L’IAM est un concept ayant des impacts multiples. Cela doit être pris en compte lors de l’exécution d’un tel programme, afin d’éviter de tomber rapidement dans les problématiques courantes. Voyons cela de plus près.

Les défis d’un programme IAM : quelques exemples typiques

Les trois principaux facteurs qui imposent des exigences en matière d’IAM sont l’évolution des activités métier, la cybersécurité et l’expérience des utilisateurs. Cependant, les organisations entreprennent souvent des programmes IAM motivés, exclusivement ou principalement, par le désir de migrer vers une nouvelle solution. Avec la dette technique ou l’outillage comme seule véritable préoccupation, les programmes IAM peuvent être très rapidement confrontés à des problèmes.

1/ Impacts de la migration vers une nouvelle solution

Souvent, le désir est de simplement migrer vers un nouvel outil ou d’effectuer une mise à niveau majeure de la solution technique existante, tout en laissant tous les autres éléments du service IAM inchangés. Cela peut avoir des effets indésirables sur ces autres aspects. Par exemple, un nouvel outil entraînera probablement de nouveaux processus d’approbation, qui nécessiteront la formation du personnel à une nouvelle interface utilisateur. Il pourrait même nécessiter des processus de départ et d’arrivée entièrement nouveaux pour les RH. Ce point sensible se résume finalement à un manque d’évaluation de l’impact du changement technologique, dans le contexte d’un écosystème IAM plus large.

2/ Une liste d’exigences toujours plus longue

Lorsqu’une organisation réalise que le changement IAM ne se limite pas à l’outillage, cela peut souvent ouvrir les vannes à un nombre irréaliste de nouveaux objectifs. Les parties prenantes finissent par exiger davantage du programme (comme une meilleure expérience utilisateur et une intégration ITSM accrue), alors que ces nouveaux objectifs n’avaient pas été identifiés et pris en compte à l’origine. Le programme peut devenir un moyen d’exprimer le mécontentement à l’égard du service IAM existant, ce qui entraîne un glissement de périmètre. Cette dynamique peut rapidement mettre à mal le programme au niveau de la gestion du changement, du budget et de l’architecture de la solution.

3/ Forcer une mise en œuvre similaire

Une fois que les interactions entre la nouvelle solution IAM et ses services périmétriques sont pleinement opérationnelles, vous devez encore tenir compte des différences de philosophie de conception entre le nouvel outil et l’ancien. Les principales différences de conception des produits doivent être prises en compte. Si ce n’est pas le cas, les organisations peuvent finir par exiger un code personnalisé et des configurations complexes sur la nouvelle solution, simplement pour correspondre à l’ancienne configuration. Cela peut avoir un impact sur l’assistance du fournisseur, la maintenance, les performances globales – sans parler de la nécessité de conserver un énorme corpus de connaissances sur la personnalisation complexe. En empruntant cette voie, vous risquez de causer plus de problèmes que ceux que vous essayez de résoudre. Un véritable effet papillon peut donc se produire lorsqu’on essaie de forcer l’utilisation d’outils différents à des fins similaires.

La clé pour éviter ces problèmes courants est de reconnaître que l’IAM doit être considérée comme un sujet transversal, qui a un impact sur la technologie, les personnes et les processus.

Quelle est donc l’approche recommandée ?

La clé du succès est la reconnaissance du fait que l’amélioration de l’IAM est un programme de grande envergure. La mise en œuvre de nouvelles solutions n’est que la partie émergée de l’iceberg, et les impacts clés ne doivent pas être sous-estimés. Les points clés à considérer lors de la transformation sont :

• Le renouvellement de la solution IAM : le déploiement (ou la mise à niveau) de la nouvelle solution IAM. Cela comprend l’architecture de la solution, l’ingénierie et la migration technique.
• La modélisation des droits : les droits d’accès existants doivent être traduits dans le nouvel écosystème IAM, tels que les rôles métier et les profils d’application.
• Le nettoyage des données IAM : l’examination, le nettoyage et la validation de la fiabilité et de l’exactitude des données utilisateurs existants. Par exemple, la recertification du rôle d’un utilisateur et la validation de son supérieur hiérarchique pour s’assurer que la bonne personne approuve les demandes d’accès.
• Les nouveaux processus et la gestion du changement : cela inclut de nouvelles façons de demander et d’examiner l’accès aux applications, de nouveaux processus pour gérer les départs et les arrivées, et la formation du personnel.
• L’interopérabilité avec les autres services et actifs du SI : par exemple, l’intégration du nouvel outillage IAM avec le SOC peut nécessiter une réingénierie de l’ingestion des journaux dans le SIEM et des appels API. Un autre travail typique consiste à coordonner la migration avec celles liées à l’AD.

