Ca coûte… Par nature, l’Identity Access Management est un projet majeur. Sa mise en œuvre réclame des actions à tous niveaux: organisation, processus, technique, ressources humaines. Un tel projet impactera la sécurité, mais aussi l’infrastructure; il faudra y convier -à différents niveaux- le personnel, mais aussi les prestataires de services externes, sans oublier les fournisseurs de technologies. Pour un grand compte, le coût des licences représente moins de 20% du coût du projet. On peut également estimer que les coûts internes approcheront le coût d'intégration pour la mise en oeuvre.

C’est long… Les résultats attendus ne sont jamais immédiats. Les spécialistes s’accordent sur une moyenne deux ans. Il faut penser grand et démarrer pet, entend-t-on dire. Le plus souvent, un tel projet est morcelé en étapes. Le premier déploiement se limite en général à un périmètre réduit -mais néanmoins représentatif- du système d’information. Il s’étendra ensuite, par étapes successives, étalées dans le temps. Qui plus est, on ne part jamais d’une situation ex-nihilo. Par nécessité, toute organisation a déjà abordé la question de la gestion des identités et des accès -de manière diffuse, de manière industrielle ou non. il va donc falloir rechercher les coûts associés à cette gestion d'identité diffuse car elle n'est généralement pas chiffrée -comment est géré le cycle de vie du collaborateur actuellement, quels sont les systèmes de sécurité intrinsèque à chaque application, etc. Et donc se poser la question de ce qui peut être supprimé, amélioré, simplifié.

C’est lent… Ne pas attendre de résultats immédiats, conseillent les spécialistes. C’est au fil du temps qu’ils viendront. L’IAM ne s’impose pas, il faut l’apprivoiser. C’est un projet structurant: la démarche transverse offre une vraie combinaison entre la vision technique et l'approche organisationnelle. Bref, la lenteur s’explique. Et sans doute est-elle gage de sécurité. Gérer les acteurs de confiance constitue un préalable à la dématérialisation des flux. Il faut être sûr de la qualité des acteurs et de leurs droits. En termes de projet, cela signifie mettre en œuvre des mécanismes d'authentification forte, au moins pour certaines populations de l'entreprise; s'appuyer sur des fonctions de gestion de droits efficaces, autour d'annuaires, de systèmes de «provisioning», de mécanismes de fédération et de propagation de droits entre espaces de confiance; c’est, enfin, renforcer les fonctions de contrôle d'accès, par exemple par le biais de solutions de Single Sign On (SSO).

Un projet cher, long, lent… mais absolument nécessaire. L’IAM est au cœur d’alternances technologiques majeures, telles que la dépérimétrisation de l’organisation, la virtualisation et l’externalisation. Exemple, le Cloud Computing. Comme il existe plusieurs niveaux dans le «nuage», les niveaux de contrôle sont très variables. En soi l’IAM n’est pas une nécessité. Toutefois, pour traverser le «nuage» en gardant le contrôle des accès, des rôles et d’assurer la conformité dans un univers dicté par les lois économiques, la fédération d’identités s’impose.

Autre cas, la virtualisation. Que celle-ci s’intéresse au stockage, aux serveurs, aux postes de travail, peu importe: elle génère un phénomène d’ «Information Spawl», c’est-à-dire une gestion anarchique de l’information. Il faut faire face à l’accroissement du nombre d’informations, d’utilisateurs, de points d’accès, de profils… Il est donc nécessaire de mettre en œuvre une gestion plus fine des identités, de façon à anticiper afin de garder le contrôle des flux.

D’une manière générale, en s’ouvrant à ses partenaires et clients, également à ses utilisateurs de plus en plus nomades, l’entreprise s’expose. Elle engendre une pléthore d’identités numériques et, par là même, une escalade des coûts d’administration. Une plus grande efficacité est donc nécessaire pour gérer le nombre croissant de demandes.

L’accès en temps réel est désormais une nécessité. Lorsqu’un employé rejoint l’entreprise, il est utile qu’il soit directement en mesure d’accéder aux ressources nécessaires pour assurer ses fonctions. L’IAM revêt donc un caractère d’urgence, essentiel à la productivité. Son ROI est réel… même s’il est difficilement quantifiable. Comment, en effet, évaluer l’impact de fonctions telles qu’un libre-service pour la gestion des profils, notamment pour la réinitialisation des mots de passe, le provisionning en un clic, les processus de workflow automatique, l’affectation/retrait des droits d’accès en fonction des postes ou des règles de sécurité permettent à l’entreprise de renforcer la sécurité, d’améliorer l’expérience et de réduire ses coûts d’administration?