Brian Iverson
Directeur de recherche, Gartner
 

Les responsables de l’IAM (Identity and access management, gestion des identités et de l’accès) ont souvent du mal à créer, maintenir et exécuter les initiatives dans ce domaine. Ils ont tendance à réutiliser les mêmes techniques de gestion de programmes qui ont fait leurs preuves pour des initiatives sans rapport avec l’IAM, pour s’apercevoir finalement que les résultats générés ne sont pas satisfaisants pour l’IAM. Une initiative d’IAM réussie exige l’adoption d’un modèle formel de gestion de programmes qui met en avant une vision basée sur le consensus d’un large éventail de parties prenantes. A bien des égards, l’IAM n’est guère différente des autres efforts de structuration des processus métiers de grande envergure. La fourniture de la technologie n’est même pas la difficulté la plus importante : comprendre les besoins de l’entreprise et changer le comportement des participants constituent en effet des défis plus importants. Certaines entreprises s’enlisent dans des discussions visant à savoir qui doit piloter un effort d’IAM centralisé ou quels efforts d’amélioration des processus doivent être traités en premier. D’autres ont des cultures différentes qui créent des difficultés lorsque l’IAM, qui est une solution horizontale à travers des silos d’entreprise verticaux, donne l’impression de problèmes de contrôle à travers les frontières organisationnelles. Comment les entreprises doivent-elles alors structurer les nombreux processus et individus requis pour leur programme d’IAM ?

OBTENEZ UN PARRAINAGE EFFICACE POUR LE PROGRAMME D’IAM

Le niveau de formalité requis pour élaborer la charte d’un nouveau programme diffère d’une entreprise à une autre, mais il reste un point en commun : la nécessité d’un parrain efficace. Pour une telle initiative programme, le parrain doit être une personne évoluant au plus haut niveau qui possède la vision pour reconnaître que l’IAM est davantage qu’un simple projet ou une solution technologique. Comme l’IAM favorisera des processus visant à combiner l’univers concret des personnes avec l’univers informatique des comptes et mots de passe d’utilisateurs, les services qui en résulteront devraient affecter l’entreprise tout entière. Le parrain doit pouvoir défendre la cause dans toute l’entreprise et établir un fondement politique pour garantir la réussite du programme. Même si la gestion du programme reviendra généralement au responsable de la sécurité des systèmes d’information (RSSI), le parrainage du programme nécessite un mandat exécutif, de préférence de la part du PDG et du conseil d’administration ou, au minimum, d’un autre membre du conseil d’administration. Un parrainage efficace peut également être assuré par un DSI ou même un dirigeant d’un secteur d’activités autre que l’informatique. L’impératif clé est que le parrain doit posséder le pouvoir, le financement et un capital de respect dans l’entreprise afin d’élaborer la charte du programme, d’encourager une plus grande participation des unités opérationnelles et de déclencher son fonctionnement initial.

Une fois le parrain identifié, le processus de mise en place du programme peut débuter par l’élaboration d’une charte qui énonce les processus de gestion et de gouvernance du programme d’IAM. Il n’est pas nécessaire de finaliser tous les problèmes auxquels le programme peut être confronté, tels que le budget ou la dotation en personnel. Le point important est de développer un plan suffisant pour permettre le lancement et la progression du programme. La mission fournit une explication concise de la portée et des priorités du programme par rapport à l’entreprise. Le programme d’IAM aura-t-il une portée à l’échelle de l’entreprise ou sera-t-il dirigé vers un sous-ensemble de celle-ci, tel que des unités opérationnelles ou des populations d’utilisateurs spécifiques ? Par exemple, beaucoup de programmes d’IAM se focalisent sur la gestion des identités pour les systèmes internes uniquement. Le programme d’IAM est-il censé éclipser les efforts précédents ou consolider des initiatives ou groupes disparates liés à l’IAM ?

La structure du programme se compose des différents rôles, responsabilités et interactions qui assureront la gestion et la gouvernance du programme. La structure initiale définie dans la charte doit refléter ce qui est nécessaire pour planifier et élaborer le projet. Il n’est pas utile au moment de l’élaboration de la charte d’établir tout ce qui sera requis pour exécuter le programme, étant donné que cela dépendra des décisions prises pendant la planification et la mise en place. La structure du programme est généralement reflétée sous la forme d’un organigramme, avec des indications concernant les rôles et les responsabilités.

