applications cloud, il est de plus en plus difficile pour les services informatiques d’intégrer les applications les unes aux autres et d’y appliquer des mesures de sécurité à l’échelle de l’organisation. En effet, chacune de ces applications possède sa propre base de données d’utilisateurs, ce qui entraine à un grand nombre de silos d’identités isolés. La gestion de tous ces comptes et de leurs droits est source d’erreurs et de travail manuel pour les services informatiques. Pour les utilisateurs de la société, l’effet est également visible sous la forme d’une mauvaise expérience utilisateur et d’une productivité réduite.
Gestion manuelle des mutations
Lorsqu’un nouveau collaborateur arrive, il a besoin de comptes dans diverses applications et systèmes. Le collaborateur doit également se voir attribuer des droits dans ces systèmes afin de pouvoir effectuer son travail. Mais cela ne s’arrête pas là. Au fil du temps, cet utilisateur va évoluer dans la structure et changer de poste, ce qui nécessite une augmentation de ses droits, voire un changement de ensemble de ses autorisations. Mais quels sont les droits qu’il doit conserver et quels sont ceux qui doivent être augmentés ou, plus important encore, supprimés ? Et que ce passe-t-il lorsqu’un collaborateur change de nom ? Lorsque l’on donne un accès « temporaire » à un répertoire sensible ? Ou enfin, lorsque le collaborateur quitte l’entreprise, volontairement ou non ?
Ce ne sont là que quelques-unes des nombreuses mutations qui peuvent survenir chez un utilisateur. Il est important que chacune des opérations de changement du compte soit faite correctement, mais surtout à temps.
Réduction de l’expérience utilisateur et de la productivité
Pour les collaborateurs, la gestion manuelle des modifications apportées à son profil se traduit rapidement en une mauvaise expérience. Aujourd’hui, alors que vous êtes à la recherche régulièrement de nouveaux collaborateurs, vous souhaitez que leur intégration se fasse en douceur et qu’ils soient productifs dès le premier jour. Cependant, lorsque ces collaborateurs doivent attendre plusieurs heures/jours pour accéder aux informations nécessaires à l’exécution de leur travail, un phénomène de frustration et d’agacement se crée en même temps qu’une baisse de la productivité. Cet équilibre entre un service informatique efficace et une bonne expérience utilisateur pour les collaborateurs, d’une part, et le maintien d’un niveau élevé de sécurité et de contrôle, d’autre part, est très difficile à atteindre lorsqu’un processus manuel de gestion des identités et des accès est utilisé.
De nombreux tickets d’assistance
Selon une étude de Gartner, 30 à 50 % des tickets du service d’assistance informatique sont liés à la réinitialisation des mots de passe et à la réactivation des comptes. Cela signifie que le helpdesk de votre structure consacre une grande partie de son temps à cette action répétitive relativement simple qui, vous coûte au final plusieurs euros par ticket. Et pendant qu’un Collaborateur attend que son mot de passe ou que son compte soit restauré, il n’est pas productif. Cela se traduit par un coût annuel important pour le service informatique en gestion de tickets et pour l’ensemble de l’organisation avec une perte de productivité. Sans système IAM, il est difficile de blâmer les collaborateurs pour la perte de leurs informations de connexion. En effet, qui peut se souvenir de dizaines de combinaisons différentes de noms d’utilisateurs et de mots de passe d’au moins 8 caractères, composés de lettres majuscules et minuscules, de chiffres et de caractères spéciaux, qui doivent en outre être changés régulièrement, et ce depuis différents appareils ?
Les problèmes d’autorisation constituent une autre raison fréquente de créer un ticket au support informatique. Que ce soit pour un accès à une application particulière, à une augmentation des droits, un besoin d’accès à un dossier réseau, ces demandes sont 9 fois sur 10 adressées au service d’assistance informatique qui ne dispose souvent pas des informations nécessaires pour pouvoir fournir rapidement une réponse. Et lorsqu’un collaborateur appelle, comment vérifier son identité ?
Ces problématiques on comme résultat que le helpdesk se retrouve à contacter le responsable de la ressource demandée pour vérifier la légitimité de cette demande et la façon de la traiter. Il doit ensuite attendre une approbation ou un refus de ce dernier pour pouvoir réellement traiter la demande dans l’outil ITSM et fournir au demandeur les bons accès ou les bonnes autorisations. Un processus lourd et fastidieux qui comporte de nombreux risques d’erreurs.
Coûts élevés des licences logicielles
En moyenne, environ un tiers du budget informatique est consacré aux licences de logiciels, que se soit des versions en application ou en SaaS. En particulier, les applications spécialisées telles que Microsoft Visio ou encore Adobe Creative Suite qui sont onéreuses et dont le nombre de licence doit être contrôlé. Il est de ce fait très courant de payer les licences de ces logiciels par utilisateur.
Cependant, des études montrent que des milliards sont gaspillés chaque année par les entreprises pour des licences acquises et inutilisées. Il n’est pas très difficile de calculer la réduction de coûts obtenue si vous ne distribuez que les licences nécessaires. Même lorsqu’un logiciel n’est utilisé que sporadiquement, une solution IAM peut prendre en charge l’attribution et la récupération de ces licences pour diminuer au maximum le pool de licences achetées. Elle peut également refuser automatiquement l’accès aux utilisateurs lorsque le pool de licences est vide.
