Premier «driver», la conformité. C’est l’avis, en tout cas, des cabinets de conseil KPMG et Deloitte. Aujourd’hui, être en ordre avec toutes les dispositions légales serait un incitant majeur. C’est aussi, indirectement, une façon de lever le risque commercial que d’aucuns jugent plus grand encore…

Un système IAM bien déployé indique de façon proactive là où les droits et privilèges octroyés entraînent des conflits. Or, la conformité d’une entreprise dépend entièrement de la gestion des conflits éventuels.

En près de dix ans, les motivations des entreprises ont bien changé. Dans le passé, il s’agissait d’accroître la productivité des entreprises. Aujourd’hui, il est primordial de protéger les données. L’IAM fournit rapidement aux contrôleurs et représentants des régulateurs l’ensemble des informations et des rapports voulus.

«Pourtant, c’est le genre de projet que l’on a tendance à postposer, regrette Michel Carette (Telindus Luxembourg). On évalue mal son importance. Que ce soit pour répondre à des contraintes de conformité, de sécurité ou pour améliorer l’efficacité de tout un chacun dans l’entreprise. Or, une bonne gestion des identités et des accès peut renforcer grandement une solution de communication unifiées, par exemple. Aujourd’hui, l’IAM est un sérieux complément des outils dynamiques que nous utilisons de plus en plus…»

L’aspect économique qui prévalait hier n’est donc pas relégué: l’IAM permet de réduire les coûts de gestion de tous les employés, des sous-traitants et des prestataires qui se connectent au système d’information, entre autres par la réduction du nombre d’appels au Help Desk.

Faut-il attendre des circonstances particulières pour lancer un tel projet comme un besoin de renforcer la sécurité ou de répondre à de nouvelles législations? «Le moment idéal est un moment de stabilité dans l'entreprise, à l'écart des périodes de stress liées à de gros projets ou encore à la clôture d'une année, suggère Eric Pirlot (Novell Luxembourg). Ce genre de projet nécessitant le concours d'un grand nombre de personnes internes pour la définition des besoins, il faudra s'assurer de leur disponibilité au moins pendant les premiers mois.»

Deux projets sur trois échouent! A lui seul cet ordre de grandeur laisse un froid. D’emblée, on pense technologie. On oublie qu’elle ne représente qu’une part infime du projet. Ce n’est pas une solution «out-of-the box»; elle réclame un gros travail initial d’analyse des besoins, mais aussi d’intégration, assure Nicolas Rocq (Bull).
«Et là, la relation entre l’intégrateur et l’éditeur de la solution peut faire toute la différence.»

Une alliance primordiale, confirme Anthony Moillic (Quest Software). «On doit être sur la même longueur d’onde… L’identité c’est hypersensible. La perception qu’on en a varie d’une entreprise à l’autre, mais aussi d’un pays à l’autre. On ne manquera pas de capitaliser sur nos expériences respectives, mais sans perdre de vue qu’il s’agit toujours d’un projet ‘touchy’!»

Pour cet éditeur, spécialisé dans l’environnement Active Directory, on ne part plus d’une page blanche. Dans leur majorité, les entreprises disposent de certaines briques. Il s’agit donc de compléter l’édifice. Mais aussi débuter dans un premier temps en dressant un inventaire des données accessibles utilisateur par utilisateur. On automatise ensuite la définition et la gestion du cycle de vie des droits d’accès aux ressources du système d’information, telles que les fichiers, les dossiers et les dossiers partagés, par utilisateurs ou groupe d’utilisateurs définis dans Active Directory.

C’est un projet d’intégrateur, tranche Jean-Hubert Antoine (Dimension Data Luxembourg). Un éditeur n’a pas la connaissance des différents systèmes d’exploitation, des différents DBMS… «Or, trop souvent, c’est encore et toujours un projet d’éditeur, le choix initial reposant sur une technologie. A mon sens, c’est prendre le projet à l’envers, au risque de s’enfermer dans des contraintes, des restrictions. Or, les risques sont davantage stratégiques…»

Faites réaliser un cahier des charges, conseille Michel Carette (Telindus Luxembourg). Consignez précisément les objectifs du projets, vos attentes spécifiques, faites-le approuver. Ensuite, mais ensuite seulement, il sera temps de penser à la solution, à sa mise en œuvre. «Et comme votre organisation est appelée à évoluer, assurez-vous que la solution identifiée puisse, elle aussi, évoluer. Intéressez-vous à son design. Si vous ne vous sentez pas à la hauteur, faites-vous aider. Ne tombez pas dans le piège de devoir adapter votre organisation à la solution!»

L’IAM est un mur, illustre encore Michel Carette. «Vous allez l’assembler brique par brique; vous en vérifierez la rectitude, vous contrôlerez sa solidité au fur et à mesure que vous l’élèverez. C’est un travail de maçon, mais aussi d’architecte!»

