La recertification est-elle obligatoire ?

Cela dépend du type de certification. Pour des certifications de normes telles qu'ISO 27001, une recertification régulière est souvent obligatoire pour conserver le certificat. Dans le cadre de notre gouvernance IAM, il s'agit d'un processus d'évaluation interne qui n'est pas obligatoire, mais qui aide à étayer votre conformité à différentes normes de sécurité de l'information.

Existe-t-il un certificat IAM ?

Non, il n'existe pas de certificats IAM spécifiques pour lesquels un fournisseur peut se certifier. Il existe toutefois des standards et des normes pertinents qui attestent de la qualité de votre produit IAM et de votre prestataire. En tant que fournisseur IAM, HelloID est notamment certifié ISO 27001 et dispose d'un rapport d'audit SOC 2 Type II.

Recertification

Q: Qu'est-ce que la recertification ?

La fonctionnalité de recertification vous permet de garder la maîtrise des droits d'accès que vous avez attribués et d'assurer la conformité de votre organisation avec les lois et réglementations.

Qu'est-ce que la recertification ?

La recertification, fait partie de la fonctionnalité de gouvernance de HelloID. La recertification aide à mieux contrôler l'utilisation des produits en libre-service. Environ 80 % des comptes ou autorisations délivrés le sont via un provisionnement automatisé. Les 20 % restants peuvent être demandés par les utilisateurs ou leurs managers via, par exemple, un portail self-service. Le risque est que ces licences et droits d'accès, une fois accordés, ne soient plus jamais réévalués ni révoqués. Alors qu'un collaborateur n'a peut-être plus besoin d'une licence donnée, que de meilleures alternatives existent désormais, ou que certains logiciels ne correspondent plus à la politique de l'entreprise. Avec la recertification, vous pouvez organiser une réévaluation régulière et structurée de ces droits accordés. La décision peut être de conserver la licence, de proposer une alternative ou d'interdire l'utilisation du logiciel. Pour éviter une charge excessive, notre fonctionnalité de recertification fournit des outils permettant d'effectuer l'évaluation et la validation des licences et des droits applicatifs autant que possible par lots.

Pourquoi la recertification

Avec une plateforme IAM telle que HelloID, vous gérez les utilisateurs au sein de votre environnement IT, les comptes qui leur sont attribués ainsi que divers autres produits. Pensez aux droits et licences applicatifs, à l'accès aux dossiers de projet, aux boîtes aux lettres, etc. Pour des organisations comptant des centaines ou des milliers de collaborateurs et parfois des centaines d'applications, une simple feuille Excel ne suffit pas et il faut organiser la gestion correctement et automatiser autant que possible. Avec HelloID, nous le faisons de deux manières complémentaires :

La majorité des comptes et des droits sont attribués par un Provisioning automatisé, selon le rôle de la personne dans l'organisation. Dans ce modèle de RBAC (Role Based Access Control, contrôle d'accès basé sur les rôles), chacun reçoit les autorisations nécessaires à l'exercice du rôle attribué. Un commercial obtient par exemple l'accès standard au système CRM, tandis qu'un administrateur doit pouvoir utiliser les applications financières.
Parce que tous les droits ne sont pas liés à des rôles spécifiques et que des droits d'accès supplémentaires peuvent être nécessaires, par exemple pour un projet temporaire, HelloID propose également la Service Automation Nous y gérons les demandes et les workflows associés pour ces droits d'accès individuels complémentaires.

Ce n'est pas suffisant, car votre environnement IT évolue en continu. Les personnes changent de fonction, déménagent vers un autre service, de nouveaux collaborateurs arrivent et d'autres partent. Une application précédemment fournie peut aussi être devenue obsolète. En bref, vous souhaitez adapter en permanence la situation des comptes et des droits aux circonstances changeantes.

Nous avons mentionné les deux méthodes de gestion des comptes et des droits d'accès : via Provisioning ou via Service Automation. Les droits gérés via le module Provisioning restent automatiquement à jour. Si une personne change de rôle, ses droits d'accès sont automatiquement adaptés. Et si une alternative est choisie, par exemple pour le système CRM, ce changement est appliqué automatiquement.

Cela est plus complexe pour les produits individuels gérés via Service Automation. Ces produits sont souvent accordés de manière ponctuelle et pour une durée indéterminée. Ils ne sont donc pas gérés automatiquement et finissent par sortir du radar. La recertification a été conçue pour réévaluer régulièrement ces droits accordés.

Comment fonctionne la recertification ?

Pour comprendre le fonctionnement de la recertification, examinons d'abord comment organiser une demande individuelle avec Service Automation. Un collaborateur peut par exemple demander via un portail self-service l'accès à une boîte aux lettres de projet. Il doit alors être ajouté à un groupe Active Directory ou EntraID spécifique. Dans Service Automation, cette demande peut être rationalisée au moyen d'un workflow où, par exemple, le manager du collaborateur puis le propriétaire de la boîte aux lettres doivent donner leur accord. Une fois la demande approuvée en ligne par les deux, HelloID la traite et envoie automatiquement une requête à AD ou EntraID pour appliquer les paramètres requis.