Nous recommandons donc de structurer le programme IAM de telle sorte que chacun de ces sujets soit couvert par un projet individuel. Le département en charge de la rédaction des politiques IAM doit opérer au niveau du programme, afin de fournir des inputs clairs permettant de guider les différents projets.

Un sponsorship fort et une vision publiquement partagée des objectifs sont également essentiels à la réussite. Les programmes IAM touchant de nombreux domaines organisationnels, il est essentiel que le gestionnaire de programme et la fonction PMO soient soutenus au niveau de la direction.

Enfin, la flexibilité est essentielle pour gérer l’évolution des circonstances et des contraintes. Voici d’autres conseils pour que le programme puisse rester sur la bonne voie et atteindre les objectifs prévus :

• Trouver un bon compromis entre les actifs hérités, la cible idéale et les capacités de la nouvelle solution : la cible doit être basée sur ce qui aide le mieux à fournir le service IAM de bout en bout à l’entreprise.
• Évaluez la possibilité d’intégrer des nouvelles solutions aux services existants, même s’ils ne sont pas envisagés à l’origine dans l’état cible idéal. Simplifiez et rationalisez dans la mesure du possible. Cela sera utile à la fois à court et à long terme.
• N’excluez pas la possibilité de conserver des outils existants qui devaient initialement être déclassés, si cela soutient les objectifs de l’IAM : il est parfois préférable de conserver certains actifs existants, plutôt que de déclasser et de migrer au nom de la modernisation technique.

Dans cet article, nous avons vu comment la définition des objectifs clés est essentielle pour la réussite du programme. Il est important de comprendre l’ampleur du changement IAM, à la fois pour structurer le programme et pour respecter les délais et le budget. Cette approche permettra également aux responsables du programme et à chaque responsable de stream de mettre en œuvre des mesures flexibles pour migrer d’un écosystème et d’applications legacy vers la nouvelle solution. Le tout sans perdre de vue les principes directeurs de la gestion des identités et des accès.

Cet article Gestion des identités et des accès : les clés d’un programme de transformation réussi est apparu en premier sur RiskInsight.

Transformation de l’IAM : quels sont les principaux moteurs ?

Les entreprises évoluent à un rythme effréné et la rapidité de mise sur le marché dépend fortement de systèmes informatiques reposant sur des services d’identité robustes et évolutifs. Qu’il s’agisse d’un nouveau service web disponible pour les clients, d’une expansion importante ou d’une fusion de back-office, la nécessité de faire évoluer les services IAM rapidement et efficacement est omniprésente.

Chez Wavestone, nous observons trois facteurs, souvent combinés, qui exigent davantage de la gestion des identités et des accès :

1. Les risques de cybersécurité
2. L’évolution des besoins métiers
3. L’expérience de l’utilisateur final

Examinons chacun de ces points plus en détail.

1/ Évolution des modèles de cybersécurité et de systèmes d’information

Les systèmes d’information sont de plus en plus ouverts et fragmentés. L’adoption du cloud et les architectures distribuées contribuent à ce changement fondamental. La sécurité adapte ses principes et la notion de zero trust est désormais bien établie. La gestion des identités et des accès est un élément clé du zero trust.

Les systèmes d’information sont consommés par des tiers, des clients et des employés. L’identité est essentielle pour l’échange de données critiques et la confidentialité entre diverses entités. Il est donc nécessaire de disposer d’une identité unique pour chaque entité dans l’ensemble du système d’information. Si les architectures évoluent, l’objectif ultime de l’IAM ne change pas : la bonne personne ou entité, avec le niveau de droits approprié, pour accéder à la bonne ressource, dans le bon contexte. Il est essentiel que ce principe soit respecté en permanence.

L’identité unique de chaque machine et de chaque utilisateur est également essentielle pour la traçabilité. Une organisation doit être en mesure d’identifier, d’authentifier et d’autoriser tout utilisateur, de toute autre entité, lorsqu’il accède à une ressource. Il est essentiel de pouvoir centraliser l’enregistrement, l’audit et le suivi de ces événements à travers le système d’information.

