Comment implémenter une solution de GIA de manière efficace ?

Une solution de GIA moderne est intégrée à une multitude de systèmes, joue un rôle dans de nombreux processus et ne peut donc pas être mise en œuvre en une seule grande étape. Généralement, les organisations commencent par migrer les processus de GIA existants, puis planifient le déploiement progressif de nouvelles fonctionnalités. Sur quoi faut-il alors veiller ? Chaque organisation a ses propres bases, exigences et attentes.

Dans l’article qui suit, nous expliquerons cela plus en détail. Nous prenons comme exemple notre plateforme de GIA basée dans le cloud HelloID, qui se compose de trois modules : Access Management, User Provisioning et Service Automation. Avec ces trois modules, HelloID est en réalité préparé pour les processus les plus courant : nous commençons par les fonctions d’authentification de base et d’autorisation. Ensuite, nous automatisons les processus d’entrée, de mobilité interne et de sortie des collaborateurs, avant de finaliser avec le module Service Automation (automatisation des services) pour rationaliser également les processus de gestion des « situation exceptionnelles ». Chaque module offre différentes fonctionnalités qui n’ont pas nécessairement besoin d’être toutes mises en œuvre dès le début. Ci-dessous, nous donnons un exemple des étapes d’implémentation possibles, montrons les dépendances entre les différentes fonctions et expliquons comment vous pouvez progressivement ajouter plus de fonctions.

Nous décrivons également ce que chaque étape peut apporter aux objectifs organisationnels. La solution de GIA peut contribuer à différents aspects, y compris l’amélioration de la sécurité des accès et de l’information, la conformité aux directives de confidentialité et de sécurité, l’efficacité (également en terme de coûts) de la gestion des comptes et une expérience utilisateur plus fluide.

Étape 1 : Implémentation du module Access Management

Le module Access Management fournit la fonctionnalité d’accès essentielle pour laquelle les systèmes de GIA ont été développés à l’origine. Il assure l’authentification des utilisateurs (souvent avec un nom d’utilisateur et un mot de passe) et leur accorde ensuite l’accès aux applications et données (autorisation). Dans de nombreuses organisations, cette fonction d’authentification et d’autorisation est désormais standardisée au sein de leur environnement Microsoft (Active Directory ou Entra ID) ou Google Workspace. Ils servent de fournisseur d’identité principal (IDP) pour accorder aux utilisateurs l’accès à leurs services IT.

Néanmoins, cela ne signifie pas que la fonctionnalité d’Access Management en GIA est superflue. Pour certains environnements IT, le fournisseur d’identité Microsoft ou Google suffit en effet, mais il existe de nombreuses situations exceptionnelles et exigences particulières qui ne peuvent pas être facilement satisfaites avec cette fonctionnalité standard. Également, dans le cas de projets de fusion et de migration, un environnement de gestion des accès plus flexible peut être nécessaire. Et enfin, dans certains cas, une solution utilisant la technologie d’Access Management peut simplement être (beaucoup) plus avantageuse que celle avec les fournisseurs d’identité standards. Pour tous ces cas, une solution d’Access Management offre plusieurs fonctions et scénarios d’utilisateurs qui peuvent être activés selon les besoins :

Extension à divers groupes d’utilisateurs

Comme expliqué ci-dessus, dans un environnement IT standard, qui doit uniquement être accessible aux employés de l’entreprise, Active Directory traditionnel, Entra ID (anciennement Azure AD) ou le fournisseur d’identité Google Workspace suffit généralement. Cependant, il est de plus en plus courant de souhaiter accorder l’accès à d’autres groupes d’utilisateurs. Par exemple, les entreprises peuvent vouloir rendre les données CRM accessibles aux clients, les établissements médicaux souhaitent donner aux patients l’accès à leurs données personnelles, et les institutions éducatives veulent permettre aux étudiants de se connecter directement à leur environnement d’apprentissage numérique. De plus, il peut être nécessaire de donner aux intérimaires l’accès aux applications IT et, lors de fusions, de permettre aux employés de différentes organisations d’utiliser facilement les systèmes des uns et des autres.

