Gestion des identités : une transition stratégique assurée par des intégrateurs spécialisés

La gestion des identités numériques se déploie de plus en plus au sein des organisations, qu'il s'agisse des grands groupes, des ETI ou des PME. Un déploiement désormais plus rapide et moins cher qu'auparavant, qu'il convient de mener avec des intégrateurs spécialisés.

La gestion des identités numériques est en train de s’imposer dans de nombreuses organisations, et l’année 2022 devrait voir ce phénomène se consolider. De plus en plus d’entreprises prennent actuellement conscience de l’importance stratégique de cette gestion, en lien avec l’essor sans précédent des actes de cybermalveillance. Car les identités sont bel et bien la porte que les cybercriminels vont tâcher de forcer afin de se répandre ensuite au cœur du système et de commettre des actes parfois irréparables. Comment les stopper sans un outil de gestion des identités ?

Aller au-delà du SSO

Cette question se pose avec d’autant plus d’acuité que les portes de nos systèmes d’information sont le plus souvent largement ouvertes. De nombreuses organisations ont, ces derniers temps, mis en place leur système d’authentification unique - la SSO, ou single sign-on. Cette fonction nécessaire permet aux utilisateurs de s’auto-identifier une seule fois pour toute la durée d’une session, indépendamment du nombre d’applications qui nécessitent une authentification. Ces collaborateurs peuvent dès lors avoir accès à l’ensemble de leurs données sans contrainte de ressaisie d’un nouveau couple nom d’utilisateur / mot de passe. Attention toutefois : la SSO, si elle permet d’ouvrir les portes à des collaborateurs comme à de sous-traitants, ne nous dit rien en termes de visibilité ni de granularité.

Gouvernance des identités : une meilleure granularité

Cette granularité est précisément tout l’intérêt qu’il y a à développer un système d’identités et de gouvernance, une IGA (Identity Governance and Administration).  Ce système permet de définir l’ensemble des accès alloués à chacune des fonctions occupées par les collaborateurs au sein d’une organisation. Un stagiaire RH peut-il avoir accès à des données personnelles ? Un directeur marketing doit-il être autorisé à prendre connaissance de données fiscales ? Quel est le périmètre couvert par la direction juridique ? Il s’agit de maîtriser ces granularités-ci, y-compris en adoptant la position du Zero Trust, prônée par l’Anssi et selon laquelle il convient de ne faire confiance à personne, par principe et par souci de sécurité.

Un déploiement plus rapide et des coûts réduits

Si de plus en plus d’organisations, après s’être équipées en SSO, se tournent vers la gestion des identités, c’est afin d’obtenir le niveau de traçabilité le plus large possible. Erreurs, actes de malveillance… La visibilité la plus fine possible est désormais de mise, d’autant que celle-ci peut être mise en place très rapidement, à des coûts largement revus à la baisse. Le déploiement d’un dossier IGA ne prend que quelques mois à peine, parfois quelques semaines. Un grand groupe tel qu’Auchan l’a mis en place en neuf mois. Doctolib, qui avoisinera bientôt les 3000 collaborateurs, a réalisé cette opération en quelques semaines. Le tout pour des sommes assez modiques, qui sont ajustables avec des modules adaptés aux besoins de chacun. Même si chaque organisation est différente, une solution d’IGA à 60 ou 70 K€ par an est tout à fait envisageable.

Se faire accompagner par des intégrateurs spécialisés

Une IGA déployée rapidement et des prix abordables : lorsqu’elles prennent conscience de ces évolutions récentes, la plupart des organisations franchissent le pas et se dotent d’un système de gestion des identités qui, grâce au machine learning, va pouvoir être bien plus efficace que des systèmes internes structurés au fil du temps de manière empirique. Afin de bien opérer cette transition, il est impératif que ces organisations se fassent accompagner par des partenaires intégrateurs spécialistes. Il en existe en France quelques-uns, pour lesquels l’IGA est une question stratégique avant même d’être une affaire de technique. Surtout, ne faites pas de la gestion de vos identités une simple question technique, qui concernera seulement votre DSI. La RH, les équipes de production, le Codir… tout le monde est concerné, que l’on soit dans un grand groupe, dans un ETI ou au cœur d’une PME.

Vous pourrez vous en rendre compte lorsque votre partenaire intégrateur vous fournira, après une quinzaine de jours d’enquête, son premier rapport : le conseil des spécialistes est aussi la clé du succès.