5 clés pour réussir la mise en œuvre de l'IAM
La mise en œuvre de l'IAM n'est pas un projet à entreprendre à la légère. S'étalant sur plusieurs années, la mise en œuvre de l'identité et de Access Management aura un impact sur les utilisateurs, les applications et les processus internes et potentiellement aussi sur vos clients s'ils ont besoin d'accéder à vos applications, d'une manière ou d'une autre. Bien que l'IAM puisse être principalement considéré comme une solution technologique, ce n'est pas le cas. Au fil des ans, l'accent s'est déplacé de la sécurité vers l'habilitation numérique de l'entreprise. La mise en œuvre de l'IAM comportera à la fois des éléments commerciaux et technologiques.
Sur la base de notre propre expérience, de cas clients et de conseils d'analystes, nous avons dressé une liste des meilleures pratiques pour tirer le meilleur parti de votre mise en œuvre de l'IAM.
Lisez la suite pour en savoir plus sur ces bonnes pratiques :
- Intégrer le programme dans l'entreprise
- Créer une feuille de route à long terme pour la mise en œuvre de l'IAM
- Décider de construire ou d'acheter
- Définir les rôles et les responsabilités en matière d'IAM
- Faire de l'expérience de l'utilisateur votre priorité absolue
1. Intégrer le programme dans l'entreprise
Quelle que soit la portée de votre mise en œuvre de l'IAM, sachez que de nombreux utilisateurs internes seront concernés. Il est important de s'assurer que chacun sait ce qui va se passer, mais aussi pourquoi cela se passe, ce que cela signifiera pour leurs activités quotidiennes et comment vous les aiderez à faire face aux changements à venir.
La mise en œuvre de l'IAM doit être transversale
Consultez les différentes divisions de l'entreprise au sujet du programme et assurez-vous de l'adhésion des différentes équipes : ventes, marketing, support, finances, RH, ... En transformant la mise en œuvre de l'IAM en un exercice interdépartemental, vous pouvez trouver davantage d'analyses de rentabilité qui soutiennent l'investissement, consolidant ainsi le programme en tant qu'avantage pour l'ensemble de l'entreprise.
De nombreux objectifs commerciaux peuvent être atteints grâce à la modernisation de votre IAM : création d'écosystèmes, amélioration de l'efficacité du personnel, réduction des coûts, augmentation des revenus, etc.
Tous ces objectifs commerciaux ont beaucoup à gagner d'une montée en puissance de l'IAM.
Trouver un sponsor exécutif pour la mise en œuvre de l'IAM
Que votre mise en œuvre de l'IAM soit transversale ou non, il est impératif d'avoir un sponsor exécutif pour votre programme, afin de s'assurer que le projet reste en tête de liste au niveau du conseil d'administration. La présence d'un sponsor exécutif sur votre steerco garantira que votre mise en œuvre recevra les ressources nécessaires, quels que soient les changements sur le marché.
De plus, l'IAM est en train de devenir un facilitateur pour les entreprises. Cela signifie que les personnes en charge du programme doivent parler le langage de l'entreprise pour être comprises. Un programme IAM sera jugé sur la base des résultats commerciaux, et non sur les finesses techniques.
En savoir plus sur les objectifs commerciaux soutenus par un projet IAM
2. Créer une feuille de route à long terme
La mise en œuvre d'une solution IAM n'est pas un simple projet limité dans le temps. Certains analystes la comparent à un iceberg, avec une substance importante sous la surface des initiatives proposées. Cela nécessite un programme formel à long terme, aligné sur les objectifs de l'entreprise, avec plusieurs phases et une gouvernance appropriée. Les études montrent que les entreprises qui n'ont pas de programme formel dépensent 40 % de plus pour la mise en œuvre de l'IAM que celles qui disposent d'un tel programme.
La mise en œuvre de l'IAM soutient la transformation de l'entreprise
Les programmes qui recueillent le plus d'adhésion (et un flux constant de ressources et de budget) sont ceux qui soutiennent une transformation à long terme de l'entreprise. Vous devez non seulement savoir où vous êtes aujourd'hui, mais aussi où vous voulez être dans quelques années. Plantez votre drapeau au sommet d'une montagne et décidez des étapes nécessaires pour atteindre ce sommet. En établissant une feuille de route pour la mise en œuvre de l'IAM, acceptée par les différentes parties prenantes, vous créez la transparence sur le processus et vous pouvez vous référer à cette feuille de route approuvée chaque fois que des objections sont formulées en cours de route. En fonction de la situation actuelle et de votre objectif final, une feuille de route peut très bien s'étendre sur plusieurs années. Respectez la feuille de route autant que possible, mais laissez une certaine marge de manœuvre, car les conditions du marché et la stratégie de l'entreprise peuvent changer.
