L'humain est le maillon le plus faible dans la sécurité d'une entreprise. Ainsi s'assurer que les identités sont correctement gérées, de l'arrivée de l'utilisateur à son départ, est critique.
Gérer des milliers de comptes et des centaines ou des milliers d'identités peut vite devenir hors de contrôle et mettre en péril la sécurité et la productivité de l'entreprise. C'est là que la gestion du cycle de vie des utilisateurs ou Identity Lifecycle Management (ILM) intervient. Elle est là pour aider les entreprises à automatiser la gestion administrative des tâches.
Le management des cycles de vies des identités fait partie intégrante de l'IAM, la gestion des identités et des accès.
💡: it's possible to listen to this article! Find the audio at the bottom of the page 🎧
Que regroupe la gestion du cycle de vie des identités ?
L'Identity lifecycle management regroupe 4 étapes importantes dans le suivi des employés :
- les arrivées,
- les mouvements,
- les absences prolongées,
- les départs
Cela se traduit en informatique de cette manière :
- les créations de comptes,
- les modifications,
- les suspensions ou désactivations,
- les suppressions de comptes.
On parle ainsi de durée de vie d'un collaborateur. Le temps de l'entreprise unique est révolu et les expériences professionnelles se multiplient.
L'employé attend d'être accompagné par son organisation tout au long de son cycle de vie.
Étapes du cycle de vie d'un utilisateur :
Les bénéfices de l'identity lifecycle management :
L'ILM aide les services IT de plusieurs manières →
Éliminer les tâches manuelles
- Gérer plusieurs identités et les provisionings dans des ressources critiques, modifier les attributs des utilisateurs peut être une charge importante pour le service IT si elle est réalisée manuellement.
- Créer les comptes et les rôles à la main pour chaque application, s'assurer que le niveau d'accès est juste et révoquer les droits lorsqu'ils ne sont plus d'actualité est une mission complexe et à risque si elle est réalisée à la main.
- L'automatisation devient un atout majeur qui va simplifier, fiabiliser et accélérer les processus de gestion du cycle de vie des utilisateurs.
Réduire les risques et assurer la conformité
Assurer les bons droits à la bonne personne n'est pas seulement utile pour la productivité des utilisateurs, elle l'est aussi pour la sécurité de l'entreprise.
Les administrateurs doivent avoir la possibilité d'attribuer les bons accès en fonction du rôle, c'est-à-dire, du statut et poste que l'utilisateur occupe dans l'entreprise. Ainsi, dès qu'un changement de rôle s'opère, l'administrateur doit être en mesure de réajuster ce rôle.
L'offboarding est une période clé dans la gestion du risque. Lorsqu'un utilisateur quitte l'entreprise le déprovisioning doit être fait immédiatement afin de ne pas laisser des accès ouverts.
Dans une petite entreprise toutes ces actions sont gérables mais à l'échelle de 500, 1000 ou + 5000 collaborateurs comment gérer cela manuellement ?
Il ne s'agit pas seulement de gérer des utilisateurs, il faut aussi gérer les comptes et les licences. La gestion du cycle de vie des utilisateurs comporte différentes étapes qui sont toutes critiques pour des raisons différentes.
Au moment de l'onboarding, il s'agit de répondre à des besoins de mise à disposition immédiate des bons outils.
Au moment d'une mobilité interne, il faut réajuster les droits et les accès et au moment d'un départ, il faut suspendre ou supprimer les comptes.
Quel est le risque au moment du départ ?
Durant un temps (celui que vous mettez à suspendre un compte), l'utilisateur a toujours accès à ses comptes et donc aux informations. Imaginez un commercial qui part et qui a toujours accès à la base de données commerciale de l'entreprise avec les anciens mais aussi les nouveaux prospects...
L'autre point dangereux, c'est les mises à jour qui ne sont plus appliquées sur ce compte et où les failles de sécurité peuvent apparaître. Il est donc facile pour un hacker de prendre le contrôle d'un de ces comptes dormants et de le faire réagir avec les autres personnes de l'entreprise. Dans une société de +5000 personnes il n'est pas possible de savoir si telle personne ne travaille plus dans l'entreprise et donc que sa demande est suspecte.
