Top 8 des challenges liés à lagestion des identités et des accès (IAM)

Download

Body: 

L'importance de l'identité pour les applications cloud (SaaS)

La révolution cloud pour les entreprises est en cours depuis quelques années. Les organisations ITdu monde entier, qu’il s’agisse de petites et moyennes entreprises ou de sociétés figurant dans le Fortune500, passent d’un système basé sur des logiciels on-premises (stockés sur site)à des servicescloud à la demande. À mesure que l’IT opère cette transition vers une nouvelle configuration,hybrideou 100% cloud, il devient crucial de savoir gérer l’identitédes individus qui ont accès à toutes cesapplications et le type d’accès que l’on souhaite leur accorder. À cet égard,les responsables de l’information et leurséquipessont confrontés à un nouvel ensemble de défis relatifs àla gestion des identités. Enoutre, il faut parvenir à aider lesutilisateurs à gérerla multituded’URL, de noms d’utilisateurs et de mots de passe... Le rôle de l'IT change donc en profondeur. En tant que coordinateur de ces nouveaux services, l'IT doit être en mesure d’apporter des conseils en matière de Software-as-a-Service (SaaS) pour s'assurer que la société tire tout le potentiel de la valeur commerciale de sesinvestissements.

Il existe huit principaux défis dans le domaine de lagestion des identitéset desaccès (IAM) associés à l'adoption et au déploiement d'applications SaaS /Cloud, ainsi que des bonnes pratiques pour faire face à chacun d'entre eux.

1 - La fatigue desmotsde passe

Bien que le modèle SaaS facilite en soil’accèsaux applications, en permettant une connexion en tout lieu, la complexité augmente rapidement aveclenombre d'applications. Chaque application a des exigences en termesde mots de passeet des cycles de vie bien différents. La variété des règles associées aux mots de passemène à une réduction de productivité chezl'utilisateur, et à une plus grande frustration causée par la perte detemps à réinitialiser, essayer de se souvenir et gérer sans arrêt les mots de passe et les URL, qui changent tout le temps sur toutes leurs applications.

Un sujet qui devrait inquiéter encore davantage l’IT, c’est celui des risques sur lasécurité,causés par ces mêmesutilisateurs, qui réagissent à cette «fatigue de mots de passe» en utilisant des mots de passe trop évidents ou en utilisant le même sur plusieurs plateformes, en les écrivant sur un post-it ou en les enregistrant sur un fichier Excel sur leurordinateur.

Les services IT gérant l’IAM peuvent éliminer ces risquesen mettant en placeune authentification unique (ou SSO, pour Single Sign-On) sur l’ensemble desapplications. Ils mettent ainsi à disposition de leursutilisateurs une plateformeunique depuis laquelle ils peuventaccéder à toutes leurs applicationsgrâceun seul identifiant et un seul mot de passe.

Et dans le meilleur des cas,lesystème de gestion des identités choisi par l’ITpeut permettre à plusieurs départements de l’entreprise de de gérer les identités et les accès aux applications, qu’elles soient sursite ou cloud.

La majorité des entreprises utilisent Microsoft Active Directory (AD) comme annuaire des utilisateurs de référence, qui régit l'accès aux services IT de base comme les boites e-mail et le partage de fichiers. AD est également souvent utilisé pour contrôlerl'accès à une plus large gamme d'applications et de systèmes IT. Sachant cela, il est préconisé de choisir unesolution IAM qui est mesure de se connecterà Active Directory, et ainsi de permettre aux utilisateurs de continuer à utiliser leurs identifiants AD pour accéder à leursapplications SaaSquotidiennes. La mise en place de cetteconnexion est aussi un pari d’avenir: elle augmente la probabilité que les utilisateurs puissent bénéficier au fur et à mesure des dernières et des meilleures applicationsSaaS que leur entreprise pourrait leur fournir.

2 - Les processus de provisioning et de déprovisioning manuels, complexes et peu fiables

Lorsqu'un nouvel employé débute dans une entreprise, l'IT lui fournit souventun accès au réseau d'entreprise, aux serveurs defichiers, à une boîtee-mails et aux imprimantes. De nombreuses applications cloudsont gérées directement par les métiers (par exemple, les Sales Operationsgèrent salesforce.com, la comptabilitégère Concur, le marketing gère Marketo, etc.), et l'accès à ces applications est souvent déterminéséparément par l'administrateur de l’application, plutôt que par l'IT.

