L’importance d’une solution de GIA

L’importance d’une solution de GIA

Rédigé par: Maikel Baars

La demande de solutions de gestion des identités et des accès (IAM) a connu une croissance rapide ces dernières années et celle ci ne semble pas s’arrêter.  Le cabinet d’études Marketsandmarkets s’attend à ce que le marché de la gestion des identités et des accès atteigne 25,6 milliards de dollars entre 2022 et 2027. Selon une étude récente du cabinet Forrester, une grande partie de cet investissement dans les solutions IAM se fera dans des solutions basées sur le cloud. Plus de 80 % des décideurs informatiques dans le monde ont déjà adopté des solutions cloud, ou prévoient de le faire au cours des deux prochaines années. Mais cela fait-il du cloud le principal moteur de la croissance du secteur, ou d’autres catalyseurs entrent-ils en jeu ? Votre organisation devrait-elle également avoir une stratégie de gestion des identités et des accès ?
Dans cet article, nous examinons les principales raisons pour lesquelles vous aussi vous devriez mettre en œuvre une solution IAM.

Gestion des identités et des accès

Avec plus de 20 ans d’expérience sur le marché de la GIA, Tools4ever a observé un changement dans les raisons qui poussent les clients à adopter une solution de gestion des identités et des accès. Avant de plonger dans ces raisons, définissons ce que signifie et implique une solution GIA :

« La gestion des identités et des accès englobe les processus, les politiques et les systèmes qui gèrent les identités numériques des utilisateurs de manière sécurisée et rationalisée. »

Il s’agit d’un terme générique pour une variété de technologies telles que le User Provisioning, l’Automation Service et l’Access Management (des modules que vous pouvez retrouver dans HelloID). Chacune de ces technologies repose sur des éléments tels que la gestion du cycle de vie des identités, la gestion des flux de travail, le single sign-on (SSO), etc. En résumé, la gestion des identités et des accès englobe trois concepts clés pour garantir que les bons utilisateurs ont le bon accès, au bon moment, aux bonnes applications : identification, authentification et autorisation. Lorsque les utilisateurs souhaitent accéder à des systèmes ou des données, ils doivent d’abord s’identifier avec leur nom d’utilisateur associé à leur compte. Une fois leur identité confirmée par le processus d’authentification approprié, comme un mot de passe ou un token, et s’ils disposent des autorisations nécessaires, les utilisateurs peuvent accéder aux informations dont ils ont besoin.

Pourquoi adopter une solution de GIA ?

Dans la définition de l’IAM (identity and Access Management), nous voyons déjà deux termes clés : Sécurité et rationalité. Traditionnellement, c’est ce dernier qui focalise le plus l’attention. La rationalisation comprend l’efficacité et la réduction des coûts. Toutefois, ces dernières années, sous la pression de lois et de réglementations de plus en plus strictes, ce sont précisément la conformité et la sécurité qui ont pris le dessus. Ci-dessous, nous allons nous pencher plus en détail sur ces facteurs et expliquer certains défis actuels.

Efficacité et réduction des coûts

Les organisations utilisent un large éventail d’applications hétérogènes, à la fois on-premise et sur le cloud, chacune suivant ses propres standards et protocoles. L’augmentation significative des applications cloud complique la tâche des départements IT pour intégrer ces applications et y appliquer des mesures de sécurité à l’échelle de l’entreprise. Presque chaque application dispose de sa propre base d’utilisateurs, créant ainsi de multiples silos d’identités isolés. La gestion de tous ces comptes et leurs droits associés conduit à une charge de travail manuelle et sujette aux erreurs pour les équipes IT. Cela se traduit par une mauvaise expérience utilisateur et une baisse de la productivité pour l’ensemble de l’organisation.

Une solution IAM pour gagner en efficacité

 

Gestion manuelle des mutations

L’arrivée d’un nouveau collaborateur dans l’entreprise nécessite la création de comptes dans divers systèmes et applications, ainsi que l’attribution des droits nécessaires pour exercer ses fonctions. Mais cela ne s’arrête pas là. Avec le temps, ce collaborateur peut changer de poste, nécessitant une mise à jour de ses autorisations, certaines devant être ajoutées, d’autres retirées. Des changements de situation personnelle, comme un mariage ou un divorce, peuvent entraîner la modification de son nom dans les profils utilisateurs. Un projet interdépartemental peut exiger un accès temporaire à des dossiers spécifiques, qui doit ensuite être révoqué. Finalement, le départ du collaborateur de l’entreprise implique la suppression de son accès et le nettoyage de ses comptes.

