Les clés d'un projet de gestion des identités et des accès (IAM) réussi

Les projets de gestion des identités et des accès peuvent se révéler assez complexes. Plusieurs raisons peuvent en effet conduire à l'échec. Le point sur quelques bonnes pratiques.

De nombreuses sociétés traitent d'identités externes, de Web SSO (Single Sign-On), de fédération et d'authentification forte. On peut naturellement utiliser ces produits pour implémenter une solution SSO d'entreprise comme certains l'ont fait. Toutefois, nous avons pu constater ces dernières années que lorsqu'une organisation décide de mettre en place une solution IAM, elle s'aventure en terrain inconnu. Les entreprises réalisent assez souvent que le lancement d'un nouveau service en ligne doit être adossé à une solution IAM pour des questions de conformité réglementaire, d'authentification forte, ou pour pouvoir gérer efficacement les règles d'accès et les identités de milliers d'organisations clientes et d'utilisateurs. Ce ne sont pas les raisons qui manquent. 

Si la question de la gestion des identités et des accès est évoquée tardivement (peu avant le lancement du nouveau service), le client devra généralement repousser la date de lancement. Si la gestion IAM est abordée en amont, la définition des besoins peut être aussi exhaustive qu'un manuel de pilotage d'avion – chaque situation, chaque éventualité devant être envisagée. Naturellement, certains besoins singuliers se retrouvent listés dans les spécifications. Une fois l'expression des besoins validée, le projet de déploiement peut commencer. Suivant la solution IAM choisie, cette phase peut être relativement simple, mais elle peut aussi se révéler complexe et chronophage. Pour répondre à un besoin spécifique, il faut parfois réaliser des développements logiciels personnalisés assez intensifs. 

Au fil de nos succès dans le domaine de l’IAM, nous avons constaté que les besoins majeurs étaient plus ou moins les mêmes pour chaque projet :
-       Enregistrement de l'utilisateur final/client,
-       Octroi de droits d'accès (rôles),
-       Mise en œuvre et application des mécanismes d'authentification appropriés,
-       Suppression de l'utilisateur final/client après expiration du contrat.

Il s'agit d’une simplification importante qui s'applique néanmoins à pratiquement tous les déploiements IAM. 

Pour éviter ou limiter les risques d'échecs, il est essentiel que les installations sur site puissent être configurées pour répondre aux demandes les plus étranges des clients, mais le processus peut être long. Il s'agit en effet d'identifier l'ensemble des besoins, puis d'acheter les équipements et les logiciels correspondants avant de les installer, de les configurer et de les déployer. Et si l’entreprise a la possibilité d’acheter un package IAM préconfiguré qui mette en œuvre les bonnes pratiques, elle aurait d’emblée une idée du prix et de la durée du processus. Le délai de déploiement serait considérablement raccourci et elle aurait ainsi la possibilité d'affiner ultérieurement la solution IAM pour répondre aux besoins secondaires.

Dernier élément important pour un déploiement IAM réussi : que la solution IAM choisie soit opérationnelle avec toutes les installations nécessaires, et qu’elle puisse s’intégrer facilement avec son CRM et d'autres services. Ainsi, il en sera fini des échecs, des budgets qui explosent ou des décalages de livraison.