Comment une solution de Provisioning de comptes utilisateurs peut aider votre organisation

Dans notre article précédent, « Pourquoi votre organisation a-t-elle besoin d’une solution de GIA ? », nous avons exploré divers défis auxquels les organisations sans Gestion des Identités et des Accès (GIA) sont confrontées. Nous avons catégorisé ces défis en trois domaines principaux : l’efficacité et la réduction des coûts, la conformité aux exigences législatives et réglementaires, ainsi que la protection contre les fuites de données. Dans cet article, nous allons approfondir ces motivations, mais cette fois-ci en examinant comment une solution de Gestion des Identités et des Accès (GIA) peut prévenir et résoudre ces problèmes. Nous commencerons avec le User Provisioning. Si vous souhaitez comprendre comment une solution de provisionnement de compte utilisateur (User Provisioning) basée sur le cloud, peut aider à votre organisation, continuez votre lecture !

Comment une solution de GIA peut-elle vous aider ?

Dans un précédent article, nous avons mis en lumière trois impératifs majeurs pour l’adoption d’une solution de Gouvernance des Identités et de Accès (GIA). Ces motivations englobent divers défis liés à la gestion manuelle des identités, des droits d’accès et des autorisations. Concernant l’efficacité et la réduction des coûts, les problématiques rencontrées incluent la gestion fastidieuse des changements des utilisateurs, une expérience utilisateur dégradée impactant la productivité, une accumulation de demandes d’assistance et des coûts élevés liés aux licences logicielles. Pour la conformité aux normes légales et réglementaires, les défis de la GIA résident dans l’accumulation de privilèges et les conflits d’autorisations, ainsi que dans la pratique risquée consistant à dupliquer les utilisateurs plutôt qu’à appliquer le principe du moindre privilège. En ce qui concerne la protection contre les fuites de données, l’erreur humaine a été identifiée comme une vulnérabilité majeure.

Comme évoqué dans notre article précédent, la Gestion des Identités et des Accès est une appellation englobant une variété de technologies dédiées à la gestion des identités, des autorisations et de l’accès aux ressources. Dans la suite de cet article, nous plongerons dans les détails de ces technologies de GIA et de leur fonctionnement. Pour simplifier, nous classerons ces technologies en trois catégories : User Provisioning, Service Automation et Access Management, qui correspondent aux modules de notre solution de GIA basée sur le cloud : HelloID.

User Provisioning

Le module User Provisioning concerne l’automatisation du cycle de vie d’une identité, en utilisant des règles métier définies et un modèle de rôles pour relier les systèmes sources aux systèmes cibles. Cela permet de gérer automatiquement jusqu’à 80 % des tâches manuelles liées à la gestion des utilisateurs et des autorisations. Les phases les plus connues du cycle de vie d’un utilisateur sont l’intégration, la mobilité interne, la sortie ainsi que la réintégration. En automatisant ces processus, cette fonctionnalité de GIA résout une grande partie des problèmes identifiés liés aux risques d’erreurs, au coût en temps et en argent, et à la réactivité.

Connexions

Une solution de GIA relie les systèmes sources aux systèmes cibles pour automatiser la gestion des utilisateurs et des autorisations sans intervention humaine ou manuelle. Généralement, on peut relier plusieurs systèmes comme systèmes sources. Pour les systèmes cibles, il est conseillé de commencer par les applications utilisées par de nombreux utilisateurs nécessitant de fréquentes mises à jour.

Pour optimiser les gains d’efficacité et les économies, les investissements en intégrations doivent correspondre aux bénéfices en termes de gain de temps. De ce fait, il n’est pas judicieux de connecter une application utilisée par un nombre restreint d’utilisateurs. Toutefois, il existe une exception pour les applications manipulant des données hautement sensibles où il est crucial d’éliminer les risques d’erreurs manuelles. Dans de tels cas, l’intégration peut s’avérer pertinente, même s’il peut être préférable de la gérer via le Service Automation plutôt qu’avec le User Provisioning.

