Connect with us

Technologie

Comment moderniser la gouvernance et l’administration identitaires

Published

on


Les identités numériques sont au cœur de la transformation numérique, de la sécurité de l’information et de la vie privée. Par conséquent, si les organisations ne l’ont pas déjà fait, il ne faut pas perdu de temps pour revoir leur capacité de gouvernance et d’administration de l’identité (IGA), qui est au cœur de la gestion de l’identité et de l’accès (IAM).

Bien que la plupart des organisations comprennent l’importance de l’IGA, il peut être difficile de faire des analyses de reniflissement pour les nouveaux projets IGA en raison des échecs passés des projets et de la réticence de l’entreprise à investir davantage.

Toutefois, en décrivant les avantages commerciaux et en élaborer un plan pour éviter et/ou atténuer les risques d’échec, les professionnels de la sécurité sont plus susceptibles d’obtenir l’approbation de nouveaux projets iga.

Pourquoi IGA est important pour l’entreprise

IGA est un élément clé de l’architecture IAM de toute organisation, couvrant la gestion du cycle de vie de l’identité et la gouvernance de l’accès. IGA est essentiellement la capacité de réduire le risque qui vient avec l’accès excessif ou inutile des utilisateurs aux applications, systèmes et données.

Pour ce faire, il permet une orchestration centralisée de la gestion de l’identité utilisateur et du contrôle d’accès basée sur des politiques, et en travaillant avec d’autres processus IAM pour automatiser les flux de travail et répondre aux exigences de conformité.

Les moteurs d’affaires pour améliorer les capacités d’IGA incluent un avantage concurrentiel amélioré, un partenariat plus facile et des coûts réduits. Une IGA efficace est essentielle à l’amélioration de l’IAM, qui permet aux entreprises d’offrir de meilleurs services adaptés aux besoins des clients.

Les risques associés à une mauvaise IGA

Le manque de capacités iga peut exposer une organisation à des risques de sécurité et de conformité en raison de l’administration inefficace des identités et des droits d’accès, d’une mauvaise gestion des fonctions et d’un audit et d’un reporting inadéquats, ce qui entraîne : vol d’identité; changement non approuvé/non autorisé; fluage accès/droit; et la séparation des conflits de fonctions (SoD).

Une forte proportion de cyberattaques exploitent les informations d’identification volées et il existe de plus en plus d’exigences réglementaires pour limiter l’accès aux informations sensibles à un minimum absolu et fournir des journaux d’audit de toutes les activités des utilisateurs. Par conséquent, il est indéniable que toutes les tailles d’organisations de tous les secteurs industriels doivent avoir des contrôles IGA efficaces.

Risques et écueils des projets IGA

Compte tenu du fait que les projets iga sont sujets à plusieurs risques et pièges communs qui peuvent potentiellement conduire à l’échec, il est important d’identifier ces risques dès le départ. Cela permet à l’entreprise de prendre des décisions fondées sur les risques pour y faire face avant de se lancer dans des projets individuels et ainsi éviter l’échec.

Ces risques et pièges peuvent être regroupés dans cinq domaines clés :

  1. Alignement des affaires.
  2. l’organisation.
  3. Application.
  4. Planification.
  5. Technologie.

Alignement des activités

Le succès de tout projet IGA nécessite le soutien et l’accord de toutes les parties prenantes.

Pour assurer ce soutien, il est essentiel de :

  • Expliquez la valeur commerciale des projets IGA proposés en termes clairs et simples pour obtenir l’appui des dirigeants.
  • Identifier le plus grand avantage commercial du projet IGA et en faire l’objectif global.
  • Faites comprendre aux commanditaires exécutifs quand ils verront les avantages tangibles d’un projet IGA et ce que ce sera pour éviter des attentes irréalistes.
  • Expliquez tous les avantages pour l’entreprise afin d’obtenir le soutien et la participation des entreprises.
  • Assurez-vous que l’entreprise pilote des projets et dirige la technologie, et non l’inverse.
  • Définir la conformité comme une exigence commerciale dès le début du processus afin de s’assurer que les exigences d’audit sont respectées sans devenir les moteurs du programme ou des projets.
  • Nommer un gestionnaire de programme IGA spécialisé lorsque l’entreprise n’a pas les compétences techniques nécessaires pour soutenir l’entreprise au niveau du projet.
  • Communiquez régulièrement les progrès et les réussites à toutes les parties prenantes tout au long du projet.
  • Assurez-vous que l’entreprise travaille avec les intégrateurs et les fournisseurs de système pour faire correspondre les produits IGA avec les besoins de l’entreprise.
  • Fixez des objectifs réalistes et tenez les équipes techniques et commerciales informées de l’avancement des projets IGA et du travail accompli par l’autre équipe et récompensez-les pour avoir respecté les délais.

