Les 5 règles d’or pour réussir un projet de gestion des identités Les solutions d’IGA (Identity Governance & Administration), parfois aussi appelées solutions d’IAG (Identity & Access Governance), sont déployées pour gérer les identités des utilisateurs et leurs habilitations. En d’autres termes, elles permettent de mettre en place un cadre formel pour s’assurer que les bonnes personnes ont accès aux bons services numériques, au bon moment et pour la durée strictement nécessaire à l’exécution de leurs missions. Dans le cadre d’un projet d’IGA, le projet fait partie du produit même s’il va s’appuyer sur une technologie ou sur un produit ; l’enjeu va effectivement bien au-delà car cela concerne un réel projet de transformation avec une synchronisation interservices inévitable.2 contextes possibles lors de la mise en place d’un projet d’IGA On rencontre 2 cas de figures de mise en place d’un projet d’IGA au sein d’une organisation :Soit c’est un premier et nouveau projet à mettre en place de bout en bout,Soit le projet consiste à remplacer une solution déjà en place.Des paramètres communs sont à prendre en considération, quel que soit le cas de figure dans lequel nous nous trouvons. Il s’agit de contraintes temporelles (un projet d’IGA peut prendre beaucoup de temps en fonction de la complexité et du périmètre concerné), financières, produit (avec la prise en compte des capacités et des évolutions du produit à partir d’une roadmap à moyen et long terme) et des contraintes organisationnelles. Dans la mise en place d’un projet nouveau, en se basant sur les cas d’usages, il s’agit d’apporter une solution adaptée aux enjeux mis en exergue lors de différents ateliers entre l’éditeur, l’intégrateur et le client. Dans un projet de remplacement d’une solution existante, qu’il s’agisse d’un développement interne ou d’un produit déployé d’un autre éditeur, l’objectif principal est d’apporter de la valeur. Pour ce faire, il est indispensable d’avoir une connaissance fine de l’existant et d’exploiter l’ensemble des fonctionnalités de la nouvelle solution. La reconception passe par différents ateliers de cadrage et réajustement.Les pièges à éviterLes pièges à éviter sont multiples et variés, explorons-les ensemble :La mise en place d’un projet d’IGA représente une transformation majeure qui va impacter votre organisation pour plusieurs raisons.Tout d’abord un projet comme celui-ci n’a pas de durée type de mise en œuvre ; en fonction du contexte et du périmètre , le projet peut être plus ou moins long.2 écueils sont à éviter :Le biais d’optimisme qui consiste, en phase d’avant-projet, d’une part à surestimer la valeur perçue du produit et la rapidité d’exécution du projet et d’autre part à sous-estimer les risques et le coût. Ce biais s’auto-corrige par la connaissance de celui-ci.L’effet tunnel, défini comme l’écart entre le besoin exprimé en début de projet et la réponse au besoin en fin de projet est la résultante d’un manque de communication et/ou compréhension considérable entre les parties prenantes.Pour éviter ces 2 écueils, nous allons à présent détailler des bonnes pratiques pour réussir un projet d’IGA.Les 5 facteurs clés de succès d’un projet d’IGATout d’abord, la conduite du changement est essentielle, que ce soit au niveau des différentes équipes mais également au niveau des données. Au niveau des équipes, la mise en œuvre d’un projet d’IGA n’est pas qu’un sujet IT, il concerne l’ensemble des collaborateurs qu’il faut informer des nouvelles pratiques à mettre en œuvre, former, et impliquer dans le changement.Il en est de même dans un contexte « multisites » où il est primordial d’intégrer les différentes entités au projet et aux nouvelles pratiques. La connaissance du produit et de ses fonctionnalités doit se faire en amont et au fil de l’eau au fur et à mesure de l’avancée du projet.Les équipes RH sont fortement exposées à ces changements, elles doivent être partie prenante dans le changement et comprendre son intérêt.En effet, la nature d’un projet de gestion des identités passe par l’automatisation des actions qui se base sur un référentiel amont de règles de gestion et d’éléments définis au niveau de l’IT. Ceci induit un transfert d’une partie de la charge d’administration du service informatique vers le service RH.Au niveau des données, beaucoup de changements sont à prendre en considération notamment sur les nouvelles modélisations des habilitations. Dans le cadre de la mise en place d’une solution de bout en bout, le modèle d’habilitation n’est pas construit alors que dans le cadre d’un remplacement de solution, il s’agit d’une re-modélisation / re-conception avec des changements en termes de référentiel de données, nettoyage de données, etc. Ceci passe également par une amélioration des processus d’arrivées et départs, des mouvements de personnes lors du passage d’un service à un autre (principe de biseau lors d’une mutation d’un service à un autre) et des interactions avec le pôle SI.Parallèlement à cela, il est essentiel de prendre en considération la gestion du périmètre du projet. En effet, si une solution d’IGA reste une solution ouverte, c’est-à-dire que des éléments peuvent être modifiés tout au long de la vie du produit, certains éléments vont être difficiles à changer en cours de projet, notamment sur les cas d’usages. Certains changements peuvent avoir pour conséquence une reconception nécessaire de la solution pour avoir une solution optimisée.Pour cela, il est nécessaire de définir le périmètre en tout début de projet en détaillant la population cible (services, départements, divisions cibles), l’environnement SI considéré, les processus et circuits de validation en termes d’arrivée et départ de personnes, etc., ce périmètre étant ajustable lors des ateliers de cadrage. Dès lors que nous sommes sur un périmètre bien suivi, nous sommes sur un niveau de contrôle du projet