Système source

Le processus de gestion automatisée des utilisateurs commence par un système d’enregistrement central, la « source unique de référence ». Dans la plupart des organisations, le système RH sert de source unique de référence, car il est crucial de le tenir à jour pour la gestion des salaires. Si une personne n’est pas dans le système RH, elle ne reçoit pas de salaire. Si elle y reste après son départ, elle pourrait continuer à être payée. Ces situations motivent à investir dans un système de gestion précis.

Au-delà de l’intégrité des données, le système RH contient des informations essentielles pour gérer correctement les utilisateurs et les autorisations, telles que les noms, les prénoms, les nom usuels ou pseudonymes indispensables pour générer des noms d’utilisateur et des adresses email. Les détails contractuels indiquent quand créer ou fermer un compte utilisateur. La fonction, le service, le département, la localisation, renseignent sur les droits nécessaires, tandis que le manager, souvent renseigné dans le système RH, est crucial pour le Service Automation.

Plusieurs systèmes sources

Le terme « unique » ne signifie pas qu’une seule source doit être utilisée exclusivement. Des organisations comme les établissements hospitaliers ou les institutions éducatives peuvent avoir besoin de plusieurs systèmes sources, comme les logiciels de planification ou les systèmes d’information des étudiants (SIE), pour gérer les employés et les étudiants. La GIA ne se limite pas aux employés mais s’étend à tous les utilisateurs nécessitant un accès à l’environnement informatique.

Système cible

Pour permettre aux utilisateurs d’accéder aux ressources nécessaires, il est essentiel de connecter les systèmes cibles, qui peuvent varier comme (Entra ID) Active Directory, Google Workspace, jusqu’aux systèmes de fichiers NTFS ou SharePoint sur le cloud, sans oublier les applications spécifiques à l’entreprise telles qu’un système de gestion de la relation client (CRM), un dossier patient informatisé (DPI) ou un environnement d’apprentissage électronique (EAE).

Il est à noter qu’un système cible peut également servir de système source. Par exemple, une application RH peut offrir une solution en self-service aux employés pour des actions telles que la mise à jour des informations personnelles ou les demandes de congés. Pour accéder à ces services, un compte utilisateur spécifique est nécessaire, qui peut ne pas être directement lié aux données RH. La gestion de ces comptes peut être simplifiée en les intégrant dans un système de User Provisioning.

Les systèmes cibles peuvent également avoir des dépendances entre eux. Prenons l’exemple de l’adresse e-mail d’un utilisateur, souvent créée manuellement par le personnel du service informatique. Avant son attribution, il est crucial de vérifier sa disponibilité. Dans un processus de User Provisioning automatisé, la solution de GIA générera et validera cette adresse dans, par exemple Exchange, Google, Office 354, Zimbra, Lotus, BlueMind, etc. mais celle-ci sera également nécessaire dans de nombreuses autres applications, comme une application RH pour le self-service mentionnée précédemment.

Gestion du cycle de vie des identités.

La gestion du cycle de vie des identités est essentielle dans l’automatisation de la gestion des identités et des accès. Lorsqu’un utilisateur est enregistré dans le système source, il a besoin d’un compte qui sera activé à la date d’entrée en fonction. Les mutations, telles qu’un changement de nom dû à un mariage ou un divorce, ou un changement de fonction ou de service suite à une promotion, entraînent la modification des données de compte et des droits associés. Lorsqu’un employé quitte l’entreprise, le système révoque ses droits, désactive et éventuellement supprime son compte.

Traditionnellement, ces étapes requièrent un effort manuel considérable de la part des départements RH et IT. Le service RH doit notifier le service IT de toute mutation, tandis que le helpdesk et les administrateurs d’applications doivent traiter ces changements dans divers systèmes. Tout retard ou traitement groupé de ces mutations peut affecter la rapidité, la productivité et la sécurité des informations.

Une solution de Provisionnement de compte utilisateur (User Provisioning) automatise entièrement ces changements. Le système de GIA analyse périodiquement le système source, comparant les captures pour détecter automatiquement toute mutation. Les personnels du service RH n’ont qu’à entrer les mutations dans le système RH, sans changement dans leur processus habituel, mais sans la nécessité d’informer manuellement le département IT. Basé sur des procédures prédéfinies et un processus de mapping, le système peut ensuite appliquer automatiquement ces modifications dans les systèmes cibles associés, réduisant ainsi la charge de travail du helpdesk et des administrateurs/responsables d’applications. Globalement, l’automatisation assure l’application rapide et sans erreur des modifications.

