IAG - La gestion des identités et des habilitations au service des utilisateurs

La gestion des identités et des habilitations : un sujet « transverse » par nature

IAG, IAM, GDI, GDH… ces suites de lettres un peu barbares sont des acronymes différents, mais qui pourtant évoquent la même chose : la gestion des identités et des habilitations.

Lorsqu’elle est présente, la brique de gestion des identités et des habilitations occupe une « petite » place au sein du S.I. Elle possède un ou deux référentiels amont et quelques référentiels aval … On a connu pire me direz-vous ! Oui, sauf que, si nous prenons un peu de hauteur et que nous nous concentrons sur ces référentiels aval, nous pouvons voir s’ouvrir devant nous un réseau tentaculaire, presque à l’image du réseau autoroutier de Los Angeles ! Nous sommes finalement confrontés à un système très transverse où l’information se propage presque partout ! Et la transversalité n’est pas que technique, elle est aussi organisationnelle. Pour que les habilitations soient en adéquation avec les attributs de l’identité et que toutes ces informations se propagent de façon optimale, il faut que tous les protagonistes se parlent (RH, métiers, DSI, etc.). En résumé, il est nécessaire de mettre en place une organisation permettant la réactivité et donc privilégier la proximité.

Des enjeux de sécurité, mais pas que !

Parmi les principaux enjeux de la gestion des identités et des habilitations, nous pouvons citer :

• la maîtrise des risques opérationnels (car un collaborateur peut engager financièrement l’entreprise…), sécuriser le SI et éviter l’utilisation abusive de droits
• la traçabilité des activités et processus autour de la gestion des identités et des habilitations
• la réponse aux contraintes réglementaires et aux obligations de conformité qui s’appliquent aux domaines d’activités de l’entreprise : obligation de répondre à la couverture de certains risques dans le cadre de l’application des principes solvabilité 2 , bale 3, …

Ces enjeux concernent la sécurité de l’information, mais ils ne sont pas les seuls enjeux de la gestion des identités et des habilitations pour une entreprise. Il y a également :

• la valorisation de l’expérience utilisateur. Le processus d’attribution d’une habilitation ne doit pas générer du stress pour les collaborateurs : quel outil, quoi demander, comment se faire comprendre, etc.
• la mise à disposition des habilitations en temps et en heure. Un collaborateur qui ne peut pas faire son travail c’est au mieux regrettable, au pire catastrophique …

Pas de refonte de type big bang !

L’expérience que nous avons acquise lors des différents projets que nous avons pilotés nous pousse à vous conseiller de privilégier une logique de « petits pas ». Privilégier, dans un premier temps, une approche de type Minimum Viable Product - MVP, qui peut prendre la forme d’une migration iso fonctionnelle par exemple, puis ensuite l’apport d’améliorations. Formulé autrement, pas de refonte globale de type big bang ! En effet, le Système d’Information étant « vivant » l’image de la cible à atteindre à un instant T ne sera plus forcément en adéquation avec le SI 6 mois plus tard et encore moins 1 an après !

Nous vous conseillons également d’avoir un haut niveau de sponsoring pour votre projet. Il est nécessaire d’avoir un représentant de niveau CODIR, afin de ne pas subir constamment des arbitrages qui impliqueraient de décaler vos livraisons.

Enfin, ayez bien en tête qu’agilité ne veut pas dire instabilité ! L’intégration d’un progiciel au forfait implique de ne pas remettre constamment en cause le besoin fonctionnel. L’agilité permet de livrer rapidement et de fait favorise l’amélioration continue. Elle implique néanmoins une rigueur méthodologique, en particulier dans l’expression du besoin.