En raison de leur nature même («As-a-Service», soit «à la demande»), les apps SaaS devraient être synonymes deprovisioningsimple. Leservice de gestion des identitéset des accès devrait pouvoir automatiser le provisioning de nouvelles applications SaaS,comme extension directedu processus d'accueil existant. Lorsqu'unutilisateur est ajouté au répertoire central (comme Active Directory), sonappartenance à certains groupes devraitsuffire à lui garantir un provisioning automatique pour toutes les applications inhérentes à son métier, et luifournir les permissions et le niveau de sécurité nécessaires.

Il va sans dire que le sujet devient encore plus complexe lorsqu’il s’agit du départ d’un collaborateur. L'IT peut bien sûr résilier de manière centralisée l'accès aux e-mails et aux réseaux, mais il dépendd'administrateurs diverspour ce qui est de résilier l'accès auxapplication métiers SaaS. Cela rend l'entreprise vulnérable, car les applications et les données commerciales critiques sont alors amenées à rester entre les mains d'anciens collaborateurs,potentiellement mal intentionnés. C’est le genre de failles typiques que recherchent les responsables d'audit au sein des process de déprovisioning.

Unesolutiond’IAM ne doit pas seulement permettre à l'IT d'ajouter automatiquement de nouvelles applications, elledoitégalement fournir à minima les éléments suivants:

• Unprovisioning automatisé des utilisateurs sur toutes les applications,qu’elles soient on-premises ou cloud,

• Une intégration complète et en profondeur avec Active Directory.

• Des traces claires pour tout besoin d’audit.

Il s’agit de garantir aux organisations une tranquillité d'esprit en leur apportantla certitudequ'une fois que le collaborateur ne fait plus partie de l’entreprise, les données de l'entreprise ne partent pasavec lui.

3 - La conformité et la visibilité

Il est important de comprendre qui a accès aux applications et aux données, d'où ils y accèdent et ce qu'ils en font. Cela est particulièrement vrai lorsqu'il s'agit de services cloud.Cependant, seules les offres les plus avancées comme Salesforce.comoffrent un reporting portant sur laconformité, et lorsque ce reporting existe comme dans le cas de Salesforce.com, ilest cloisonné à une seule application.

Pour répondre aux auditeurs qui vous demandent quels sont les collaborateursqui ont accès à vos applications et à vos données, vous avez besoin d'une visibilité centraliséeet d'un contrôle sur tous vos systèmes. Votre solution de gestion des identités et des accès doitpar conséquentvous assurer une vue unifiée sur l’ensemble desdroits d'accès auxservices, et vousfournir des rapports de conformité regroupantles droits d'accès, le provisioning etle déprovisioning, ainsi que les activités utilisateurs et administrateurs.

4 - Le cloisonnement des répertoires utilisateurs

La plupart des entreprises ont investis des sommes considérables dans leurrépertoire utilisateur (de typeMicrosoft Active Directory) pour gérer les accès auxressources et réseaux sur site. Alors que les organisations adoptent deplus en plus deservicescloud, elles ont besoin d’amortirleurinvestissement et de faire en sorte que leur solution d’IAM s’étende bien au-delà du cloud, afin de ne pas tomber dans la configuration où elles doivent créer un répertoire parallèle et une infrastructure de gestiond'accès uniquement pour ces nouvelles applications SaaS.

Une solution d’IAM idéale doit donc permettreune intégration centralisée et prête à l'emploi avec lerépertoire central Active Directory ou LDAP, pour que vous puissiez vraiment en tirer profit et prolonger l’utilité de cet investissement avec lesnouvelles applications, sans modifications de pare-feu ou autre lourde modification. Ainsi, àmesure que vous ajoutez ou supprimez des utilisateurs dans votrerépertoire, l'accès auxapplications cloud sera modifié automatiquement, dans le respect des standards de l'industrie comme SSL, et sans changements de réseau ou de configuration de sécurité.

