Quelle est la différence entre les organisations mettant en œuvre avec succès un programme de gestion des identités et des accès et celles qui ne le font pas ? On s'aperçoit qu'il existe un certain nombre d'erreurs courantes commises par les organisations et qui se révèlent être des obstacles à leur réussite en matière d'identité sur le long terme.
Le succès de ce type d’initiative repose bien souvent sur la planification. Or, de nombreuses organisations ne prennent pas, aujourd'hui encore, le temps de planifier leurs efforts de manière stratégique en matière de gestion des identités. Le processus de planification devient inévitable et requiert une forte importance en entreprise. De nombreuses entreprises acquièrent la technologie sans prévoir à court/moyen terme son usage en interne. La mise en œuvre technologique se fait « en une fois ». On observe également que la planification de la gestion des identités passe rarement au-delà du service informatique. Cependant l’identité nécessite un déploiement à l’échelle de l’entreprise et demande un engagement, un budget et des efforts eux aussi à l’échelle de l’entreprise.
En planifiant de manière adéquate l'impact qu'un programme de gestion des identités aura sur l'organisation toute entière, les entreprises comprendront quels sont les atouts clés pour réussir. L’implémentation d’un programme de gestion des identités et des accès ressemble fortement au déploiement d’une solution ERP pour les entreprises en ayant déployé une. Si l’entreprise n’a pas expérimenté le déploiement d’une telle solution touchant chaque personne de l’organisation, il est nécessaire d’apprendre à penser au-delà de l’informatique et envisager différemment le déploiement de la technologie.
Après avoir interrogé de nombreux CIO, CTO et autres responsables ayant participé aux déploiements de gestion des identités, il est très courant de constater que les initiatives de gestion des identités sont rarement planifiées comme il faut. Au lieu de cela, les entreprises envisagent ces initiatives de façon très désordonnée : une tentative à destination de l'identification Internet, une autre à destination du provisioning, de l'identification unique pour un groupe d'applications, etc. Les organisations se retrouvent avec un véritable désordre en matière d'intégration, avec trop d'initiatives disparates en cours, trop de fournisseurs, et pas suffisamment de réflexion globale sur la façon dont la gestion des identités peut améliorer les procédés au sein de l'organisation si elle est correctement planifiée et gérée sur le long terme.
La planification doit être effectuée dans le cadre d'un programme durable. C'est un travail de longue haleine. Les choses évoluent : les produits, les technologies et les menaces évoluent. Dans ce contexte, chaque entreprise est tenue d’instaurer une certaine stabilité.
Ce que nous voyons, ce sont des sociétés douées pour embaucher les spécialistes qui vont venir installer l'infrastructure, la monter, la rendre opérationnelle et intégrer la première série d'applications critiques. Ces entreprises évoluent et deviennent indépendantes des équipes de conseil qui les ont aidées à s'installer. Mais il s'agit trop souvent d'une transmission précipitée et mal mise en œuvre. Les entreprises évoluent rapidement seules et ne terminent pas le nécessaire transfert de connaissances synonyme de réussite à long terme. Elles échouent sur la transmission des connaissances et il faut attendre 30 jours avant que les consultants ne soient supposés partir.
La solution ? Si les organisations souhaitent réellement faire de leurs programmes de gestion des identités des programmes durables, elles doivent s'assurer que leurs équipes s'intègrent aux fournisseurs d'identité ou aux intégrateurs de systèmes externes, de sorte qu'elles puissent en savoir suffisamment pour compter sur une transition maîtrisée dès le premier jour.