Ces exemples illustrent la diversité des changements susceptibles d’affecter un utilisateur. Il est crucial que ces changements soient gérés correctement et en temps opportun. Avec les nombreux intermédiaires et flux d’information impliqués, du manager qui embauche, au service RH qui enregistre le nouvel employé dans le système de gestion des ressources humaines, jusqu’à l’équipe IT qui doit fournir les ressources informatiques nécessaires, il est difficile de maintenir un processus manuel à la fois efficace et fiable.

Expérience utilisateur dégradée et productivité réduite

La gestion manuelle des changements d’accès a rapidement un impact négatif sur l’expérience des employés. Dans une ère où attirer de nouveaux talents est primordial, il est crucial qu’ils bénéficient d’une intégration fluide et soient productifs dès leur premier jour. Cependant, l’attente prolongée pour accéder aux informations nécessaires ou la nécessité de se souvenir des identifiants pour des dizaines d’applications génèrent frustration et baisse de productivité. Trouver l’équilibre entre un processus IT efficace, une bonne expérience utilisateur et un haut niveau de sécurité et de contrôle est complexe avec un processus manuel d’authentification et d’autorisation.

Augmentation des tickets helpdesk

Selon Gartner, entre 30 à 50 % des tickets helpdesk sont liés à la réinitialisation des mots de passe et à la réactivation des comptes, coûtant environ 40 euros par ticket. Cela représente une charge considérable en termes de temps pour les équipes du support, sans compter le temps d’arrêt pour l’employé en attente de résolution. Ceci constitue une dépense significative annuelle pour le département IT et l’organisation entière. Sans un système de GIA, il est difficile de blâmer les employés incapables de se souvenir de multiples ensembles de login et mots de passe, souvent complexes et régulièrement renouvelés, et ce, sur divers appareils.

Une autre raison courante de solliciter le helpdesk concerne les problèmes d’autorisation, accès insuffisant ou inapproprié à une application ou des données nécessaires. Ces demandes arrivent majoritairement au helpdesk, perçu comme le point de résolution par excellence par les employés. Cependant, la validation de l’autorisation d’exécution des demandes soulève des questions : comment le helpdesk peut-il vérifier l’identité de l’appelant et l’approbation du manager ? Ce processus implique souvent une vérification auprès du manager, l’attente de son accord, puis l’enregistrement de cette approbation dans une solution ITSM, avant de finalement octroyer les droits demandés. Ce circuit est non seulement long et complexe mais aussi sujet à erreurs.

Coûts élevés des licences logicielles

En moyenne, environ un tiers du budget informatique est consacré aux licences de logiciels, que se soit des versions en application ou en SaaS. En particulier, les applications spécialisées telles que Microsoft Visio ou encore Adobe Creative Suite qui sont onéreuses et dont le nombre de licence doit être contrôlé. Il est de ce fait très courant de payer les licences de ces logiciels par utilisateur.
Cependant, des études montrent que des milliards sont gaspillés chaque année par les entreprises pour des licences acquises et inutilisées. Il n’est pas très difficile de calculer la réduction de coûts obtenue si vous ne distribuez que les licences nécessaires. Même lorsqu’un logiciel n’est utilisé que sporadiquement, une solution IAM peut prendre en charge l’attribution et la récupération de ces licences pour diminuer au maximum le pool de licences achetées. Elle peut également refuser automatiquement l’accès aux utilisateurs lorsque le pool de licences est vide.

Exigences de conformité aux lois et réglementations

La réglementation, de plus en plus stricte ces dernières années, rend les organisations responsables de la gestion sécurisée et appropriée de l’accès aux données des clients et des employés. La Règlementation Générale sur la Protection des Données (RGPD) en est l’exemple le plus éminent. Les entreprises doivent maintenant avoir des procédures claires sur qui a accès à quelles informations et comment cette information est sécurisée, sous le regard vigilant des auditeurs et de l’Autorité de Protection des Données.