5 - La prolifération desnavigateurs et des terminaux

L'un des grands avantages des applications cloud est que l'on peut y accéder depuis n'importe quel terminalconnectéà internet. Mais plus d'apps veut aussi dire plus d'URL et de mots de passe, et la multiplication des terminaux mobile représente des pointsd'accès supplémentaire à gérer et à maintenir.

Les services d'IT se doivent de faciliter l'accès depuis plusieurs des terminauxet plateformes variés, sans pour autant faire de compromis sur la sécurité. Cela peut représenter un vrai challenge avec certainessolutions d’IAM existantes.

Une solution d’IAM idéaledoiten effet aider les utilisateurs et les administrateurs à résoudre le défi d'un accès «partout, tout le temps, depuis n'importe quel terminal». Elle ne doit passeulement fournir un SSO basé sur le navigateur, mais elle doit également permettre un accéderà ces mêmesservices depuis tout autre terminal au choix de l'utilisateur, avec autant de facilité et surtout de sécurité.

6 - Lemaintien à jour des intégrations

Une centralisation totaleduSSO et de la gestion des accès implique un grand nombre d'intégrations avec tout type d’applications, et surtout le maintien à jour des intégrations à chaque nouvelleversion de chacune de cesapplications. Pour la vaste majorité des organisations, demander à leur service IT d'entretenir une collection de «connecteurs» dans un environnement en constante évolution n'est ni réaliste ni productif.

Les applications cloud d'aujourd'hui ont toutes desarchitectures de pointe et sont optimisées pour le modèle SaaS. Ces technologies offrent un vaste choix aux développeurs, qui peuvent designer leur service et ses interfaces en suivant leur propre méthode.

Malheureusement pour les professionnels de l'IT, cela signifie également que chaque nouvelleapplication représente potentiellement une nouvelle approche d'intégration, en particulier en ce qui concerne l'authentification et la gestion des accès utilisateurs.

De plus, comme les applications hébergées, les applications SaaS évoluent avec le temps. Lasolution d’IAM que vous choisirez doit être capable de suivre ces évolutions et de garantir que les intégration mises en place seront toujours à jour et fonctionnelles. Votre solution d’IAM doit même servir de véritable médiateur entre toutes les technologies et approches d'intégrationdifférentes, pour que les questions de compatibilité et d’évolutivité soient transparentes aux yeux del'IT. Ainsi, même lorsque les API d’une application changent, votre solution de gestion des identités et des accès gère elle-même l’interfaçagedes programmes selon les différentes versions, débarrassant votre service IT de ces problématiques.

Ceci simplifiedu coup l'ajout de toutenouvelle application au sein devotre réseau, au point que ce soit aussi facile que d'ajouter une applicationsur votre smartphone. Aprèsune configuration minimale et propre aux caractéristiques del'entreprise, vous pourrezintégrer de nouvelles applications SaaS avec votre SSO en quelques minutes.

7 - Les modèles d'administration pour différentes applications

Alors que les applications cloud deviennent plus simples et moins chères à mettre en œuvre, leur multiplication n’en simplifie pas la gestion. Ces solutions sont souvent gérées par les métiers directement, par exempleles Sales Operations pourSalesforce.com. Si cela peut présenter un avantage pour l'IT(parce que les métiers sont alors responsables de l'administration du système et que cela leur libère donc du temps), cela ouvre cependant la porte à de nouveaux problèmes, car les utilisateurs se retrouvent décentralisés, rendant impossible la gestion et l’émission derapports et analyses.

C’est ici que le choix de la bonne solution d’IAM peut faire une nouvelle fois la différence. En centralisant les identités, elle fournit à l'IT une administration, un reportinget une gestion des utilisateurs et des accès complets. Une solution d’IAM optimaledoit inclure un modèle de sécurité global, qui permet defournir le bon niveau d'accès à chaqueadministrateur d'application métier, pour qu'ils puissent gérer leurs utilisateurs et droits spécifique, sans nuire à la sécurité du système dans son ensemble.

