Identity Gouvernance & Administration

Savoir qui accède à quoi et pourquoi !

Partager :

Offre IGA

L’objectif de la gouvernance des identités et des habilitations tient en une simple expression « le bon droit, à la bonne personne, au bon moment ».

Découlant de ce postulat de départ, il s’agit alors de répondre à différentes questions telles que :

  • Quelles sont les identités des utilisateurs du Système d’Information ?
  • Quels sont leurs droits sur les applications du Système d’Information ?
  • Pourquoi ces droits ont-ils été accordés ?
  • Ces droits sont-ils toujours légitimes et conformes ?
 

La réponse à ces questions nécessite d’aborder la gouvernance des identités et des habilitations selon plusieurs axes :

  • Un axe organisationnel, tenant compte de la taille de l’entreprise, de sa répartition géographique, de son mode de gouvernance, etc. ;
  • Un axe fonctionnel, lié aux processus internes de l’organisation, aux activités, aux réglementations à respecter, etc. ;
  • Un axe technique, dépendant de la complexité du Système d’Information, de l’historique de sa construction, d’une éventuelle phase de transition vers le Cloud, etc.
formation IAM05

Référentiel centralisé

Un des premiers objectifs de l’IGA est la mise en place d’un référentiel centralisé et fiable, permettant de diffuser une information de qualité au sein du Système d’Information :

  • Il s’agit de construire un référentiel maître contenant l’ensemble des identités des utilisateurs du Système d’Information, qu’il s’agisse des salariés, des stagiaires, des intérimaires, des prestataires, etc. mais cela peut également concerner les fournisseurs ou partenaires ;
  • Ce type de référentiel est à même de centraliser d’autres types de données complémentaires, telles que les informations de structure organisationnelle ou de localisation par exemple.

L’objectif est de construire le référentiel des droits théoriques des identités, permettant de connaître à tout instant les habillitations d’une identité au sein du SI.

Il s’agit de permettre la diffusion et l’utilisation des informations de référence par les autres applications / services composant le SI. cela pouvant être via l’accès au travers d’un protocole type LDAP, d’API exposées ou d’un moteur de synchronisation des données.

Cycle de vie des identités

Afin de maintenir à jour le référentiel d’identité, il est primordial de gérer le cycle de vie associé (arrivée, mobilité, départ) au sein de l’organisation.

Cela peut être assuré via :

Les deux approches peuvent être spécifiques – selon les populations – ou combinées.
Il s’agit ensuite de provisionner ces informations dans les différents systèmes cibles, avec la création des comptes « utilisateur » par exemple.

Gestion des habilitations

La gestion des habilitations répond à différents besoins :

Dans un premier temps, il est nécessaire de définir une liste des habilitations ou ressources disponibles au sein de l’organisation, dans un vocabulaire compréhensible par l’utilisateur final.

Il doit permettre de faire, de manière autonome, une demande d’accès qui suivra ensuite un processus de validation (il doit également permettre la modification ou la suppression de droits).

Il est possible de constituer un modèle de rôles permettant de construire des ensembles de droits, et de les affecter ou non de manière automatisée aux utilisateurs sur la base de règles.

Il s’agit de définir des incompatibilités de droits ou de rôles et de mettre en place des règles de détection préventives (au moment d’une demande) ou à posteriori (rapports de contrôle par exemple).
Enfin, les droits théoriques validés sont provisionnés automatiquement ou manuellement dans les systèmes cibles.

Gouvernance / Audit et Conformité

Dans l’optique d’auditabilité et de conformité, la gouvernance propose plusieurs approches :

L’ensemble des actions menées sur les comptes et les droits est tracé, permettant ensuite l’utilisation de rapports standards ou la construction d’un reporting spécifique.

Via la définition d’un niveau de risque sur les différents droits disponibles, il est possible de cibler des contrôles sur les utilisateurs à risque.

Afin de s’assurer que les droits demandés et approuvés correspondent bien aux droits réels dans les systèmes cibles, il est possible de mettre en place des comparaisons automatiques entre ces deux états.

Pour s’assurer que les droits d’un utilisateur sont toujours en adéquation avec son activité, des campagnes de certification régulière des droits sont possibles, par exemple via le responsable hiérarchique ou le propriétaire de la ressource.

Self-Service

La gouvernance des identités et des habilitations a enfin un objectif de décentralisation des actes de gestion. 

Ainsi, il est possible de mettre à disposition de l’utilisateur des interfaces pour :

La Gouvernance des Identités et des Habilitations chez Synetis

De nombreux consultants dédiés à la gouvernance des identités et des habilitations avec une expérience moyenne supérieure à 4 ans dans le domaine de l’intégration et 7 ans dans le domaine du conseil et de la maîtrise d’ouvrage ;

Plus de 5 partenariats actifs avec les acteurs majeurs du marché (IBM, Ilex International, Kleverware, SailPoint, Saviynt) et une réelle expertise avec d’autres éditeurs tels que Brainwave, One Identity, Microsoft, NetIQ, Sun IDM, etc. ;

Plus de 30 certifications éditeurs acquises ;

Plus de 120 projets en cours au 01/08/2022 dont plus de 75 nouveaux projets en 2022 de toutes tailles (de quelques dizaines de jours à plus de 1 000 jours) et de toutes natures (cadrage, AMOA, audit, intégration, TMA, CDS), en engagement de résultat (forfait) ou de moyen (régie).

DAG : Data Access Governance

Protection et surveillance des si

Nos experts Identité Numérique
répondent à vos questions