Il est donc crucial d'automatiser l'identity lifecycle management au moment des départs afin de révoquer les droits d'une personne.
Ce point est important notamment dans une optique réglementaire qui exige une politique de droits d'accès stricte. Des audits de provisioning de comptes peuvent être exigés afin d'avoir une traçabilité des actions.
Gérer les profils applicatifs
Sur chaque application vous avez défini un paramétrage de base et adapté en fonction des rôles. Il est complexe à gérer et à maintenir. Le paramétrage se fait manuellement avec son lot d'erreur puis l'adaptation est laborieuse. Parfois, par défaut, on a tendance à attribuer des droits administrateurs dès qu'un utilisateur a des besoins un peu plus élevés. C'est une erreur.
L'Active Directory de Microsoft est très difficile à organiser, à ajuster et à suivre pour la gestion des rôles. Pourtant, l'AD est un point central et sensible dans votre système information.
L'automatisation va vous aider à créer des profils applicatifs et à les administrer automatiquement en fonction des rôles de chaque utilisateur.
Gérer le shadow IT
Les utilisateurs peuvent avoir tendance à tester de nombreuses applications avant de trouver la bonne puis, celle-ci vient aussi à être remplacée par une autre application plus moderne et efficace.
L'apparition du shadow IT se fait dans ce contexte où la gestion des comptes n'est pas suivie.
L'automatisation permet d'avoir cette centralisation des applications afin de mieux gérer des besoins des utilisateurs et donc de créer et supprimer de façon réactive les comptes des utilisateurs. Ainsi, la DSI n'est pas vu comme un frein mais comme un accompagnateur à la productivité.
Référentiel des utilisateurs et des applications
Pour gérer l'identity lifecycle management, il est nécessaire d'avoir des référentiels à jour pour les utilisateurs et pour les applications. Sans cela vous allez vous retrouver avec un écart entre les RH et l'IT au niveau des comptes et des utilisateurs.
Les deux référentiels doivent être à jour et si j'aborde ce sujet, c'est que justement leur maintien est difficile car il implique une double saisie pour les RH et des échanges de mails avec l'IT. Ici nous parlons bien des arrivées et pour ce qui est des départs ils sont souvent inexistants ou sans process bien défini.
L'automatisation va vous permettre d'avoir et de maintenir vos référentiels à jour. La solution de gestion des identités et des accès qui gère les cycles de vie va venir se connecter à votre SIRH et à vos applications afin de faire circuler les informations saisies par les RH.
Would you like to receive our white paper on identity and access management?
Quelles sont les difficultés rencontrées en entreprise pour gérer la gestion du cycle de vie des utilisateurs ?
En effet, qu'il y ait automatisation ou non, l'entreprise va au moins effectuer la création des comptes pour les nouveaux utilisateurs et à chaque nouveau besoin parce qu'elle ne peut pas faire autrement. Ce point totalement bloquant s'il n'est pas effectué.
Le reste est beaucoup plus aléatoire. Il peut y avoir une réconciliation des comptes et des utilisateurs quelques fois par an en relation avec les RH afin de réajuster qui est là et qui n'est plus là et donc les comptes à supprimer.
Les difficultés ne s'arrêtent pas là, il y a souvent des processus plus ou moins connus et appliqués mais souvent quand une autre personne doit reprendre le projet, c'est très difficile car tout est 'bidouillé' à la base.
- Les processus ne sont pas documentés, ni les workflows.
- Des scripts en interne peuvent avoir été développés par une personne mais sont globalement complexes, ingérables par une autre personne et non adaptable aux différentes situations.
- Les délais pour les créations de comptes ne sont pas respectés et les utilisateurs se retrouvent dans l'attente de leurs accès.
- Dans la précipitation, des droits administrateurs peuvent être attribués pour éviter les allers-retours.
- La gestion manuelle des comptes implique la présence de plusieurs techniciens informatiques.