8 - L’utilisation non optimale et le manque de bonnespratiques

Une des raisonspour lesquelles les applications cloud se répandentest que lemodèlede prix, à savoir lesabonnementsmensuels,ont remplacé les paiements annuels ou pluriannuels qui prévalaient auparavant, lorsqu'il fallait acheter lalicence d’unlogicielon-premises. Les directeurs financiers préfèrent évidemmentpayer pour des services que les employés utilisent lorsqu'ils en ont besoin. Toutefois, sans vue claire etcentraledes usages, les responsables IT et financiers ne peuvent gérer les dépenses liées auxabonnements, etils ne savent en définitive pas vraiment s'ils paient le juste prixpar rapport à ce qui est utilisé.

Votre solution de gestion des identités et des accès peut vous accompagner en vous fournissant un aperçu précis de l'utilisation par collaborateur et en aidant de ce faitl'IT à optimiser les dépensesassociées aux applications.

Les administrateursdoiventavoir accès en temps réel aux rapportsd'utilisation des différentsservices. De plus, en mettant en corrélation les tendances d’usage avec la performance des collaborateurs, il devient possible d’en tirer des bonnes pratiques, applicables aux autres départements.

Faire face à ces défisavec Okta

Okta est une solution de gestion des identités et des accès conçue pour les entreprises, 100% développée dans le cloud. La solution Okta inclus unrépertoireuniversel, dusingle sign-on, une authentification forte, des fonctionnalités deprovisioning, une capacité de gestion desflux de travail et dureporting intégré.

Partoutdans le monde, les entreprises utilisent la solution de gestion des accèsOktapour tous les terminaux, individus et applicationsde l’organisation, afin de renforcer la sécurité et la productivité de cette dernière, tout en se conformant aux normesde son secteur.

Utilisateurs: une personnalisation avancée

Avec la plateforme Okta, il est aussi facile d'ajouter de nouveaux utilisateurs que d’ajouter de nouvelles applicationsSaaS. Une fois le compte activé, chaque utilisateur se connecte à une page d’accueil personnalisée, surlaquelle ilpeut accéder à sesapplications grâceune authentification unique et sécurisée. Cette page d'accueil, ou «tableau de bord»,est accessible depuis tous ses navigateurs et terminaux et est entièrement personnalisée à ses besoins en applications.

Administrateurs: un contrôle sécurisé et intégré pour tout le monde

Okta permetà l'IT de gérer les individus, les applications et les politiques d’accès pour toutes les applications mobiles, cloudet hébergées. Le répertoire universelfournit une vue d’ensemble des membres de l’organisation et des identités auxquelles ils sont associés. Pour ajouter des applications, il suffit de sélectionner une application pré-intégrée à partir du réseau d’applications d’Okta et de régler les configurations spécifiques à votre organisation.

Cadres: un ROI maximisé et des risques minimisés

La solutionOkta inclusun journal centralisé qui enregistre l’ensemble des évènements et activitésaussi bien sur Okta que sur les applications intégrées. Des fonctionnalités de reporting sont aussi intégrées. Les rapports personnalisés sont des outils précieux pour aider les cadres à monitorerl’activité, à en garantir la conformité et à surveiller l'utilisation des applications.

À propos d’Okta

Okta est le leader indépendant des services d’identification et de gestion d’accès pour les entreprises. Okta Identity Cloudpermet aux entreprises de sécuriser et gérer leur entreprise étendu (employés, partenaires, fournisseurs, clients) et d’améliorer l’expérience de leurs clients. Avec plus de 5.500 intégrations préexistantes avec des applications et des fournisseurs de services logiciels, les clients d’Okta peuvent intégrer facilement et de manière sécurisée les technologies dont elles ont besoin pour mener à bien leurs activités. Plus de 5.000 organisations à travers le monde font confiance à Okta pour connecter les gens et tout type de technologie, comme par exemple : Engie, 20th Century Fox, JetBlue, Nordstrom, Slack, Teach for America ou Twilio.

Pour en savoir plus, rendez-vous sur : www.okta.com/fr

Top 8 des challenges liés à lagestion des identités et des accès (IAM)

Pour en savoir plus, rendez-vous sur la version anglaise de notre site web.