Exigences de conformité aux lois et réglementations
Ces dernières années, des lois et des réglementations de plus en plus strictes ont été mises en œuvre en Europe, rendant les organisations responsables de la gestion, de la sécurisation et de l’accès aux données des leurs clients et de leurs collaborateurs. Le règlement général sur la protection des données (RGPD) est la législation la plus connue en matière de protection de la vie privée. Aujourd’hui, les organisations doivent disposer de procédures claires pour déterminer qui a accès à quelles informations et comment celles-ci sont sécurisées. Les auditeurs et l’Autorité de protection des données personnelles (APD) veillent à ce que ces procédures soient strictement respectées.
Accumulation de droits et autorisations contradictoires
En matière d’attribution et de retrait d’autorisations, il y a de nombreux disfonctionnement dans les organisations. L’octroi d’autorisations n’est généralement pas le plus gros problème car les utilisateurs savent alerter le service informatique lorsqu’ils leur manquent quelque chose. L’inverse est plus compliqué. Un utilisateur n’indiquera pas facilement de son propre chef qu’il a des accès et des autorisations inutilisés et qu’il doit les rendre. Par conséquent, les droits accordés ne sont généralement jamais révoqués. Les exemples sont nombreux : Un utilisateur a temporairement besoin de Visio pour un projet, change de fonction ou de département, accompagne un projet d’entreprise en tant que testeur, etc.
Cependant, ce cumul de droits peut prendre des formes encore plus complexes dans le cas des autorisations dites conflictuelles ou toxiques ? Un exemple parlant est celui d’un collaborateur qui peut à la fois émettre, approuver et payer des factures.
Au fil du temps, les utilisateurs peuvent ainsi accumuler un grand nombre de permissions auxquelles ils n’ont plus réellement « droit », mais dont personne ne se soucie plus. Pas même les responsables, qui estiment qu’il est plus important que quelqu’un puisse faire son travail sans contrainte plutôt que de limiter les accès à des dossiers contenant des données sensibles. De plus, il n’est pas certain qu’un responsable soit au courant de cette situation.
Copier l’utilisateur au lieu du moindre privilège
Si, au niveau de votre organisation, vous appliquez également une politique de « copie d’utilisateur », vous vous retrouvez rapidement dans un cauchemar en matière de sécurité. Les normes de sécurité de l’information tels que ISO 27001 et 27002, Baseline Information Security Government (BIO) et NEN 7510 insistent sur le principe du moindre privilège. Les utilisateurs doivent n’avoir accès qu’aux applications et aux informations essentielles à leur travail et pas plus. Les services informatiques, quant à eux, doivent être en mesure de prouver que c’est effectivement le cas. Un processus manuel peut difficilement y répondre. Sans parler de la possibilité d’établir des rapports à ce sujet et de retrouver comment une personne a obtenu un droit. Autant de problématiques qui peuvent facilement être résolues avec une solution de gestion des identités et des accès.
Protection contre les violations de données
Aujourd’hui, presque tous les jours, des informations faisant état de piratages à grande échelle, d’attaques par ransomware et de violations de données apparaissent dans la presse ou sur internet. Il est clair que la cybercriminalité n’a jamais été aussi présente. Les cybercriminels deviennent de plus en plus professionnels et de mieux en mieux à même de lancer des attaques à grande échelle. Une violation de données a un coût élevé. Elle peut complètement perturber les activités de l’entreprise et peut avoir des répercussions directes. En effet, l’Autorité des données personnelles inflige aujourd’hui de lourdes amendes aux organisations qui n’ont pas mis de l’ordre dans leur sécurité ou qui n’ont pas fait leur rapport dans les délais impartis. Il est donc essentiel que les organisations prennent des mesures pour prévenir les violations de données.
Erreurs humaines
Là où les gens travaillent, des erreurs sont commises. Des collaborateurs cliquent sur un lien malveillant malgré les sessions annuelles de formation à la cybersécurité, un membre du support copie accidentellement pour un nouveau collaborateur les droits d’accès d’un collègue occupant un poste similaire, un responsable informatique oublie de désactiver le compte d’un employé licencié… Une solution IAM peut prévenir les risques et l’impact de la propagation de comptes compromis en appliquant une authentification forte, en minimisant les autorisations et en fermant les comptes (orphelins) en temps voulu. Elle empêche également l’accès non autorisé aux données sensibles de l’entreprise par des personnes internes ou externes.
Pourquoi avez-vous besoin d’une solution IAM ?
Nous avons décrit ci-dessus les défis les plus courants auxquels est confrontée une organisation qui n’utilise pas encore de solution IAM (correctement configurée). Reconnaissez-vous un ou plusieurs de ces défis ? Si c’es le cas, il faut réfléchir à une stratégie IAM pour votre organisation au plus vite. Dans le prochain blog, nous expliquerons comment la technologie de provisionnement des utilisateurs au sein d’une solution de gestion des identités et des accès peut résoudre ces problèmes.
Vous souhaitez en savoir plus sur les possibilités offertes par les solutions IAM de Tools4ever ? Téléchargez notre livre blanc Identity as a Service ou contactez-nous pour une démonstration gratuite !
Cet article a été initialement écrit par Maikel Baars vous pouvez retrouver la version originale ici
Écrit par:
Patrick Horyn