Modèle de rôle

Le modèle de rôles est essentiel pour déterminer qui, au sein de votre organisation, nécessite des comptes utilisateur dans quelles applications et les droits associés. Ce modèle constitue le cerveau de votre système de Gestion des Identités et des Accès (GIA), également désigné sous les termes de matrice d’autorisation, Role Based Access Control (RBAC) ou Attribute Based Access Control (ABAC), ou plus simplement, les règles métier. Chaque règle métier se compose de conditions et de permissions, définissant l’applicabilité d’une règle à un individu et les droits qui lui sont accordés ou retirés en fonction de ces conditions.

Conditions

Les conditions identifient les individus concernés par une règle métier, sélectionnant ainsi un sous-ensemble d’utilisateurs qui recevront les permissions associées. L’idée est d’attribuer à chaque utilisateur un rôle clair lié à ses fonctions, déterminé par des critères tels que la fonction, l’équipe, le département, le service ou le lieu de travail. On commence généralement par établir les conditions applicables à l’ensemble de l’organisation, où des droits d’accès universels sont nécessaires, comme un compte Active Directory (ou Entra ID), l’accès à Internet et à l’intranet, et Microsoft Office. En allant plus en détail, comme au niveau des services, des accès spécifiques peuvent être requis, tels que l’accès au dossier réseau du service. C’est seulement lorsque cela s’avère absolument nécessaire que l’on envisage des fonctions individuelles ou des combinaisons de critères tels que la fonction et le service. En pratique, une grande partie de la gestion manuelle peut être gérée aux niveaux supérieurs.

S’attacher à configurer un rôle précis pour chaque employé conduirait à autant de rôles que d’employés, ce qui reviendrait à déplacer la gestion manuelle des utilisateurs et des autorisations vers la gestion manuelle du modèle de rôles, entraînant les mêmes problèmes de vulnérabilité aux erreurs, de délais, de productivité et de coûts que ceux qu’une solution de GIA vise à résoudre. La règle générale est que le User Provisioning devrait pouvoir gérer environ 80 % de la gestion des utilisateurs et des autorisations en automatique, les 20 % restants étant traités par la technologie de Service Automation au sein d’une solution de GIA.

Droits d’accès

Une fois le rôle défini, les droits d’accès à des applications et données spécifiques sont attribués pour remplir efficacement ce rôle, assurant ainsi l’attribution automatique des mêmes droits à tous ceux partageant un même rôle.

Il existe cinq types de permissions qui peuvent être associées à un rôle :

• Compte
• Activation du compte
• Appartenance à un groupe
• Permission
• Sous permission

Lors de l’attribution d’un compte, un nouveau compte utilisateur est créé dans un état initialement désactivé. L’accès au compte est activé dès que les autorisations nécessaires sont accordées. L’appartenance à un groupe fait référence à l’association de l’utilisateur à un ou plusieurs groupes spécifiques dans un système cible. Les permissions sont des droits personnalisés au sein des systèmes cibles, avec la possibilité d’associer des sous-permissions optionnelles.

Dans une solution de Gestion des Identités et des Accès (GIA), il est crucial que ces processus soient réciproques, c’est-à-dire qu’à chaque attribution de droit d’accès corresponde une action inverse. Si le rôle d’un utilisateur change, il est essentiel que les droits d’accès associés soient automatiquement ajustés, évitant ainsi une simple accumulation de droits. Cette exigence représente un défi majeur dans un processus manuel de gestion des utilisateurs et des autorisations, mais elle est bien plus simple à gérer avec une solution de GIA telle qu’HelloID. Par exemple, l’opposé de l’octroi d’une permission est son retrait, de l’activation d’un compte est sa désactivation, et de la création d’un compte est sa suppression. Cette approche garantit l’absence de « comptes fantômes » dans le réseau, qui ne seraient ni gérés manuellement ni par automatisation.

Restez à l’écoute pour notre prochain article sur la façon dont une solution de Service Automation peut aider votre organisation. Pour en savoir plus sur notre module HelloID User Provisioning, contactez-nous.

• IAM
• source system
• target system