Gestion des identités : quand le vigile des SI ne suffit plus !

Gestion des identités : quand le vigile des SI ne suffit plus !

Par Christophe Richard, manager des consultants métiers EMEA, BMC Software
mardi 29 avril 2008

L'image du vigile qui vérifie votre identité, à l'entrée de votre lieu de travail ou de votre parking, et qui détermine si vous êtes bien celui ou celle que vous prétendez, n'est plus d'actualité. Il observe si vous remplissez les critères requis pour pénétrer dans les locaux et tout accès vous est interdit sans justification de votre identité ! C'est globalement le rôle dévolu à la gestion des identités jusqu'à ici : le vigile à l'entrée des systèmes d'information.

La gestion des identités va aujourd'hui bien plus loin. Certes, il s'agit toujours d'assurer cette fonction de protection des systèmes, mais surtout d'encourager le vigile à faire preuve de plus de discernement, en contrôlant les entrées plus intelligemment.

Les solutions de gestion des identités ont en effet évolué pour intégrer l'ensemble des processus, des pratiques et des outils permettant de gérer le cycle de vie complet des identités numériques. Elles offrent désormais une large gamme de fonctionnalités avancées pour consolider les informations et centraliser la gestion des identités en automatisant les tâches d'administration des identités, des mots de passe et de la conformité.

Elles assurent en particulier la consolidation de l'ensemble des données dans un référentiel unique simplifiant considérablement l'administration et présentant une vue complète et synthétique des utilisateurs - en permettant ainsi aux équipes informatiques de répondre à une question fondamentale : « Qui sont nos utilisateurs ? ».

Il est essentiel de centraliser les tâches d'administration des identités pour permettre aux équipes informatiques de contrôler et mettre en œuvre les droits d'accès de manière centralisée - en fonction des rôles et des politiques métier - et de savoir ainsi précisément qui accède à quelles ressources. Ce système permet également de modifier les droits d'accès lorsqu'un utilisateur change de fonction ou de les révoquer quand il quitte l'entreprise. La centralisation améliore la productivité des administrateurs, qui n'ont plus à gérer de multiples comptes utilisateurs sur différents systèmes.

Automatisation des mots de passe et conformité

L'administration des mots de passe est un aspect essentiel de la gestion des identités qui peut être automatisé à l'aide de différentes méthodes. L'équipe informatique peut notamment définir et mettre en œuvre des politiques garantissant que les utilisateurs préservent l'intégrité de leurs mots de passe et les modifient lorsque cela est nécessaire. De plus, grâce à des mécanismes tels que la synchronisation des mots de passe et les signatures uniques (SSO[1]), il est possible de réduire le nombre de mots de passe pour améliorer la productivité des utilisateurs. Le plus souvent, ces derniers disposent d'un mot de passe différent pour chaque application à laquelle ils accèdent ; les procédures de mot de passe unique permettent de réduire considérablement le nombre de demandes au centre de support.

D'autre part, la gestion des mots de passe en libre-service permet aux utilisateurs de les redéfinir et de les modifier eux-mêmes, en éliminant une source majeure et coûteuse d'appels au centre de support. Le libre-service est apprécié par les utilisateurs qui peuvent procéder eux-mêmes à la réinitialisation de leurs mots de passe, simplement et rapidement, sans attendre l'intervention des équipes informatiques. Les économies qui en résultent peuvent être significatives. Ainsi, selon de récentes études, le coût des demandes reçues par le service d'assistance, pourraient être réduits de 50% en minimisant le nombre de mots de passe administrés par les utilisateurs et de 75% grâce au libre-service. L'automatisation des processus est donc une piste sérieuse à suivre pour la réduction globale des coûts de support liés à la réinitialisation des mots de passe.

Une solution efficace de gestion des identités n'assure pas uniquement un rôle de protection, mais fait également office d'outil de détection. Elle doit assurer le suivi, l'enregistrement, le reporting automatiques des accès et générer des notifications appropriées - en particulier pour les activités douteuses. Elle doit également maintenir un audit pour vérifier la conformité et permettre aux équipes informatiques de répondre aux questions suivantes : « Qui a accordé l'accès et quand ? » et « Comment cet accès est-il utilisé ? ». La gestion automatisée de l'audit permet de réduire les coûts de mise en conformité, de simplifier sa justification et de libérer des ressources pour des tâches plus stratégiques.