2/ L’identité au service de l’entreprise

Les entreprises subissent des transformations fondamentales qui exigent une plus grande agilité et des délais de mise sur le marché plus courts. Par exemple, de nombreux commerçants cherchent de nouvelles voies numériques pour accéder au marché en raison de l’évolution du paysage du commerce électronique et des défis opérationnels posés par la pandémie de COVID-19. Les services d’identité doivent être en mesure de soutenir des initiatives commerciales de grande envergure et d’assurer l’innovation à grande échelle.

L’évolution complexe de l’entreprise ne peut être ralentie par des délais de sécurité ou de livraison d’infrastructure prolongés. L’identité doit être un catalyseur, et non un synonyme de retard. Tout projet doit pouvoir s’appuyer sur des services d’identité qui sont fournis comme un produit de base à l’entreprise, et non pas nouvellement conçus et déployés pour chaque initiative.

La consolidation et la normalisation des solutions et processus IAM sont essentielles à la mise en œuvre de ce modèle. Il s’agit notamment d’une gestion cohérente et solide, qui dépend de méthodes et de protocoles agnostiques sur le plan technologique, basés sur les normes industrielles les plus récentes et les plus sûres (telles que SAML, OIDC et OAuth).

La fourniture de services d’identité doit être intégrée dans le modèle opérationnel de l’organisation et dans des pratiques telles que Agile, DevOps @ scale et innovation @ scale : l’IAM doit être fourni comme un service à l’entreprise.

3/ Les exigences en matière d’expérience utilisateur sont désormais au centre des préoccupations

Le troisième moteur, crucial, de la transformation de l’IAM est l’expérience utilisateur. Il s’agit pour les organisations de fournir aux employés la même qualité de services d’authentification et d’autorisation que celle dont les clients externes ont souvent bénéficié par le passé. L’objectif est de permettre aux utilisateurs finaux de prouver leur identité facilement et sans effort, et d’accéder aux services requis, en tout lieu et à partir de tout appareil. Cela constitue la base d’une véritable expérience continue qui soutient les nouveaux modes de collaboration, également accélérés par le travail à distance.

Des processus d’enregistrement faciles et fluides, ainsi qu’une authentification cohérente dans les différentes applications, doivent être proposés aux clients pour simplifier leur expérience et les fidéliser à la marque. Ce même principe vaut pour les employés et les tiers.

Les technologies sans mot de passe et les identifiants uniques pour les applications sont des exemples de solutions en plein essor ; des approches innovantes fondées sur le risque et le contexte peuvent rationaliser les accès, ce qui peut avoir un impact positif important sur l’expérience des utilisateurs en réduisant les demandes d’authentification.

Quelles sont les étapes de la transformation de l’IAM ?

La compréhension de votre maturité actuelle est une étape clé pour atteindre les objectifs ci-dessus. Au fil des années de soutien aux initiatives IAM de nos clients, nous avons construit notre parcours d’amélioration de la maturité IAM, qui comprend 4 étapes de maturité.

• Fragmenté : l’organisation n’a pas d’approche consolidée de l’IAM à travers les solutions, la gouvernance et les normes.
• Rationalisé : le paysage technologique soutenant l’IAM est simplifié et géré de manière centralisée afin de faciliter l’expérience utilisateur pour toutes les applications et tous les utilisateurs. La consolidation fournit des capacités de supervision satisfaisantes.
• Étendu : les capacités organisationnelles d’IAM sont adaptées à un système d’information en évolution : tout utilisateur, tout appareil, tout service.De nombreuses organisations disposent actuellement d’éléments de ces capacités, mais rarement déployés à l’échelle mondiale.
• Maîtrisé : l’organisation a adopté des solutions de nouvelle génération, qui offrent de solides avantages en matière de sécurité et une expérience utilisateur fluide, tout en réduisant la charge de travail des opérations informatiques grâce à une automatisation intelligente.A ce jour, ces solutions sont adoptées au cas par cas ou servent d’objectif dans les feuilles de route IAM.

Chacune des étapes ci-dessus nécessite une transformation profonde de l’environnement : changement de gouvernance, changement de processus, et déploiement ou migration des technologies de soutien. Pour réussir, nous pensons qu’elles doivent être abordées dans le cadre d’un programme de transformation IAM dédié.