Problèmes liés à l’utilisation de multiples fournisseurs d’identité

Beaucoup de ces « nouveaux » groupes d’utilisateurs ne sont pas enregistrés dans ce fournisseur d’identité primaire. Pour les clients, par exemple, le système CRM agit comme fournisseur d’identité, et les informations des comptes des élèves sont enregistrées dans le système d’administration des étudiants. Nous sommes donc de plus en plus confrontés à la présence de multiples fournisseurs d’identité, alors que les applications cibles ne prennent souvent en charge qu’un seul fournisseur d’identité. Une telle application ne peut alors pas être utilisée simultanément par les employés, les patients, les intérimaires et les étudiants. Fournir à tout le monde, par exemple, des comptes Active Directory ou Entra ID peut être une solution mais elle est peu souhaitable et coûteuse.

Intégration de multiples fournisseurs d’identité via l’Access Management

Une solution d’Access Management telle qu’HelloID peut alors agir comme un « adaptateur » entre plusieurs fournisseurs d’identité et les applications cibles. Chaque groupe d’utilisateurs accède au système de gestion des accès via son propre fournisseur d’identité, qui assure ensuite à tous l’accès aux ressources nécessaires. Avec la mise en place d’une gestion des accès, vous pouvez ainsi gérer de manière flexible plusieurs types d’utilisateurs dans votre paysage IT.

Single Sign-On

Lorsqu’un utilisateur se connecte au réseau, il obtient généralement un accès standard à des applications de bureau de base telles que sa boîte mail et les suites bureautiques. Cependant, il serait peu pratique de devoir se reconnecter chaque fois pour accéder à d’autres applications. C’est là qu’intervient le concept du Single Sign-On (SSO). Une seule authentification au début de la journée suffit pour que l’utilisateur accède directement à toutes ses applications et données sans avoir à se reconnecter constamment. Il est également possible d’adopter une approche progressive avec le SSO. HelloID prend en charge tous les standards SSO importants, permettant de commencer facilement avec la variante la plus courante et d’évoluer par la suite.

Authentification multi facteurs (MFA)

Les mots de passe constituent toujours un point faible dans la sécurité des accès. En ajoutant une vérification de sécurité supplémentaire, nous améliorons considérablement la sécurité d’accès. Avec le MFA, une vérification supplémentaire est réalisée en utilisant quelque chose que l’utilisateur possède (par exemple, un smartphone ou une Yubikey). Après s’être connecté avec un nom d’utilisateur et un mot de passe, l’utilisateur doit entrer un code envoyé à son smartphone ou insérer sa Yubikey. Là encore, il existe une possibilité d’évolution. Vous pourriez commencer avec une application d’authentification spécifique pour smartphones et progressivement ajouter d’autres options (telles que les tokens de sécurité).

Accès conditionnel

Grâce à la flexibilité du module Access Management, vous pouvez également rendre l’accès aux applications et aux données dépendant du contexte supplémentaire de l’utilisateur. D’où demande-t-il l’accès ? Du bureau, via internet ou de l’étranger ? Et avec quel appareil et à quel moment se connecte-t-il ? En fonction de ces critères, vous pouvez bloquer certaines fonctions ou données ou les rendre accessibles uniquement après une vérification MFA supplémentaire. Grâce à cet accès conditionnel, une solution d’Access Management assure aux organisations un meilleur contrôle sur qui accède à quoi, quand et d’où.

Portail d’accès

Si l’organisation ne dispose pas déjà d’une page d’accueil permettant d’accéder aux différentes applications et partages de données en un clic, Tools4ever peut implémenter pour vous un portail d’Access Management HelloID. Si nécessaire, cela peut être intégré sous forme de widget dans, par exemple, un intranet existant ou un environnement SharePoint Online.

