Tous acteurs de la gestion de la sécurité et des identités ?

La gestion des identités nécessite avant toute chose d'organiser les différents processus liés au cycle de vie des personnes. On peut même se demander, au final, si ce n'est pas un projet de RH.

Le terme "gestion des identités" résonne comme le Saint Graal au sein des DSI des grands comptes français. L’enjeu est en effet de taille. Imaginez une solution capable d’optimiser les cycles de vie des employés et partenaires au sein du système d’information, de telle sorte que l’on puisse en permanence garantir un accès opérationnel et néanmoins sécurisé à l’ensemble des ressources. Un système capable de s’adapter immédiatement à un départ ou une mutation et d’en déduire les nouveaux droits d’accès sur le SI.

Un système à l'écoute des utilisateurs, permettant à ces derniers de réinitialiser leur mot de passe à loisir et d'effectuer des demandes d'octroi de droits supplémentaires. Un système offrant une visibilité telle sur le SI qu'il diffuse des rapports d'audit sur les événements passés et apporte ainsi une réponse en phase avec la législation naissante : Loi de Sécurité Financière (LSF), Sarbanes-Oxley (SOX)...

La gestion des identités serait donc la réponse ultime aux problématiques d'urbanisation du SI, la solution idéale de gestion centralisée de la sécurité et des accès ? Encore faut-il s'assurer que les bons acteurs soient sollicités afin d'attribuer les droits, sous peine de se retrouver dans un système étatique et rigide.

Car les nombreux projets déjà menés en témoignent : une approche purement technique de la problématique, basée sur une automatisation de la circulation des flux entre les différents annuaires à l'aide d'un méta-annuaire et de sa myriade de connecteurs métiers, est loin d'être suffisante et s'avère souvent en parfait décalage avec les résultats attendus. 

Il s'agit en effet avant tout ici de définir et d'organiser les différents processus liés au cycle de vie des personnes. Or, qui mieux que les collaborateurs et leurs responsables directs, est à même d'initier ou d'agir sur ces processus ? L'essentiel se résume donc à cela : mettre à la disposition des acteurs de l'entreprise, ceci quel que soit leur niveau hiérarchique, des outils fonctionnels leur offrant une bonne visibilité métier.

Cela étant, la seule mise en place de ces interfaces métier n'est pas suffisante car l'objectif principal d'un projet de gestion des identités est double : améliorer la sécurité du SI, ce en quoi la délégation d'administration apporte une réponse satisfaisante, mais surtout améliorer la qualité de service globale, de sorte que toutes les demandes soient effectivement traitées.

Il s'avère donc nécessaire de modéliser et d'orchestrer ces différents processus métiers à l'aide d'une solution de workflow, apportant la visibilité requise en termes de qualité de service et d'audit, tout en s'assurant de toujours solliciter les bons acteurs.

La gestion des identités serait-elle ainsi finalement un projet de R.H. ?

En partie oui, car il est bien question ici de gérer les cycles de vie des utilisateurs... Mais en partie seulement, car la DSI se trouve rapidement impliquée dès lors qu'il s'agit d'automatiser les actions de gestion des comptes vis-à-vis des différents référentiels. Ces fameux connecteurs "magiques" ont alors toutes leur utilité pour créer automatiquement comptes de messagerie et autres comptes applicatifs.

Si le besoin de gestion des identités n'a jamais été aussi pressant, poussé par les fusions/acquisitions, par l'ouverture du S.I. aux partenaires et contraint par une législation naissante sur la traçabilité de tous les accès au patrimoine de l'entreprise (LSF, SOX), que l'on se rassure : les solutions existent. Il s'agit simplement de ne pas se tromper de cible.

En effet, est-il plus important d'automatiser la circulation des flux ou de s'assurer que les procédures définies soient bien appliquées par des acteurs rendus responsables de leurs actes ? La réponse est certainement à la croisée des chemins. En tout état de cause, l'avenir de la gestion des identités se situera bien dans la capacité de ces produits à modéliser et à assurer un suivi des processus au plus près des attentes fonctionnelles des utilisateurs.