Restez à l’écoute de notre prochaine publication, où nous partagerons avec vous ce qui est bon pour un programme de transformation IAM…

Cet article La gestion des identités et des accès de retour sur le devant de la scène est apparu en premier sur RiskInsight.

Pour plus d’informations, retrouvez la vidéo de présentation du concours.

Pour la quatrième édition du concours, la data et l’IA viennent s’ajouter à la cybersécurité !

Alors que les précédentes éditions du concours récompensaient uniquement des startups spécialisées dans le domaine de la cybersécurité, l’édition 2020 a élargi son spectre pour accueillir de nouveaux sujets, que sont l’intelligence artificielle et la data, qui demeurent des composantes clés au sein de l’écosystème cyber.

L’ensemble des sociétés participantes, d’origine française ou européenne, ont su partager toute la richesse de leurs diverses expertises. On peut ainsi dresser le top 5 des sujets traités par les participants cette année :

• Lutte contre la fraude
• Protection de l’identité numérique
• Développement de l’intelligence artificielle pour les affaires
• Protection de l’intégrité des données
• Détection des incidents et vulnérabilités

Un jury d’envergure, des analyses et des messages forts !

Cette cérémonie avait bien évidemment pour but de récompenser les grands gagnants de l’édition 2020, mais pas seulement. C’était également l’opportunité, pour l’ensemble des membres du jury et des personnalités présentes, de partager leurs analyses quant à l’écosystème startups actuel.

Cette année, le jury était composé de Claire Calmejane (Directrice de l’Innovation du Groupe – Société Générale), Christophe Leblanc (Directeur des Ressources et de la Transformation Numérique du Groupe – Société Générale), Pascal Imbert (Président Directeur Général – Wavestone), Reza Maghsoudnia (Directeur Développement Stratégique – Wavestone), Guillaume Poupard (Directeur Général – ANSSI), Jamal Attif (Professeur à Dauphine-PSL, responsable de l’équipe MILES) et d’un collège d’experts (Thierry Olivier, Christina Poirson, Julien Molez, Gérôme Billois, Ghislain de Pierrefeu et Severine Hassler).

Enseignements et perspectives de la crise

Bien que cette crise sanitaire ne soit pas encore terminée, elle paraît en tout cas un peu mieux maîtrisée qu’en mars, quand cette maladie nous était encore inconnue. À ce sujet, Pascal Imbert et Christophe Leblanc ont apporté leur analyse de cette crise et de ses impacts.

Selon eux, cette crise a été à la fois révélatrice des fragilités propres à chaque entreprise et des modèles économiques actuels, mais aussi accélératrice de tendance, avec une place plus importante encore prise par le numérique ces derniers mois. Ces éléments rendent les transformations plus profondes et plus rapides. Cela n’est pas sans conséquence pour les entreprises, qui voient leurs transformations s’accélérer, avec la nécessité d’intégrer de nouveaux facteurs, tel qu’un meilleur équilibre entre efficacité et résilience. Tout cela, avec une place majeure de la technologie, qui représente un défi économique, technologique et de souveraineté. L’environnement startups, mis à l’honneur avec ce concours, est, selon Pascal Imbert, un des élément clé devant nous permettre de reprendre la main sur la technologie et ses usages.

Cette crise est donc à la fois un facteur de transformation digitale et stratégique, dont la data et la cybersécurité font partie intégrante, un facteur d’agilité, avec l’accélération du télétravail et l’adaptation des règles de sécurité informatique qui a été nécessaire et un facteur de « stress-test », pour nos modèles économiques et technologiques.

L’intelligence artificielle et la data au service de la crise

Jamal Attif nous l’a tous rappelé d’emblée : « la valeur est dans la donnée ». Cependant, selon lui, l’IA telle qu’on la connait aujourd’hui, n’est pas en mesure de résoudre cette crise. Elle peut aider à la combattre, en utilisant par exemple des algorithmes de fouille de données bibliographiques permettant de comprendre les effets de certains médicaments. Elle peut aussi accélérer et améliorer les diagnostics dans le milieu médical, via la reconnaissance d’images, mais elle ne peut pas prédire ce qui n’a jamais été observé auparavant, telle que cette épidémie, qui s’est développée très rapidement.

L’écosystème des startups a aujourd’hui un vrai impact dans nos modèles économique, mais il paraît important selon lui, pour faire de l’innovation de rupture permettant de répondre à des problématiques d’une telle envergure, de combiner toutes les forces en présence, que ce soient celles du monde de la recherche, des grands groupes ou des startups.