- Les offboardings sont en retard et mettent en périls la sécurité de l'entreprise.
Quel est l'intérêt d'une solution de gestion du cycle de vie dans une organisation pour l'utilisateur ?
Pour répondre simplement à cette question : la réactivité !
On parle de l'intérêt pour l'entreprise mais il y a aussi un intérêt pour l'utilisateur.
La gestion des étapes du cycle de vie des utilisateurs permet de suivre l'évolution d'un collaborateur dans l'entreprise et d'avoir une vraie connaissance de sa position à un instant T.
Le service informatique peut avoir une grande réactivité pour répondre à ses besoins immédiats.
Un utilisateur qui arrive dans une entreprise s'attend à être choyé et s'il ne l'est pas, il risque de se désengager et de partir.
Le département informatique, les RH et le manager ont donc tout intérêt à gérer l'expérience utilisateur au mieux et c'est en cela que l'identity lifecycle management est un grand atout car il permet d'apporter les bons accès avec les bons droits au bon moment à la bonne personne.
L'autre bienfait de l'ILM c'est la gestion de l'équipe pour le manager qui est simplifiée par un processus automatisé de demandes de ressources informatiques.
Comment une solution d'IAM va aider à la gestion des cycles de vie ?
La gestion du cycle de vie des identités va être intégrée plus globalement à une solution d'IAM. Gérer les identités sans gérer les accès est un non-sens.
L'intégration aux applications (SIRH, Active Directory, applications métier) est alors un prérequis pour automatiser les identités.
Dans les différentes fonctionnalités de l'IAM, la synchronisation des informations RH et IT va être la clé du succès et va permettre :
- d'automatiser les entrées et les sorties des utilisateurs,
- de désactiver les accès
- de réviser les droits et les autorisations
- d'effectuer une revue des comptes
- de garantir l'autorisation d'accès aux bonnes applications
En matière de sécurité, la gestion du cycle de vie des identités est primordiale car elle permet d'apporter l'information des utilisateurs partis, ce qui va permettre à l'IT de supprimer l'ensemble des comptes liés à ces personnes.
De la même manière, la gestion du cycle de vie comprend aussi une partie importante : les évolutions internes dans l'entreprise. Les droits et les accès évoluent et l'alignement des droits d'une personne doit pouvoir se faire simplement. Ce qui n'est pas réalisable à la main.
Ni l'informatique, ni un manager n'ont la compétence de juger à un instant T si tel employé a un niveau de droits et d'accès en adéquation avec son poste actuel. L'un n'a pas la connaissance de ses besoins et l'autre n'a pas la connaissance des groupes de sécurité qu'il a et qu'il devrait avoir. L'IAM va pouvoir répondre à ces problématiques afin d'apporter des réponses.
L'IAM va cartographier l'ensemble des comptes de cet employé et va pouvoir émettre des informations neutres sur ses accès. L'IAM va aider à suivre les étapes du cycle de vie d'un utilisateur.
Conclusion
La gestion du cycle de vie des utilisateurs (ILM) s'affirme comme un élément crucial de la stratégie de sécurité et de productivité des entreprises. Face à la complexité croissante des environnements informatiques et à l'évolution rapide des carrières, l'automatisation offre des avantages considérables. Elle permet non seulement d'éliminer les tâches manuelles chronophages et sujettes aux erreurs, mais aussi de réduire significativement les risques de sécurité, notamment liés aux comptes dormants et aux accès non autorisés.
Pour les utilisateurs, l'ILM se traduit par une expérience améliorée, avec un accès rapide et approprié aux ressources nécessaires dès leur arrivée et tout au long de leur parcours dans l'entreprise. Pour les managers et les équipes IT, elle offre une visibilité accrue et une gestion simplifiée des identités et des accès. En intégrant l'ILM dans une solution globale de gestion des identités et des accès (IAM), les entreprises peuvent non seulement optimiser leurs processus internes, mais aussi renforcer leur posture de sécurité globale, assurant ainsi la conformité réglementaire et la protection des données sensibles.