Il est important de s’assurer que l’entreprise comprend que les avantages d’IGA ne se limitent pas au respect des exigences réglementaires et de vérification, mais aussi :

  • Obtenez une vue d’ensemble des utilisateurs.
  • Avoir la possibilité de connecter rapidement de nouveaux partenaires commerciaux.
  • Ajoutez de l’agilité pour l’entreprise.

Organisation

Parce que les projets IGA couvrent généralement toute une organisaet impliquent à la fois des équipes techniques et commerciales, le fait de ne pas s’assurer que les politiques et les processus sont définis avec précision et systématiquement, que les rôles sont compris et que les règles sont correctement formées et liées à l’entreprise pourrait facilement entraîner un échec.

Pour éviter ces écueils organisationnels et d’autres :

  • Créer un nouveau groupe interfonctionnel pour créer, appuyer et rendre compte des politiques et des processus des projets de l’IGA à toutes les parties prenantes.
  • S’assurer que la gestion du changement fait partie de tout projet IGA en créant un programme de gestion du changement et une équipe de gestion du changement pour gérer tous les changements organisationnels qui résulteront de la mise en œuvre de nouveaux processus et/ou technologies IGA.
  • Combler les lacunes en matière de compétences avec les spécialistes et mettre en place des programmes de formation et de transfert de compétences pour s’assurer que l’organisation dispose de personnes ayant les niveaux d’expérience et d’expertise nécessaires au succès à long terme et à la durabilité à long terme des projets IGA.

Application

La complexité est l’ennemi du succès dans la plupart des projets, et cela est particulièrement vrai lorsqu’il s’agit de projets IGA qui impliquent généralement un large éventail d’intervenants dans l’ensemble de l’entreprise et impliquent de plus en plus un large éventail de types d’identité.

En plus des employés standard, les capacités d’IGA doivent inclure l’identité des entrepreneurs, des partenaires, des consommateurs, des clients et même des identités non humaines des appareils et des processus. Ceci est essentiel à la transformation numérique et à l’avantage concurrentiel de chaque entreprise.

Les nouveaux projets IGA devraient donc chercher à mettre en œuvre des architectures cohérentes et logiques qui permettent à tous ceux qui utilisent tous les types d’applications et d’appareils à tous les services de partout et permettent l’utilisation de stratégies d’accès qui peuvent être définies de manière centrale, puis appliquées à tous les points de contrôle (sur place et dans le cloud) pour permettre une gouvernance d’accès automatisée et cohérente dans l’ensemble d’une entreprise.

Les organisations qui se penchent sur l’avenir de la gestion de l’identité devraient envisager de re-définir la gouvernance de l’accès en adoptant une perspective qui va au-delà des droits statiques dans les systèmes, les applications et les services pour inclure la gouvernance de tous les types d’accès.

Cette définition plus large garantira que la gouvernance fondée sur les politiques est appliquée à la gestion des risques d’identité, de données et d’entreprise, y compris la gestion des risques en informatique et la gestion des risques d’accès.

Tout au long de la phase de mise en œuvre, il est important de :

  • Démontrer le succès des déploiements iga dès le début pour renforcer la crédibilité et recueillir du soutien.
  • Implémentez des architectures cohérentes et logiques qui permettent l’accès à tous les types d’applications et d’appareils à chaque service.
  • Définir et mettre en œuvre une approche intégrée en matière de sécurité, où IAM et IGA travaillent avec d’autres services pour répondre aux exigences de sécurité.
  • Chercher à obtenir des investissements à l’avenir grâce à l’adoption d’une architecture fondée sur les services et à l’habilitation d’une gouvernance fondée sur des politiques dans tous les points de contrôle de l’accès à l’entreprise.

Planification

Les projets complexes qui ne suivent pas une seule stratégie définie par l’entreprise sont généralement difficiles à contrôler et ont tendance à être sujets à des retards et à des échecs.

Au cours de la phase de planification de tout projet IGA, il est important de :

  • Adopter une approche de programme structurée, dans laquelle l’objectif commercial global du programme IGA est divisé en projets plus petits, gérables et dirigés par des stratégies étroitement liés.
  • Identifiez le plus grand avantage commercial de chaque projet et faites-en l’objectif du projet.
  • Chaque projet devrait s’appuyer sur celui d’avant, fournissant une valeur ajoutée à l’entreprise.
  • Ces projets devraient également être dirigés par une stratégie unique définie par l’entreprise pour définir les règles, les processus et la gouvernance d’entreprise.
  • Champ d’application correctement des projets en tenant compte de la maturité de l’IGA, des besoins commerciaux, des lacunes de l’IGA et des exigences de personnalisation
  • La personnalisation peut être réduite, voire éliminée, par la mise en œuvre de processus standardisés et pratiques dans la mesure du possible. Le fait de ne pas mettre un projet à portée correcte et d’éviter la complexité pourrait entraîner des retards, des défis et des échecs.

