Simplifier la gestion des identités et des accès en trois étapes

Avec les défis liés au cloud et à la mobilité, les entreprises considèrent de plus en plus la gestion des identités et des accès pour la sécurisation des systèmes d’information.

Selon une étude sur la sécurité de l’information TheInfoPro publiée par 451 Research, les fonctionnalités liées à la gestion des identités et au contrôle d’accès semblent être devenues prioritaires pour les entreprises. 14% des dirigeants estiment que la gestion des identités se présente comme étant le principal projet à réaliser dans les douze prochains mois et 9% priorisent le contrôle des accès.

Quelques concepts illustrent bien les enjeux et difficultés de la gestion des identités et des accès :
  • Les salariés ont besoin d’avoir accès aux données et aux systèmes pour travailler, ce qui requiert généralement une intervention humaine afin de contrôler et autoriser les demandes d’accès.
  • L’entreprise doit veiller à ce que ses collaborateurs puissent accéder aux informations adéquates mais pas plus.
  • Une personne vérifie toujours le respect des règles en vigueur, mais vous n’avez pas participé à leur définition.
  • Les salariés dont la responsabilité est engagée en cas de problème se retrouvent souvent terriblement dépourvus car ils n’ont pas le contrôle de leur destin (ils dépendent de personnes habilitées à effectuer les tâches mais qui ne mesurent pas la nécessité de les accomplir pour faire appliquer les règles imposées).

Ces principes ne sont pas universels ; il existe des entreprises où tout fonctionne comme il se doit et qui disposent des bonnes compétences aux bons postes et sont en capacité de le prouver. Mais il existe beaucoup d’autres, chez qui l’un ou l’autre de ces facteurs fait défaut.

Les difficultés des entreprises liées à la gestion des identités et des accès tiennent au fait qu’elles passent trop de temps à éteindre des incendies et pas assez à remédier à la source du problème pour éviter qu’un prochain incendie se produise. Finalement, une fois le point faible identifié ou après avoir été victime d’une faille, la première chose à faire est de trouver une réponse au problème. Et la solution la plus rapide ne consiste pas forcément à prendre des mesures de prévention pour éviter un nouvel incendie. Les organisations multiplient les méthodes d’accès et les règles d’autorisation des accès, si bien qu’au final, les utilisateurs et l’IT voient leur productivité chuter au nom de la sécurité. La victime est l’agilité de l’entreprise.


Voici trois recommandations pour atténuer les effets néfastes d'une gestion des identités et des accès trop souvent floue et qui manque de cohérence :

1. Simplifier le processus d'autorisation des accès chaque fois que possible. Dès que vous pouvez, utilisez les outils déjà disponibles et l’infrastructure en place pour éviter de devoir créer de nouvelles identités et exécuter de nouveaux processus de provisioning et de nouvelles tâches IT rien que pour accorder des autorisations d’accès. Utilisez la technique du pont AD : rien qu’en prolongeant les mécanismes d’authentification et d’autorisation Active Directory aux systèmes Unix/Linux, vous allégez la charge de travail et vous limitez le risque d’accès à ces systèmes.

2. Responsabiliser les services concernés. Les services IT des entreprises s’emploient à faire du bon travail mais ce ne devrait pas être à eux de décider qui doit pouvoir accéder à quoi et dans quelles conditions. Or dans les faits, ce sont bien eux qui s’en chargent simplement parce qu’ils savent administrer les systèmes et les comptes. Faites ce que vous pouvez pour que les contrôles reviennent à ceux qui sont responsables des données qui figurent sur les systèmes.

3. Ne pas perdre de vue l'objectif. Le but ultime doit toujours être de satisfaire les objectifs fixés par l’entreprise, que ce soit de faire croître le chiffre d’affaires, d’améliorer les services rendus aux clients, ou de former des salariés. Il est difficile de stimuler l’agilité quand tous les efforts sont focalisés sur l’exécution des tâches. Du point de vue de la gestion des identités et des accès, c’est beaucoup de temps perdu et d’énergie dépensée à exécuter des opérations mineures, comme réinitialiser des mots de passe, et à gérer des identifiants multiples, des rôles redondants et des processus de provisioning manuels. Tout cela est important, mais rien qu’en suivant les deux premières recommandations, l’approche de gestion des identités et des accès gagnera inévitablement en efficacité (et elle sera plus facile à gouverner). A terme, elle cessera de nuire à la productivité pour se transformer en levier.