Ne sous-estimez pas la phase d’analyse, conseille Nicolas Rocq (Bull). Sans quoi, on risque d’inscrire le projet dans une série de va-et-vient. Et le projet de s’éterniser…
Comme c’est le business qui doit «tirer» le projet, mieux vaut se faire accompagner. Pour bien définir les buts, étendre le champ de vision ou, au contraire, pour recentrer l’action. Le danger est d’aller trop loin. Il faut clairement savoir jusqu’où aller dans la gestion des accès aux ressources.

«Avant de commencer, planifiez un programme d’actions, propose Arno Coster (Novell). Quelles sont les politiques de la maison, qui du côté busines est concerné par l’IAM? Quelles sont ses possibilités futures, après l’implémentation? La réponse à ces questions de bon sens permet souvent de dégager le budget et incite la direction à soutenir le projet.»

Pour Jean-Hubert Antoine (Dimension Data), «c’est l’opportunité qui compte, pas la nécessité. On peut profiter d’une migration technique pour aborder l’IAM, voire le déploiement d’une application majeure comme SAP. Le tout est de savoir ce que l’on vise!»

Pour Dimension Data, il s’agit donc de considérer prioritairement la stratégie de l’entreprise, l’état de ses ressources, l’analyse de ses besoins. «Nous accordons plus d’importance au choix des sponsors et des utilisateurs clé, que nous invitons à s’impliquer. Ces utilisateurs, croyez-moi, il faut les gagner!»

La plus grande difficulté n'est pas technique, mais réside dans l'attribution des droits. Ce processus peut être partiellement automatisé par un moteur de «provisioning» qui s'appuie sur des profils types et des rôles hiérarchiques. Cela suppose en amont une description, manuelle et fastidieuse, du mode de fonctionnement de l'entreprise. Les nombreux cas particuliers seront traités par des processus manuels, basés sur des workflows. Il faudra donc désigner les validateurs.

«Authentification, accès, administration, conformité réglementaire… Il ne s’agit plus seulement de gérer les identités et les accès, une démarche plus globale s’impose autour de la traçabilité, affirme Anthony Moillic (Quest Software). Chaque changement dans l’organisation de l’entreprise, nouvelle application ou mouvement de personnel -arrivée, réaffectation et départ- contribue à accroître la complexité de gestion et de contrôle des identités et des accès au système d’information.»

C’est bien évidemment un projet organisationnel, mais ne sous-estimez pas sa technicité, recommande Michel Carette (Telindus Luxembourg). «Un projet IAM ne repose que rarement sur une technologie unique. Le succès tient donc à une juste adéquation entre organisation et technique.»

Pour appréhender la réalisation d'un projet de gestion des identités, ne perdons pas de vue qu'il doit être envisagé sur le long terme et amener l'entreprise à procéder par étapes.
Lorsque l'on débute un projet de gestion des identités, il faut donc pouvoir agréger les données utilisateurs en interne, et les enrichir progressivement de données externes sur la base du «provisioning» à condition de ne pas négliger la phase de modélisation avant celle du déploiement.


Côté éditeurs, on s’accorde à estimer que, pour donner les meilleurs résultats, un projet de gestion des identités et des accès doit être mis en œuvre pas à pas, à travers des étapes clairement identifiées et fournir des résultats concrets à chacune de ces étapes.

Concrètement, cela signifie délivrer au fil de l’eau, soutient Anthony Moillic (Quest Software). «Les grands projets qui s’éternisent sur deux ans, c’est fini! Il faut un ROI rapide. Et donc, dans un premier temps, bien cerner les besoins et savoir fixer les priorités.»

Time-boxing, affirme Eric Prilot (Novell Luxembourg). Le projet par itération est clairement un élément favorisant le succès. «Commencez par éprouver le concept en fédérant deux ou trois systèmes d'information maximum, vous verrez tout de suite si la solution tient la route. Dans la foulée, itérez l'analyse et l'architecture de la suite du projet en vous basant sur les premiers délivrables… Cela vous conduira plus directement à la solution finale dont l'organisation à besoin!»

Prendre le temps de réaliser des «quick wins», conseille Ulrich Seldeslachts (LSEC). «Vous pouvez débuter par un SSO, le limiter à trois ou quatre applications. Penser ensuite aux rôles… Retenez qu’il faut des résultats tangibles tant pour les utilisateurs que pour les sponsors du projet. A bien des égards, un projet d’IAM ressemble à un projet d’ERP!»

Jean-Hubert Antoine (Dimension Data) va dans le même sens. Oui, «step by step». Mais sans laisser l’impression que le projet s’éternise, nuance-t-il. «Ne les découragez pas. Sans quoi vous perdez leur adhésion… C’est bien la preuve qu’il s’agit plus d’un projet organisationnel que technique!»