Technologie

Choisir le bon produit IGA est extrêmement important. Choisir le mauvais produit ou essayer d’obtenir de la valeur des produits existants échoués peut conduire à la défaillance du projet. Il est également déconseillé de permettre à IGA et à d’autres projets d’être pilotés par des intégrateurs de système (IS) ou des fournisseurs parce que les parties prenantes d’IGA dans une organisation comprennent mieux leur organisation et ses besoins.

Ils devraient travailler en étroite collaboration avec les IS et les fournisseurs afin d’identifier quel produit IGA correspond le mieux à toutes les exigences actuelles et futures de l’entreprise. Commencez par les exigences de l’entreprise, puis identifiez quels produits IGA support que. Ne commencez pas avec un produit.

Lors du choix de la technologie pour un projet IGA, les organisations doivent :

  • Réfléchissez bien avant de choisir un seul grand fournisseur plutôt qu’une variété de spécialistes indépendants plus petits parce que les produits emballés de grands fournisseurs n’ont pas nécessairement plus de sens commercial que les composants vaguement couplés provenant de sources multiples en concurrence pour gagner une plus grande part de marché.
  • Envisager fortement de passer aux fonctionnalités IGA basées sur le cloud dans la mesure du possible pour permettre des cycles de déploiement plus courts, des mises à niveau plus rapides et une baisse du TCO à court terme.
  • Évitez les produits qui ont déjà été achetés, partiellement mis en œuvre ou qui ont entraîné des déploiements ratés s’ils ne soutiennent pas les besoins de l’entreprise en matière d’IGA.

Lorsque vous faites des choix technologiques, il est également important de s’assurer que tout programme IGA :

  • Peut prendre en charge l’ensemble de l’infrastructure informatique et des applications métier d’aujourd’hui en couvrant tous les types d’applications et tous les types de risques d’accès à l’entreprise, ainsi que la mise en œuvre de contrôles de sécurité à différents niveaux.
  • Peut gérer le nombre croissant d’identités non humaines dans les environnements informatiques d’entreprise.
  • Comprend des dispositions régissant les droits d’accès des comptes privilégiés en termes de politiques et de processus.
  • Peut satisfaire aux exigences réglementaires relatives aux processus officiels de gestion du consentement, aux demandes d’accès et d’approbation, à l’examen régulier de l’accès et à la gestion et à l’application des règles relatives aux dent.
  • Comprend une installation pilote dans des conditions réelles pour recueillir des preuves avant de confirmer tout choix de produit IGA.

Conclusion

L’utilisation et l’orchestratation des services à partir du cloud simplifieront le voyage vers une infrastructure de sécurité informatique à l’épreuve de l’avenir et IAM, y compris IGA. Par conséquent, les projets iga devraient définir et mettre en œuvre une approche intégrée en matière de sécurité, où IAM et IGA travaillent en toute transparence avec d’autres services tels que les CASBs, le renseignement sur les menaces et la gestion de la mobilité d’entreprise (EMM) pour répondre aux besoins de sécurité.

Une approche basée sur le cloud est également essentielle à la mise en œuvre d’architectures cohérentes et logiques qui permettent à chacun d’accéder de n’importe où en utilisant tous les types d’application et d’appareil à chaque service.

Pour la plupart des entreprises, cela signifie apporter des modifications à leur architecture informatique pour devenir plus agile et flexible en séparant l’identité et les applications, et en fournissant les systèmes back-end nécessaires pour faire toutes les connexions nécessaires à l’aide d’interfaces de programmation d’applications (API) qui font le pont entre les services, les microservices et les conteneurs dans le cloud et sur place.

Ces changements se traduira par une convergence de l’identité numérique back end ou « tissu d’identité » qui peut fournir en tant qu’utilité tous les services d’identité (y compris la sécurité et la vie privée) requis par le nombre croissant de nouveaux services numériques rendus possibles par la transformation numérique qui consommeront activement des services d’identité.

En mettant en place un tissu identitaire, les organisations sont plus susceptibles de répondre rapidement aux exigences des initiatives de transformation numérique, tout en permettant une migration progressive des systèmes de gestion de l’identité hérités vers le nouveau paradigme de l’identité en tant que service.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Trending