Les solutions de gestion et de gouvernance des identités sont apparues au début des années 2000 avec un objectif initial très simple : l’automatisation de la création des comptes et des droits informatiques. Il s’agissait donc de solutions techniques destinées aux services IT des entreprises. Les grandes entreprises se sont équipées en investissant énormément de moyens pour un résultat souvent décevant.
Nous pouvons parler ici « du syndrome des trois 3 » pour 3 ans, 3 millions et 3 connecteurs. Dans les années 2010, sous la pression accrue de la conformité, des outils spécifiques sont apparus pour répondre uniquement au besoin de gestion des campagnes de certification. Ces fonctionnalités ont été intégrées progressivement à la plupart des plateformes de Gestion & Gouvernance des Identités (IGA) du marché rendant ces « point product » obsolètes.
La véritable rupture est apportée par le SaaS. Désormais, les entreprises et organisations souhaitent pouvoir implémenter directement une solution en SaaS ou pouvoir basculer vers une solution IGA en SaaS quand ils auront atteint la maturité nécessaire. Les solutions « historiques » on premises sont fonctionnellement et technologiquement dépassées et en cours de remplacement.
Aller vers de nouvelles approches
L’objectif est de briser le « syndrome des trois 3 » et de diviser par trois le coût total de possession d’une solution IGA. Il s’agit d’un véritable changement de paradigme qui permet d’étendre considérablement la taille du marché adressé. Cela doit permettre, via une même solution technologique, d’adresser des organisations rassemblant plusieurs centaines de milliers de collaborateurs comme des PME d’une centaine de personnes. La réduction du TCO nécessite une optimisation de tous les facteurs de coûts.
Il faut notamment réduire le niveau d’expertise requis avec un programme de mise en autonomie des clients afin de s’affranchir des coûts élevés et de la carence de consultants spécialistes en IGA. Une offre SaaS multi-tenant permet de réduire considérablement les coûts d’exploitation de la plateforme avec un niveau de performance, de sécurité et de résilience inégalés. Il faut aussi réduire drastiquement le coût d’utilisation des solutions en augmentant le nombre de droits affectés automatiquement.
Les apports du Role Mining
Le « rôle mining » enrichi par le « machine learning » crée une véritable innovation en ce sens.
Pour faire simple, l’objectif d’une solution IGA est d’affecter automatiquement le maximum de droits à un collaborateur. Cette affectation automatique est basée sur des règles qui définissent les droits applicatifs à affecter en fonction des caractéristiques du collaborateur (type de contrat, site, service, etc.). Le calcul de ces règles est long, fastidieux et doit être régulièrement mis à jour en fonction de l’évolution des applications et de l’organisation. En conséquence, le taux d’attribution automatique des droits varie généralement entre 25 % et 40 %.
Le « role mining » permet d’atteindre des taux d’affectation proches du maximum théorique (parfois au-delà de 90 %). De plus, cela permet de réaliser le calcul du modèle de rôles et de générer automatiquement des dizaines, voire des centaines de milliers de règles d’affectations en quelques minutes. On entre alors dans un cercle vertueux qui accélère en permanence : plus on enrichit les données d’identités avec de nouveaux attributs, plus on affine l’affectation des droits via la remédiation et la recertification, plus le modèle va être efficace pour n’octroyer que les droits strictement nécessaires. Le ROI pour les organisations est alors immédiat.
Les bonnes pratiques à intégrer pour réussir son projet de gestion des accès
La première recommandation est de disposer d’un sponsor exécutif capable d’arbitrer entre les exigences contradictoires des différentes parties prenantes qu’il faut « aligner ». La deuxième recommandation est de rester dans le « standard produit » et d’écarter les solutions qui permettent de faire du développement plutôt que de la configuration. En effet, une solution qui nécessite de faire du développement spécifique va rapidement devenir trop coûteuse à maintenir et va asservir l’entreprise à son Intégrateur.
La troisième recommandation est de ne pas succomber aux sirènes d’une belle démonstration lors du choix de la solution, mais d’exiger la réalisation d’un « Proof of Concept » sur l’environnement cible avec la validation des cas d’usage les plus compliqués sur des données réelles. L’investissement dans un POC permet d’éviter de grandes désillusions futures. La dernière recommandation, et sans doute la plus importante, est de choisir une solution en SaaS ou en capacité de migrer vers le SaaS.