Diviser sans morceler. C’est toute la nuance. «Par expérience, je me méfie des projets qui s’étirent, pour lesquels on ne prend pas vraiment de décisions, juge Nicolas Rocq (Bull). On entre alors, sans s’en apercevoir, dans une zone de turbulences, une zone à risques…»

Alors que ce type de projet est davantage organisationnel que technique, il nécessite en préambule un important travail d'implémentation de modèles visant à attribuer et définir des rôles bien déterminés aux utilisateurs, insiste Ulrich Seldeslachts (LSEC).

La réussite d’un projet de gestion des identités passe par l’implication de différents services -IT, HR, métiers. Le projet doit être porté par la direction générale -«réellement, insiste Nicolas Rocq (Bull). «De même, nommer des sponsors ne sert pas à grand chose si ceux-ci ne s’engagent pas: il faut suivre le projet dans toutes ses phases, s’assurer de sa bonne implémentation.»

Chacun a une vue différente de la problématique, rappelle à propos Novell. Il est donc important de récolter les besoins et les attentes, définir une liste de priorités dans les fonctionnalités à implémenter et impliquer chacun dès les premières phases du projet: analyse, définition des règles, test des premières fonctionnalités… «Ce projet étant souvent commandité par le board, il est impératif que celui-ci communique fréquemment tant sur le scope qu'il a défini, que sur l'état d'avancement», poursuit Eric Pirlot.

C’est purement un projet organisationnel, donc humain, assure Nicolas Rocq (Bull). C’est le business qui doit le tirer. Et qui devra mobiliser ceux qui le financeront, mais aussi les utilisateurs. Car c’est de leurs accès, donc de leurs droits dont il s’agit. «Il faudra convaincre en insistant sur les gains. Il faudra aussi rassurer. Le danger, en effet, serait que les utilisateurs voient dans l’IAM une forme de ‘flicage’. De là l’importance d’une bonne, d’une très bonne communication.»

Communication… Le mot revient souvent chez nos spécialistes. Quoi de plus normal! «C’est un projet humain, justifie Michel Carette (Telindus Luxembourg). Vous touchez aux personnes, donc à la vie privée. Il y a des critères légaux à respecter, sans compter les normes de conformité. Il faut donc le lancer avec les bonnes personnes clés, qu’il s’agisse d’utilisateurs ou de décideurs. Leur support est primordial.»

Dans les projets, la question de la liberté revient souvent sur le devant de la scène. Comment, dans un projet par nature centralisateur, laisser une certaine latitude et un degré de liberté aux utilisateurs dans la gestion d'une partie de leurs informations personnelles?

Chez Novell, on rappelle qu’avec les fonctionnalités de «self service», les utilisateurs peuvent générer eux-mêmes une série d'actions qui nécessitaient auparavant l'implication d'autres personnes -retrouver un mot de passe oublié en toute sécurité, mettre à jour des informations descriptives comme le numéro de GSM,... «Il s'en suit une productivité accrue ainsi qu'une diminution des coûts de helpdesk», insiste Eric Pirlot.

Liberté, oui, mais contrôlée! Michel Carette (Telindus Luxembourg) explique ce paradoxe par la nécessité de veiller à la qualité de la solution déployée. «Pas question de mettre en danger sa cohérence, au risque d’une cacophonie dont on ne sortira plus. Trop de self-service tue le self-service!»

Le niveau de liberté dépend de la philosophie de l’entreprise, observe-t-on chez Dimension Data. «Ici, l’IAM sera rigide dans le sens où le projet répond prioritairement à un besoin de sécurité; là, on pensera davantage en termes de gains de productivité et d’efficacité, constate Jean-Hubert Antoine L’approche du projet sera donc radicalement différente.»

Pas si sûr, estime Ulrich Seldeslachts (LSEC). A l’entendre, il faut d’ores et déjà penser Web Services, Cloud Services… «Pour preuve, l’intérêt pour la notion de fédération d’identités. En soi, rien de vraiment neuf. Sauf le regard porté sur ce concept. Les entreprises y viennent, enfin! Comme le partage des informations d’identité et sessions utilisateur est sécurisé entre les partenaires d’un même cercle de confiance, les utilisateurs profitent d’un accès transparent aux applications, qu’elles soient internes ou externes à leur entreprise. Centralisateur, l’IAM laisse aussi des espaces de liberté et de créativité!»

Michel Carette, Senior Consultant, Telindus Luxembourg
Eric Pirlot, Country Manager, Novell Luxembourg
Nicolas Rocq, IAM Dexia Program Manager, Bull BeLux
Anthony Moillic, Quest Software
Jean-Hubert Antoine, Security Solutions Manager, Dimension Data Luxembourg
Ulrich Seldeslachts, Leader SECurity (LSEC)