DES PROCESSUS DE GOUVERNANCE FORMELS ET PERTINENTS

La gouvernance de l’IAM est définie comme la prise de décisions pour s’assurer que le programme est efficace et efficient, fournit des contrôles raisonnables et appropriés, et contribue à générer de la valeur pour l’entreprise et des résultats opérationnels souhaitables. Du point de vue de la conformité, la gouvernance garantit que les processus métiers sont conformes aux politiques et dans la limite des risques tolérés pour étayer les décisions. La gouvernance est axée sur la garantie des résultats souhaitables, plutôt que sur l’exécution ou la mise en place. Elle doit trouver l’équilibre entre les compromis, rapprocher différents impératifs et résoudre les conflits.

La gouvernance de l’IAM est pilotée principalement via l’utilisation de forums, qui doivent être composés de représentants des parties prenantes impliquées dans ou affectées par le projet. Des parties prenantes de l’IAM existent dans toutes les sections de l’entreprise. Le groupe des personnes gérées par les services du programme d’IAM, telles que les utilisateurs internes comme les employés et prestataires, les clients ou les partenaires commerciaux, doit également être considéré comme des parties prenantes qui méritent une représentation. Les représentants des parties prenantes doivent être identifiés pendant le développement de la vision. Il s’agit d’individus qui comprennent les parties prenantes qu’ils représentent et qui bénéficient d’une crédibilité vis-à-vis d’elles. Ces représentants peuvent être les personnes idéales pour composer les forums dédiés à la gouvernance, tant qu’ils sont suffisamment haut placés pour avoir une autorité indépendante dans la prise de décisions.

Les très grandes entreprises constatent généralement que le nombre de membres du comité directeur augmente à un point où la prise de décisions devient ingérable. Dans de tels cas, il est conseillé d’introduire de multiples forums afin de diviser les responsabilités de la gouvernance entre divers ensembles de parties prenantes. D’une manière pragmatique, plus vous avez besoin de nouveaux participants pour fournir les compétences, l’expérience et les perspectives applicables à des initiatives d’IAM spécifiques, plus l’argument en faveur de comités multiples est fort.

UNE ENTITÉ DE SERVICES

Le programme d’IAM doit imiter les prestataires de logiciels SaaS qui mettent un ensemble fixe de services à la disposition de leurs clients. Il y aura un ensemble limité de services pour commencer, mais de nouveaux services doivent être ajoutés plusieurs fois par an pour renforcer la valeur du programme pour l’entreprise. Dans les premières phases du programme, il est nécessaire de déterminer si les services d’IAM fourniront d’abord des fonctionnalités limitées mais techniquement approfondies, ou des fonctionnalités étendues qui seront techniquement restreintes. Le manquement à définir ces attentes précoces avec les parties prenantes se traduit généralement par un programme d’IAM aux promesses exagérées et aux résultats qui ne sont pas à la hauteur, ce qui constitue un schéma d’échec fréquent de l’IAM. L’approche basée sur les services a notamment pour objectif de faciliter la consommation indépendante des services d’IAM par les développeurs d’applications et les responsables des systèmes, en limitant au minimum la nécessité de consulter le personnel en charge de l’IAM, déjà extrêmement sollicité.

Un moyen de vous assurer que vous instaurez la confiance consiste à tenir les parties prenantes informées via des communications fréquentes. Par exemple, vous pouvez créer une stratégie de marketing pour vos services d’IAM, qui peut inclure des bulletins d’information réguliers pour vos différents groupes de parties prenantes. Un autre moyen de renforcer la confiance est de faire tout votre possible pour maintenir la continuité des membres de l’équipe en charge de l’IAM.

FAIRE PREUVE D’AGILITÉ ET D’OPPORTUNISME

Dans l’idéal, le programme d’IAM doit être organisé comme une équipe de projet spéciale qui dispose d’une liberté exceptionnelle par rapport aux standards de l’entreprise en matière de cycles de vie informatiques ou de gestion de projets. Toutefois, il est nécessaire d’être suffisamment flexible pour faire preuve d’opportunisme lorsque les demandes de services conviennent au programme. Un objectif est de conserver la gouvernance des impératifs de l’IAM dans le giron des forums et des comités dédiés à l’IAM.