qui est satisfaisant.Attention tout de même à ne pas avoir trop de changements en cours de projet, cela signifierait que les besoins ne sont pas correctement qualifiés.Enfin, il est essentiel d’avoir des données fiables et de qualité car ce sont ces données qui seront intégrées dans la solution d’IGA et dans les référentiels cibles. Ainsi, avant de démarrer l’implémentation il faut :Identifier quelles seront les sources autoritaires en vérifiant leur disponibilité et l’unicité des sources autoritaires pour une même donnée.Identifier quels seront les premiers référentiels cibles à provisionner et s’assurer de la disponibilité de leurs interfaces.Quelle approche projet adopter pour un projet d’IGA ?Maintenant que nous avons mis en exergue les écueils à éviter et les bonnes pratiques pour mener à bien votre projet de gestion des identités, nous proposons une approche projet tout en prenant en compte différents facteurs clés de succès : Le premier point essentiel est d’avoir une approche projet par lots successifs autrement dit « incrémentale » tout en évitant l’effet tunnel, vu précédemment. L’objectif est de délivrer de la valeur rapidement en mettant en place un premier socle de base avec par exemple l’alimentation de l’AD et une application métier tout en prenant en compte vos contraintes. Par la suite nous allons pouvoir intégrer des incréments pour ajouter des items qui peuvent être des connecteurs, des règles ou des workflows supplémentaires. L’intérêt ici est de faciliter la conduite du changement avec un impact positif sur les équipes grâce à la rapidité de mise en œuvre du projet. En effet, plus le projet est court, plus les équipes sont impliquées et satisfaites de l’apport de valeur ajoutée rapide. Parallèlement à cela, nous allons veiller à impliquer les équipes RH dans le projet pour assurer la qualité des données. Les équipes vont être intégrées dans les ateliers d’alimentation amont pour étudier les contraintes spécifiques entre les pôles IT et RH. Ces ateliers doivent mettre en lumière des accords gagnants-gagnants puisque chacun de ces pôles tirent de la valeur dans l’aboutissement du projet. Enfin, pour permettre une bonne gestion du périmètre il est indispensable d’avoir une bonne gestion du changement pour assurer la réussite du projet. Pour ce faire :Nous allons commencer par une phase d’études et spécifications c’est à dire une étude détaillée du périmètre avec rédaction des spécificationsPuis ce sera l’intégration / mise en production tout en gardant la possibilité d’adresser des demandes de changement. Nous détaillerons les différents impacts des changements demandés, que ce soit en matière de planning, charge, périmètre ou budget.En d’autres termes, la mise en place d’un projet tel que celui-ci est plutôt perçu comme l’élaboration d’un « programme » comportant différents projets successifs de manière incrémentale tout en gardant une maîtrise complète des périmètres.Quelle méthodologie dans le déploiement de Systancia Identity ?Après avoir détaillé les différents facteurs clés de succès dans l’élaboration d’un projet de gestion des identités, voici à présent la méthodologie qui sera utilisée pour le déploiement de notre solution Systancia Identity :Atelier de cadrageRestitution du plan projet : validation de l’adéquation entre le besoin exprimé et la réponse produit/projet. Analyse et résolution des écarts avec les équipes de consultants.Intégration du périmètre selon les éléments définis et validés lors du cadrage projet.Points réguliers sur l’avancementA chaque étape nous proposons différents ateliers de cadrage, visant à valider les éléments fonctionnels puis techniques :Revue de l’existant : atelier IT et RH où la gestion des arrivées et départs des collaborateurs sera revueAlimentation amont : les données d’alimentation amont vont-elles être manuelles ou automatiques ? Quels connecteurs seront utilisés ? Comment gérer les homonymes et identités multiples ?Workflows et rapports : nous pouvons créer de nombreuses notifications à condition de déterminer un élément de « temps ». Ces notifications prennent la forme d’un workflow qui sera envoyé à la personne souhaitée (IT, RH, responsable, etc..) Ce principe de notifications est également exploitable pour prévenir du départ imminent et de la fin de contrat d’un collaborateur que vous supervisez. Les rapports quant à eux vont permettre de savoir qui s’est connecté au SI, qui détient quel droit mais aussi la plage d’affectation des droits. Les rapports sont natifs dans la solution mais nous pouvons également nous adapter aux contraintes spécifiques du client.Connecteurs de provisioning : déterminer le type de politique de mot de passe lié au cycle de vie tout en privilégiant les règles de gestion dans un premier temps puis les attributs techniques dans un second temps.Atelier technique sur les attributsLa mise en place d’un projet d’IGA induit une réelle transformation de votre organisation mais reste un projet indispensable pour une gestion des identités et habilitations sécurisée. La réussite d’un projet d’IGA nécessite une implication forte des équipes RH et des différentes parties prenantes qui doivent impérativement être informées, intégrées et formées afin de comprendre l’impact et la valeur apportée par un tel projet.Systancia, et ses partenaires intégrateurs, vous proposent une approche projet simple et efficace tout en gardant pour objectif de délivrer de la valeur ajoutée le plus rapidement possible. Systancia intègre différents ateliers de cadrage tout au long du projet pour valider, réajuster, modifier, vos contraintes et enjeux.
Pourquoi la gestion des identités est un levier indispensable à la mise en œuvre d’une politique Zero Trust IGA
Blog Comment mettre en œuvre simplement la PGSSI-S pour les responsables de SI et les utilisateurs ? Quel calendrier pour le Référentiel d’identification électronique?