3. Décider de construire ou d'acheter
Au fil des ans, de nombreuses organisations ont construit leur propre version d'une plateforme IAM. Lorsqu'elles ont commencé à utiliser l'IAM, l'analyse de rentabilité était limitée et n'était pas jugée suffisamment importante pour justifier une étude de marché approfondie, un investissement dans un nouvel outil ou une nouvelle formation du personnel technique. De plus, les organisations considéraient que leur situation était tellement unique qu'il était impossible de l'intégrer dans une solution "prête à l'emploi".
Cependant, au fil du temps, de nouvelles affaires sont apparues, exigeant parfois la sécurité des API, la prise en charge de nouveaux fournisseurs d'identité, de méthodes d'authentification et de protocoles de sécurité. C'est à ce moment-là que les limites d'une stratégie de "construction" apparaissent. C'est à ce moment-là qu'il faut reconsidérer la stratégie de construction et opter pour une solution qui offre de riches fonctionnalités, tout en étant personnalisable pour prendre en charge le caractère unique de votre entreprise.
TrustBuilder.io correspond à la description de cette solution. TrustBuilder est livré avec un grand nombre de connexions prêtes à l'emploi à un grand nombre de fournisseurs de services et d'identités, ce qui élimine le développement du client. Notre architecture de système ouvert fournit la base d'une flexibilité unique, tandis que l'utilisation de conteneurs Docker permet un déploiement rapide et rentable. Les modèles industriels, les configurations de flux de travail standardisées et les connexions prêtes à l'emploi offrent une expertise et une réutilisation intégrées.
4. Définir les rôles et les responsabilités en matière d'IAM
Un programme IAM est un programme de grande envergure, c'est pourquoi il est essentiel de mettre en place une bonne structure de gouvernance. De nombreuses personnes seront impliquées, tant à l'intérieur qu'à l'extérieur de l'entreprise, si vous travaillez avec un partenaire de service externe pour une partie du processus de mise en œuvre. La gouvernance de projet guide et dirige des initiatives spécifiques et représente un effort continu de communication et de collaboration. Les organes de gouvernance IAM se réuniront régulièrement et les rôles et responsabilités de toutes les personnes impliquées doivent être définis, par exemple selon les principes RACI : responsable, redevable, consulté et informé.
Votre mise en œuvre de l'IAM s'appuie-t-elle sur un point de contact unique ?
Lorsque des prestataires de services externes sont impliqués, il est important d'avoir un point de contact unique de chaque côté pour rationaliser les communications. Veiller à ce que les équipes internes et externes travaillent à la même vitesse et que les prestataires de services externes ne soient pas retardés dans leur action en raison de la lenteur du processus décisionnel interne. Cela nécessite l'implication d'un cadre supérieur qui a des pouvoirs de décision et qui suit le projet de suffisamment près pour être habilité à prendre des décisions en connaissance de cause.
5. Faire de l'expérience utilisateur votre priorité absolue
Si le nombre de sourires des clients était un indicateur de performance, de nombreux projets informatiques obtiendraient de mauvaises notes. Trop souvent, nous restons bloqués sur des détails techniques et sur la nécessité d'obtenir tous les détails voulus. Étant donné qu'il est devenu impératif pour les utilisateurs externes et internes d'offrir une expérience client exceptionnelle, les programmes de gestion des identités et des accès doivent également répondre aux besoins de l'utilisateur final. Rendre l'accès aux applications aussi facile que possible, tout en conservant une sécurité sans faille. Rendre l'accès facile interdit les méthodes d'authentification complexes ou les combinaisons de longs mots de passe et de noms d'utilisateur. L'avenir de l'authentification est sans mot de passe et même, selon certains, sans contact.
Pensez aux utilisateurs lorsque vous mettez en œuvre l'IAM
Lors de l'élaboration d'un programme IAM, il convient de garder à l'esprit l'identité des utilisateurs et de voir comment les servir au mieux. Si vous collaborez avec des partenaires externes, veillez à prendre en charge l'authentification fédérée. Par exemple, si vous êtes une compagnie d'assurance travaillant avec des courtiers, leurs employés voudront se connecter en utilisant les informations d'identification de la compagnie. Vous devrez donc prendre en charge l'authentification fédérée. Dans le cas des consommateurs, vous souhaitez maintenir le seuil le plus bas possible, tout en conservant le niveau de sécurité le plus élevé, en leur permettant, par exemple, d'apporter leur propre authentification (BYOAuth).
BYOAuth peut être aussi simple qu'un nom d'utilisateur et un mot de passe, mais vous pouvez donner à vos clients le choix de renforcer leur sécurité en leur permettant d'ajouter leurs méthodes de connexion préférées telles que Facebook, AppleID, Google... ou même d'ajouter les méthodes d'authentification forte qu'ils utilisent telles que Google Authenticator ou les mécanismes d'authentification de la carte d'identité nationale.