Cybersécurité : évolution de la menace et innovations

Guillaume Poupard constate deux points majeurs concernant le numérique et la cybersécurité aujourd’hui.

Tout d’abord, il soulève le côté positif de la transformation numérique, qui a permis de surmonter le défaut d’activité pendant cette période particulière. Cependant, il faut selon lui rester prudent, notamment face à la croissance particulièrement inquiétante de la cybercriminalité qui cible désormais de grandes entreprises, avec des cas très graves qui se multiplient (50 ransomwares en 2019, contre déjà 130 en 2020, et ce n’est pas terminé). La question de la lutte contre la cybercriminalité est donc un sujet d’importance majeure, d’où l’utilité de refaire des analyses de risques et des audits des systèmes d’information, afin de déceler les éventuels manquements à la cybersécurité durant ces quelques mois. Tout comme Jamal Attif, il rappelle l’importance que des acteurs publics et privés de toutes tailles, avec des motivations différentes, puissent travailler ensemble, afin de renforcer nos défenses en matière de cybersécurité. Il faut selon lui mettre en avant ceux qui innovent, et c’est d’ailleurs l’un des objectifs du campus cyber, qui devrait voir le jour dans les prochaines années, en région parisienne.

L’autre point, c’est de continuer à élever ces sujets au niveau de l’Union Européenne, et même au-delà, en mettant en place des réseaux pour que l’ensemble des parties prenantes puissent travailler ensemble. C’est notamment l’objectif du lancement, par les états membres de l’Union Européenne, du Cyber Crisis Liaison Organisation Network (CyCLONe).

Zoom sur l’écosystème innovation et startups

Reza Maghsoudnia partage l’essence même de l’écosystème startups, qui est de savoir sortir des sentiers battus, de challenger les acteurs établis, et d’innover pour donner plus de valeur aux diverses transformations que nous vivons. La crise augmente encore le besoin d’innovation, d’où l’importance pour Wavestone, de continuer à identifier ces gisements d’innovation, de les soutenir et de les accompagner.

À ce sujet, Wavestone a créé en 2015 un accélérateur de startups (Shake’Up), permettant d’être en permanence en interaction avec plusieurs centaines d’acteurs innovants sur le marché et d’identifier des pépites, afin de les accompagner. À ce jour, plus de 40 startups ont été accompagnées, dont de véritables success stories telles qu’Alsid et Citalid, dans le domaine de la cybersécurité. En ce qui concerne l’écosystème startups Cybersécurité françaises, nous vous proposons d’ailleurs de lire l’analyse de nos experts, suite au radar des startups réalisé par Wavestone.

61 startups participantes, 8 startups retenues et 4 startups récompensées

Isahit, Prix Spécial – Data for good & Ethics

Fondée en 2016, la « Tech for Good » française Isahit propose aux entreprises une plateforme digitale d’impact sourcing, pour le traitement de tâches digitales ne pouvant être prise en charge par une intelligence artificielle.

Retrouvez la vidéo de présentation de la startup Isahit.

CryptoNext, Prix Spécial – Cybersécurité Made in France

Fondée en 2019, CryptoNext a développé une technologie de chiffrement permettant de rendre les données résistantes à la puissance de l’informatique quantique. Son logiciel a vocation à être implémenté dans les offres des grands acteurs de la sécurité informatique.

Retrouvez la vidéo de présentation de la startup CryptoNext.

Inqom, Grand Prix Data & IA

Fondée en 2015, Inqom a construit un logiciel SaaS d’automatisation la production comptable, permettant de générer le bilan en temps réel. Grâce à l’intelligence artificielle, la solution traite et enrichit les données comptables afin de créer une comptabilité centralisée, uniformisée et intelligente.

Retrouvez la vidéo de présentation de la startup Inqom.

Hackuity, Grand Prix Cybersécurité

Fondée en 2018, Hackuity propose une plateforme repensant la manière dont les vulnérabilités informatiques sont gérées dans les entreprises en collectant, normalisant et orchestrant toutes les pratiques d’évaluation de la sécurité, automatisées ou manuelles.

Retrouvez la vidéo de présentation de la startup Hackuity.

Cet article Banking Innovation Awards : ils construisent ensemble la banque du futur !  est apparu en premier sur RiskInsight.