Une solution IAM pour être en conformité avec les réglementations européennes

 

Accumulation de droits et autorisations contradictoires

Concernant les autorisations, beaucoup d’erreurs sont commises. L’attribution d’autorisations n’est généralement pas le principal problème, car les utilisateurs signalent lorsqu’ils leur manque un ou plusieurs accès. Cependant, le retrait d’accès est moins évident, les utilisateurs n’ayant pas tendance à signaler qu’il n’en ont plus besoin. En conséquence, les droits une fois accordés sont rarement révoqués. Les droits peuvent s’accumuler suite à des besoins temporaires pour un projet, une adhésion à un comité, un changement de poste ou de département, etc. Cette accumulation de droits, ou « droits toxiques », peut présenter des risques significatifs, comme dans le cas d’un employé pouvant à la fois approuver et effectuer des paiements.

Au fil du temps, les utilisateurs accumulent de nombreux droits dont ils ne devraient plus disposer, mais qui ne sont plus surveillés. Les managers, se concentrant davantage sur la capacité des employés à accomplir leur travail, peuvent négliger le potentiel d’accès à des données sensibles, souvent sans même en être conscients.

Pratique de duplication d’utilisateur contre le principe du moindre privilège

Adopter une politique de « copie d’utilisateur » dans une organisation conduit rapidement à un cauchemar en terme de sécurité. Les systèmes de gestion de la sécurité de l’information tels qu’ISO 27001 et 27002, la BIO et la NEN 7510 insistent sur le principe du moindre privilège. Les utilisateurs doivent avoir accès aux applications et informations essentielles pour leur travail, et rien de plus. Les départements IT doivent être en mesure de prouver que c’est effectivement le cas. Un processus manuel a du mal à suivre cette exigence, sans parler de la capacité à rapporter et retracer l’attribution des droits. C’est là qu’une solution de Gestion des Identités et des Accès (GIA) trouve toute son utilité.

Protection contre les violations de données

Avec les nouvelles quotidiennes sur les cyberattaques, les ransomwares et les fuites de données, il est évident que la cybercriminalité est en plein essor. Les cybercriminels deviennent de plus en plus professionnels et habiles à mener des attaques à grande échelle pour voler des données d’entreprise sensibles et des informations personnelles. Une fuite de données peut entraîner des coûts élevés, perturber l’activité de l’entreprise et mener à des amendes substantielles de la part des autorités de protection des données. Sans oublier les dommages potentiels à la réputation. Il est donc crucial pour les organisations de prendre des mesures pour prévenir les fuites de données.

Une solution IAM pour se protéger contre les violations de données

 

Erreurs humaines

Les erreurs humaines sont inévitables. Malgré les formations annuelles en cybersécurité, les employés peuvent cliquer sur des liens malveillants. Un informaticien pourrait accidentellement attribuer des droits de comité d’entreprise à un nouveau membre du personnel en copiant le profil d’un collègue. Ou oublier de désactiver le compte d’un employé licencié. Une solution de GIA peut réduire les risques et l’impact de la propagation de comptes compromis en appliquant une authentification forte, en minimisant les droits d’accès et en clôturant rapidement les comptes orphelins. Elle empêche également l’accès non autorisé à des données d’entreprise sensibles, tant par des internes que des externes.

Pourquoi avez-vous besoin d’une solution de GIA ?

Les défis courants rencontrés par les organisations sans une solution de GIA ont été décrits ci-dessus. Si vous reconnaissez un ou plusieurs de ces défis dans votre organisation, il est temps de réfléchir à une stratégie de GIA. Dans le prochain article, nous explorerons comment la technologie de User Provisioning au sein d’une solution de GIA peut aborder précisément ces problèmes.

Vous souhaitez en savoir plus sur les possibilités offertes par les solutions IAM de Tools4ever ? Téléchargez notre livre blanc Identity as a Service ou contactez-nous pour une démonstration gratuite !

Cet article a été initialement écrit par Maikel Baars vous pouvez retrouver la version originale ici

Maikel Baars

Écrit par:
Maikel Baars

En tant que gestionnaire de compte, Maikel Baars a aidé les clients à atteindre leurs objectifs et les a conseillés sur tout type de défis. Aujourd'hui, il est occupe le poste de responsable Marketing.