Étape 2 : Orchestration et automatisation du Provisioning

Avec l’implémentation de la fonctionnalité d’Access Management mentionnée précédemment, nous assurons l’authentification de base et l’autorisation des utilisateurs. L’identité numérique d’une personne est vérifiée, et sur cette base, elle obtient l’accès à l’environnement IT.

Automatisation de la gestion des identités et des autorisations

Cependant, la solution d’Access Management seule ne suffit pas gérer toutes les règles d’accès de plus en plus complexes pour parfois des centaines ou des milliers d’utilisateurs. Les organisations utilisent aujourd’hui parfois des dizaines d’applications et des sources de données où l’accès selon le principe du « moindre privilège » est une exigence clé : chacun ne doit avoir accès qu’aux applications et aux données nécessaires pour son travail. C’est la seule manière de rester conforme aux directives actuelles en matière de sécurité de l’information et de confidentialité. Les droits d’accès d’une personne dépendent, par exemple, de sa fonction, de son service, de son département ou de son lieu de travail, et si l’un de ces éléments change, les droits d’accès correspondants doivent également être ajustés automatiquement.

Pour les autorisations également, le module d’Access management seul ne suffit pas. Un système de gestion est nécessaire pour garantir qu’une personne est automatiquement dotée des droits appropriés tout au long de son activité dans l’entreprise. Cela concerne non seulement le personnel permanent mais aussi, par exemple, les intérimaires, les clients, les étudiants, etc. de l’arrivée d’une personne, en passant par sa mobilité interne, jusqu’à son départ de l’organisation. Le module de Provisioning HelloID automatise ce flux de travail et constitue ainsi le cœur d’une solution de GIA moderne. Il prend en charge la gestion des comptes et des droits pour les utilisateurs selon un ensemble clair de rôles d’utilisateurs et de droits d’accès associés, définis dans des règles métier. Pour cela, vous devrez connecter le module de Provisioning aux systèmes décrits ci-dessous et, progressivement, mettre en œuvre d’autres fonctions :

Connexion avec les RH (et autres systèmes sources)

Traditionnellement, le département de support IT s’occupe de créer et de gérer les comptes utilisateurs et les droits d’accès. Un manager ou le département des RH envoie souvent un formulaire de demande pour un nouveau compte. Le technicien IT travaille alors à préparer les informations de compte, les droits d’accès et autres ressources à temps et à les activer dans les différents systèmes.

Il est évidemment beaucoup plus logique et efficace d’utiliser directement les données sources. Les RH enregistrent de toute façon tous les contrats de travail et les informations sur le rôle spécifique d’une personne. En créant une connexion entre le système RH et le module Provisioning HelloID, vous pouvez gérer la création de nouveaux comptes, mais aussi la modification des droits lorsqu’une personne change de rôle, directement depuis le système RH. HelloID gère ainsi le cycle de vie de l’identité des comptes utilisateurs et des droits d’accès, traite les mises à jour automatiquement et les traduit de manière appropriée dans les systèmes IT sous-jacents. La connexion entre le système RH et la fonctionnalité de Provisioning HelloID est donc généralement mise en place dès l’implémentation. Par exemple, de manière similaire, un système d’administration des étudiants peut être connecté. Dans tous les cas, la responsabilité des données utilisateur reste chez le propriétaire des données.

Développement des règles métier

L’utilisation de règles métier est le moyen le plus efficace de mettre en œuvre le Role Based Access Control (RBAC), un concept où le rôle d’une personne détermine automatiquement les droits d’accès qui lui sont accordés. C’est la méthode par excellence pour implémenter l’accès selon le principe du « moindre privilège » de manière gérable. Il est important ici de prévoir le processus d’implémentation. Initialement, on peut commencer avec des règles métier basiques et progressivement, les développer, les affiner. Cela permet de définir plus précisément des rôles opérationnels (par exemple, le personnel soignant dans les établissement médicaux) jusqu’à les transformer en rôles clés, permettant ainsi de délivrer directement tous les droits et ressources nécessaires sur la base du rôle d’une personne. Pour des rôles plus génériques, comme celui de chef de projet, un compte de base est automatiquement créé, et des droits spécifiques peuvent ensuite être demandés séparément.

