Démarrer un programme de gestion des identités et des accès n’est pas une mince affaire. Découvrez quelques conseils pouvant vous aider.
À l’occasion, des clients me questionnent pour savoir comment structurer leur programme de gestion des identités et des accès (GIA). La réponse que je donne n’est jamais simple, car plusieurs éléments (relatifs au contexte organisationnel, économique, politique, gouvernemental, etc.) peuvent influencer leur démarche. Outre ces considérations, il demeure des éléments qui peuvent vous aider à bien cerner la portée de votre programme de GIA.
La connaissance de l’organisation
Il est important d’avoir un bon portrait de la gestion des identités et des accès de votre organisation. Pourquoi? Cette évaluation vous permettra :
• De bien maitriser les besoins d’affaires;
• De connaître les plans d’évolution de l’organisation;
• De comprendre les façons de faire et;
• De bien cerner les problèmes.
À défaut d’avoir ce portrait, vous risquez de vous lancer dans un programme de GIA basé sur des présomptions et vos initiatives risquent d’être vouées à l’échec. Plusieurs organisations ont procédé de « façon exploratoire » avec leur GIA parce qu’ils n’avaient pas toutes les considérations entre les mains et ils n’ont pas connu le succès espéré.
Prenez donc le temps de faire l’exercice pour bien savoir s’il vous manque une orientation sur les accès ou si un arrimage à une autre compagnie est prévu par exemple. C’est tellement dommage de mettre un terme à une initiative de GIA juste parce qu’on ne dispose pas de toutes les informations du « Big pictures » (ou de l’ensemble) de l’organisation.
Une pointe ou la tarte?
Est-ce vous adressez uniquement les éléments les plus prioritaires de votre GIA? Allez-vous entreprendre votre programme de GIA dans son ensemble? Pour déterminer les priorités, vous devez posséder le portrait de votre GIA pour connaître les éléments problématiques. Ainsi, vous serez en mesure de bien cerner les travaux à effectuer et à prioriser.
Vous serez aussi en position de déterminer comment entreprendre votre programme de GIA. Peut-être que vous adresserez une fonction de révision des accès avant celle sur la modélisation des rôles par exemple.
Les identités ou les accès?
Le portrait de votre GIA peut également vous aider à déterminer si vous devez traiter des éléments de gestion des identités en premier ou ceux de la gestion des accès. Plusieurs organisations que j’ai croisées dans les dernières années ont préféré débuter par la gestion des accès. Il faut mentionner que les gains de productivité sont très appréciables lorsqu’on adresse la gestion des accès notamment à cause de l’utilisation du RBAC.
La bonne approche pour un programme de GIA
En février 2013, six organisations québécoises se sont réunies pour échanger sur leur programme de GIA. Chacune d’elles a mentionné avoir pris l’approche suivante:
• définir le dossier d’affaires, la vision, la planification, les principes et les orientations;
• réviser les rôles et les responsabilités avec les RH;
• …
• acquérir une solution de GIA.
Ces organisations ont compris que le programme de GIA ne doit pas débuter par l’implantation d’une solution de GIA. Dans le passé, Gartner a longtemps fait la mention de sa démarche des « 7P de la GIA ». En gros, cette démarche recommande fortement de débuter avec les éléments stratégiques et terminer avec les éléments technologiques. Bref, on évite ainsi de faire l‘acquisitions coûteuses d’une solution de gestion des identités et des accès qui risque de ne pas être implantée advenant une mauvaise conception.
L’interne ou l’externe ou les deux?
Pourquoi une distinction entre un environnement interne et un autre externe? Il faut comprendre qu’il s’agit de deux « mondes » différents au sein de votre organisation. Souvent, les identités de chaque environnement ne sont pas les mêmes, car il s’agit de deux clientèles différentes (vos employés versus vos clients). Les accès sont également différents, car les données disposées dans chaque environnement n’ont pas la même sensibilité (confidentielles versus publiques). Votre GIA ne sera pas pareil à l’interne et à l’externe et vous devrez définir deux programmes de GIA.
Article publié la première fois le 22 février 2013
Photo: Pixabay
[maxbutton id= »4″]