Cette attribution est souvent à durée indéterminée. Si personne ne prend l'initiative, l'utilisateur conserve l'accès tant que la boîte aux lettres existe et le droit n'est révoqué que lorsque la personne quitte l'organisation. Avec la recertification, nous pouvons intégrer un contrôle régulier afin de vérifier si la personne a toujours droit à cette boîte aux lettres. Le principe consiste à répéter la procédure de demande. Le manager et le propriétaire de la boîte aux lettres reçoivent à nouveau une demande en ligne qu'ils peuvent approuver ou refuser. En fonction de leur décision, l'utilisateur conserve l'accès ou le droit correspondant est retiré.

C'est le principe de base de la recertification. D'autres possibilités existent évidemment. Nous les détaillons ci-dessous.

Comment abordons-nous la recertification dans HelloID ?

La mise en œuvre planifiée des recertifications s'effectue au moyen de campagnes. Pour chaque campagne, vous pouvez sélectionner un ensemble d'utilisateurs ou de produits self-service à recertifier. HelloID propose pour cela plusieurs types de campagnes de recertification :

Campagnes système qui vérifient, sur un périmètre défini, la configuration des produits utilisés de manière inappropriée au regard des règles actuelles de configuration et de politique produit. Des collaborateurs possèdent par exemple inutilement plusieurs versions du même produit. Ou des personnes ont entre-temps changé de service ou de fonction et ne font plus partie du groupe AD/EntraID requis. Il peut aussi arriver qu'un utilisateur se soit vu attribuer plusieurs produits désormais considérés comme conflictuels.
Campagnes personnalisées que vous pouvez configurer selon un ou plusieurs filtres. Vous pouvez par exemple sélectionner des groupes d'utilisateurs spécifiques selon les services ou les rôles. Vous pouvez aussi sélectionner des produits self-service précis, ou tous les produits avec une certaine classification de risque ou un niveau de prix donné.

Un responsable de la sécurité peut par exemple créer une campagne ciblant les utilisateurs ayant accès à des produits étiquetés « à haut risque ». Une fois la campagne créée, vous pouvez la faire exécuter par HelloID. Il s'agit d'une itération et, dans les « campaign insights », vous obtenez un aperçu de tous les utilisateurs détenant de telles applications à haut risque. Le responsable sécurité peut alors évaluer si toutes ces licences sont toujours nécessaires et lesquelles doivent éventuellement être révoquées. De manière similaire, un chef de service peut visualiser ses coûts de licences, le responsable RH peut identifier toutes les personnes ayant accès aux données RH sensibles, et le responsable IT peut se concentrer sur les utilisateurs de licences coûteuses.

Nous pouvons ainsi, via différents angles de vue, vérifier que nos produits ne sont pas utilisés inutilement ou de manière indésirable. Il subsiste toutefois un risque d'omettre certains groupes d'utilisateurs ou certains produits. C'est pourquoi une campagne système distincte inclut également tous les utilisateurs et produits restants qui ne sont couverts par aucune autre campagne de recertification.

Objectifs de la recertification

Notre fonctionnalité de recertification vise plusieurs objectifs :

Garder le contrôle: L'attribution de produits individuels s'accompagne du risque « donné un jour, donné toujours » ; une personne reçoit une licence ou un droit d'accès, souvent pour une durée indéterminée. Avec la recertification, vous disposez des outils pour vérifier régulièrement si les produits attribués sont toujours nécessaires et conformes aux directives en vigueur. Nous conservons ainsi un meilleur contrôle sur les ressources IT utilisées au sein de l'organisation.
Réduire la charge de gestion: La recertification introduit en parallèle de nouvelles tâches. En effet, les droits attribués individuellement devront être réévalués régulièrement par les managers et les propriétaires de produits. Ils doivent déterminer si un utilisateur a toujours besoin d'un produit spécifique. Pour limiter cette charge, notre fonctionnalité de recertification intègre des outils permettant de traiter ce travail autant que possible par lots. Avec des notifications pratiques pour les collaborateurs concernés afin de simplifier au maximum le processus.
Rester conforme: Nous renforçons enfin la conformité. Les lois et réglementations, les directives de protection de la vie privée et les normes de sécurité de l'information exigent de connaître les produits utilisés pour le traitement de nos données. Nous devons aussi vérifier régulièrement que ces produits restent conformes à ces mêmes cadres et normes. Si nous utilisons par exemple un logiciel qui n'est plus conforme, nous devons rapidement en identifier l'usage et y mettre fin.

L'objectif de nos outils de recertification est de disposer d'un contrôle total sur tous les logiciels et droits d'accès. Nous voulons être certains à tout moment que chaque utilisateur dispose exactement des logiciels et des droits nécessaires à son travail, ni plus ni moins. Nous garantissons cela pour environ 80 % des droits attribués au moyen de notre provisionnement automatisé et de nos règles métier. Pour les 20 % restants de produits accordés individuellement, nous pouvons désormais l'assurer également grâce à nos outils de recertification.

En savoir plus sur notre recertification IAM ?

Avec la fonctionnalité de recertification, nous professionnalisons davantage la gestion des comptes et des droits, et nous évitons l'attribution indésirable de licences et de droits d'accès. Il s'agit d'un élément important de votre fonctionnalité de gouvernance HelloID. Vous souhaitez en savoir plus sur l'utilisation de la fonctionnalité de gouvernance en général, ou plus précisément sur la manière d'utiliser les fonctions de recertification pour améliorer davantage votre module Service Automation ? Consultez ici notre page gouvernance.