Connexions aux systèmes cibles

Dès le début, nous automatisons généralement le provisioning des informations de compte pour les applications de bureau de base, avec des connexions entre le système RH, HelloID et, par exemple, Active Directory. Ensuite, la connexion entre HelloID et une solution de gestion des services informatiques (ITSM), telle que EasyVista ou GLPI, est souvent prioritaire. Cela nous aide à simplifier les processus existants du service d’assistance, y compris la distribution de ressources physiques comme des ordinateurs portables, des smartphones, des jetons de sécurité, des badges d’accès ou même par exemple, des tenues de travail.

Pour des applications plus spécifiques, telles qu’un dossier patient informatisé, on peut parfois choisir de n’envoyer que des notifications automatiques dans un premier temps, puis les gestionnaires d’applications concernés doivent traiter eux-mêmes les données dans les systèmes cibles. HelloID Provisioning orchestre alors déjà la distribution des comptes et des droits, mais ne les automatise pas encore totalement. Une connexion entièrement automatique est alors l’étape logique suivante.

Ainsi, l’organisation IT peut progressivement mettre en œuvre davantage de connexions de provisioning avec les systèmes cibles, automatisant ainsi davantage les processus de gestion des comptes. Chaque organisation peut élaborer son propre plan à cet égard. Tools4ever propose de plus en plus de connexions standard qui vous pouvez rapidement configurer et déployer.

Étape 3 : Automatisation des processus de service

Grâce à l’étape 2, nous gérons donc les comptes et les droits d’accès en fonction des rôles d’utilisateurs établis. Cela constitue la politique dans laquelle vous opérez et avec laquelle nous pouvons généralement couvrir environ 80 % de tous les droits d’accès. Pour les rôles clés mentionnés précédemment, nous pouvons même automatiser entièrement la gestion des droits.

Cependant, les 20 % restants de tous les droits d’accès doivent normalement être fournis et gérés sur une base individuelle. Après tout, nous ne pouvons jamais délimiter tous les rôles complètement. Pour un chef de projet, le module de Provisioning peut fournir ce qu’on appelle les droits natifs, mais si quelqu’un a besoin temporairement de Visio pour un projet, cela doit être demandé individuellement. Ce sont naturellement des processus manuels, mais avec l’aide du module Service Automation, vous pouvez également mieux structurer ces 20 % restants d’exceptions et de cas particuliers.

Il ne s’agit pas seulement d’accorder des droits d’accès supplémentaires ; nous pouvons également utiliser le Service Automation pour d’autres processus, allant de la réinitialisation des mots de passe ou des changements de nom à la création et l’extension des comptes invités. Même un processus pour l’acceptation des conditions d’utilisation avant qu’une personne puisse utiliser un compte peut être géré par le Service Automation.

Automatisation des processus de service

Nous n’avons pas besoin de commencer directement par le self-service. HelloID permet d’abord d’optimiser les processus du service d’assistance et, à partir de là, de réaliser une migration « shift left » par processus : nous pouvons d’abord laisser les managers et les administrateurs fonctionnels effectuer les changements, et finalement offrir également le self-service aux utilisateurs finaux :

Support d’équipe via formulaires délégués

Une première étape est l’optimisation et la sécurisation des tâches du service d’assistance. Traditionnellement, pour effectuer ces tâches, les collaborateurs du service d’assistance informatique disposent de droits d’administrateur élevés sur des applications complexes telles qu’Active Directory Users & Computers (ADUC). Cela exige une connaissance relativement approfondie de la part des intervenants, et cet accès direct est coûteux (licences utilisateurs) et risqué.

La fonctionnalité « Heldesk Delegation » d’HelloID permet de mettre à disposition des personnels du service d’assistance, non spécialisés ou semi-spécialisés, des formulaires délégués. Via ces formulaires, ils peuvent effectuer des tâches de gestion IT, telles que la création de comptes et la modification des droits, sans avoir besoin de droits d’administrateur dans les systèmes sous-jacents. HelloID traite les formulaires et effectue automatiquement les modifications nécessaires dans les systèmes. Cela simplifie le travail, le rend plus sûr et moins coûteux, tout en garantissant que les processus sont exécutés de manière uniforme et sont auditable.