Laisser le vigile faire son travail

Une solution de gestion des identités peut être étroitement associée à un système de gestion des demandes de services pour accélérer le processus de traitement et de mise en œuvre d'une solution. Cette combinaison permet en effet aux collaborateurs de localiser et solliciter les services en ligne et de suivre le statut de leur demande de manière autonome - sans l'assistance de l'équipe de support. Elle permet également aux organisations de publier les services disponibles dans un catalogue web centralisé et d'automatiser l'exécution des services demandés pour accélérer les délais de réponse.

Pour offrir des résultats optimaux, la gestion des identités doit être généralisée autant que possible au sein du système d'informations. Dans les faits, ceci pose un défi d'intégration qui peut être relevé grâce à des solutions prêtes à l'emploi. Ces solutions permettent de créer, ajouter ou retirer instantanément l'accès des utilisateurs en cohérence avec les ressources matérielles et logicielles dans le respect des bonnes pratiques telle que ITIL[2].

Un vigile informé automatiquement des changements

Les configurations des systèmes et privilèges d'accès dépendent étroitement des fonctions des utilisateurs dans l'entreprise. Une solution de gestion des identités maintient un lien entre les utilisateurs, leurs fonctions et leurs besoins d'accès spécifiques. Une solution de gestion du changement et de la configuration peut par exemple utiliser les informations d'identité basées sur les rôles, pour automatiquement dimensionner ou redimensionner les systèmes et privilèges d'accès des utilisateurs.

Imaginons que vous venez d'obtenir une promotion. Dès que cette promotion est saisie dans le système de ressources humaines (RH), un processus est enclenché par la solution intégrée et automatisée de gestion des identités. Le système RH saisit votre ancienne identité et l'associe au nouveau rôle. Cette mise à jour adresse une notification automatique à la solution de gestion du changement, qui à son tour informe le système de gestion des configurations. Vous avez instantanément accès à des informations qui vous étaient interdites la veille encore. Lorsque la solution de gestion des identités sera paramétrée pour vous reconnaître avec votre nouvelle fonction et vos nouveaux droits d'accès, vous pourrez accéder immédiatement aux informations et ressources qui vous étaient auparavant refusées dans votre précédente fonction.

Un vigile qui surveille à l'extérieur comme l'intérieur

Une approche intégrée de la gestion des identités peut optimiser les avantages fournis par de multiples applications, composants, tâches et processus. La clé consiste à cesser d'envisager la gestion des identités comme un simple outil de vérification des identités - séparé des opérations (comme le vigile contrôlant les accès depuis l'extérieur).

Il s'agit plutôt de l'intégrer dans l'environnement métier en tant que composant actif, pour pleinement exploiter la valeur métier des données identitaires et de la solution de gestion des identités. Les autres solutions de l'environnement peuvent capitaliser sur les fonctionnalités et données fournies par la solution de gestion des identités pour aider les équipes informatiques à répondre aux besoins de maîtrise des coûts tout en améliorant les services, la sécurité et la conformité aux exigences réglementaires.

--------------------------------------------------------------------------------
[1] SSO (Single Sign On) : processus d'authentification permettant à un utilisateur de ne rentrer qu'une seule fois son identifiant et son mot de passe pour se connecter à de multiples applications
[2] ITIL (IT Infrastructure Library) : recueil de bonnes pratiques pour la gestion des services informatiques

--------------------------------------------------------------------------------
BMC Software est un éditeur de logiciels permettant aux entreprises d'aligner et d'automatiser leurs services informatiques en fonction de leurs objectifs métiers. La société est présente partout dans le monde (http://www.bmc.com/)

Ce systeme parais tres interesant, mais il faut encore que le suivi soit fait de façon optimale et les mises a jour faites quotidiennement.

ouai sa peut etre tres interressant , mais comme l'a dit wolf , il faut trouver une maniere optimale de l utiliser

interressant mais est ce que les entreprises vont l'appliquer, vaste débat