Délégation aux managers et/ou aux propriétaires de ressources

La prochaine étape possible consiste à transférer certaines tâches de gestion à, par exemple, des managers, des gestionnaires fonctionnels ou des gestionnaires de licences. Ils sont les mieux placés pour évaluer les demandes pour leur équipe ou applications spécifiques et, avec l’aide de ces formulaires délégués, peuvent également les traiter directement. Techniquement, cela représente une étape simple puisqu’elle peut s’appuyer sur les formulaires et actions déjà développés pour le service d’assistance.

L’impact organisationnel est plus significatif. Après la mise en place de ce système, les managers ont une bien meilleure visibilité sur les licences et les droits d’accès utilisés par leurs utilisateurs. Cela augmente la prise de conscience des managers quant à l’empreinte IT de leur service et aide à réduire les coûts inutiles. Pour le service IT, cela signifie qu’un processus fastidieux avec des tickets de service et des personnes pour les traiter n’est plus nécessaire.

Self-service : délégation aux utilisateurs

L’étape ultime est la délégation aux utilisateurs finaux (self-service). Via un catalogue en ligne (catalogue de service), les collaborateurs peuvent, par exemple, demander par eux-mêmes des droits pour des applications, des dossiers ou des boîtes mail. Grâce à une ou plusieurs étapes d’approbation en ligne par le(s) manager(s) concerné(s) ou les propriétaires de la ressource demandée, le module Service Automation s’assure que les modifications sont automatiquement traitées dans les systèmes backend concernés.

Étape 4 : Surveillance, audits et conformité

Un rôle crucial des environnements de GIA modernes est l’enregistrement précis des droits accordés et la journalisation de toutes les actions des utilisateurs. Cela permet de démontrer la conformité d’un plan de vue sécurité de l’information de l’organisation, aux normes de sécurité sous-jacentes et à la législation sur la protection de la vie privée. HelloID enregistre toutes les activités dans des journaux d’audit. Sur cette base, HelloID fournit des rapports standards aux administrateurs HelloID, aux managers et aux propriétaires de produits. Les informations urgentes sont communiquées sous forme d’incidents. HelloID propose également un processus pour cette distribution d’informations :

Logs et rapports standards

HelloID propose des logs (journaux) et des rapports standards, en fonction des modules HelloID utilisés. Ainsi, les rapports du module Access Management contiennent des informations sur les tentatives d’accès actuelles, tandis que les rapports de Provisioning se concentrent sur la création et les modifications de comptes, de règles métier et de droits. Le module Service Automation fournit les données de journalisation sur les processus spécialisés.

Rapports, analyses et surveillance spécifiques au client

Le nombre de logs et de rapports standards disponibles augmente à mesure que vous déployez davantage de fonctionnalités HelloID. En effet, vous pouvez créer des rapports spécifiques selon vos besoins, par exemple, avec la fonctionnalité de tableau de bord et de rapport Elastic Kibana. HelloID dispose également de différentes API pour Power BI et d’autres applications et systèmes de sécurité pour stocker des données plus longtemps, les combiner et les corréler avec d’autres données, puis les analyser davantage. Cela inclut également des intégrations avec, par exemple, l’environnement SIEM des clients.

Feuille de route HelloID

Avec HelloID, vous pouvez progressivement déployer davantage de fonctionnalités de GIA, à votre rythme et en fonction de vos besoins. D’ailleurs, nous continuons également à développer la plateforme HelloID. Étant donné que la solution IDaaS HelloID bénéficie d’une nouvelle version chaque mois, de nouvelles fonctionnalités sont régulièrement ajoutées. Pour cela, consultez notre feuille de route publique sur https://roadmap.helloid.com/milestones.