Promouvoir son projet IAM auprès des sponsors et des membres de la direction
Aujourd’hui, le sujet de l’IAM et les solutions proposées sur le marché sont matures. Malheureusement, comme les équipes IT le voient encore trop souvent, certains projets n’atteignent pas leurs objectifs initiaux ou sont avortés avant même d’avoir commencé. Plusieurs raisons peuvent expliquer que ces projets échouent : un manque de vision à long terme, un mauvais outillage, un manque de budget et/ou de ressources expertes en interne. Mais de notre expérience, la raison principale c’est le manque d’adhésion de la part de parties prenantes et notamment du top management.
La mise en place d’un projet IAM implique beaucoup de ressources différentes sur le long terme et nous l’avons observé, dès que la direction soutient le projet, les ressources sont débloquées. D’une part les ressources budgétaires bien sûr, mais ce qui fait la différence c’est de réussir à fédérer les équipes autour d’un même projet : les achats, les architectes, les responsables d’applications, l’ensemble des managers et des assistantes de l’entreprise…
Même si le déploiement d’une solution aboutit assez rapidement après son lancement, un projet IAM n’est jamais réellement terminé car l’entreprise est un écosystème mouvant. Il y aura toujours de nouvelles applications à intégrer, des réorganisations ou des fusions-acquisitions à prendre en compte.
La communication autour du projet doit être faite en permanence pour maintenir la mobilisation de l’ensemble des équipes : c’est la clé d’une réussite durable.
La stratégie de communication que nous avons mise en place pour promouvoir le projet nous a permis d’atteindre les objectifs fixés lorsque nous avons choisi de travailler avec Identity Security Cloud de SailPoint. Mais avant de vous détailler les processus mis en place, voici les trois étapes clés qui nous ont permis de promouvoir le projet IAM au sein d’Abeille Assurance et de conserver l’écoute et le soutien du top management.
Faire rêver pour convaincre
C’est sûrement la partie la plus compliquée. Il s’agit de présenter une vision claire et ambitieuse aux directeurs. Montrer notamment en quoi les outils du marché peuvent permettre d’atteindre le niveau de maturité souhaité au sein de l’entreprise.
Expliquer que le chemin est long
Les sujets sont complexes, impliquent beaucoup de ressources aussi bien humaines que financières. Il faut donc détailler ce chemin, et c’est ce que nous avons fait sous forme de piliers majeurs.
Valoriser les gains inattendus
Certains ne sont pas évidents au premier abord : ce sont les économies budgétaires qu’implique la mise en place d’un projet IAM. Car en effet, le succès du projet peut se mesurer en termes de gains financiers, ROI, et de support.
Trouver le bon angle pour vendre son projet en interne
Un projet IAM est souvent porté par l’équipe IT et cybersécurité qui met en avant l’aspect sécurité. Force est de constater que ce n’est pas toujours le meilleur angle de communication pour embarquer tout le monde car la cybersécurité est perçue comme un ajout de contraintes et donc un frein à l’activité de l’entreprise. Nous avons donc fait le choix de communiquer à la fois sur l’aspect expérience utilisateur et sur l’aspect sécurité sans mettre l’un plus en avant que l’autre. Et l’un des premiers chantiers que nous avons mis en avant auprès de la direction concernait les processus JML, soit les processus d’entrées et de sorties des collaborateurs.
Pourquoi l’angle de l’expérience utilisateur ?
Pour comprendre pourquoi l’expérience utilisateur était le bon choix pour fédérer autour du projet, il faut recontextualiser la situation dans laquelle se trouvait Abeille Assurance avant son lancement. Historiquement, l’arrivée d’un nouveau collaborateur impliquait d’une part la mobilisation de nombreux acteurs qui devaient effectuer des actions manuelles, la complétion de multiples formulaires et l’ouverture de plusieurs tickets IT. Et d’autre part, les processus de récupération des droits pouvaient prendre jusqu’à 10 jours après l’arrivée du collaborateur. Soit un vrai frein opérationnel pour l’entreprise entrainant des pratiques de sécurité parfois discutables pour permettre aux nouveaux collaborateurs d’avoir les accès plus rapidement et donc d’être opérationnels plus vite que le processus de on boarding ne le permettait.
Dans ce contexte, cibler les processus JML et communiquer sur l’expérience utilisateur auprès des décideurs prend tout son sens.
Un nouveau process de on boarding pour faire rêver les décideurs
Pour que la mise en place du projet IAM se passe dans les meilleures conditions nous avons effectué un travail préalable avec les RH d’identification des populations à partir des données du SIRH : manager, manager avec assistante (VIP), employés, prestataires… et de création de templates de notifications renvoyant vers différents documents de l’Intranet.
Dès lors, nous avons établi un nouveau processus de on boarding des collaborateurs en trois étapes. Le SIRH déverse les informations automatiquement dans l’IAM et la partie provisionning est automatisée également dans les applicatifs.
Chronologie | Actions |
|---|---|
J-10 – J-0 | Les RH procèdent à une saisie manuelle dans le SIRH à J-30 de l’arrivée du nouveau collaborateur. Le connecteur que nous avons mis en place entre notre solution de SIRH et Identity Security Cloud vient y déverser les identités automatiquement :
|
J-30 – J-10 | Parallèlement, le manager reçoit une notification l’informant de l’arrivée du nouveau collaborateur dans son équipe. Le template de cette notification contient les informations contractuelles précitées et une liste d’actions manuelles qu’il pourrait être amené à faire avec des liens cliquables pour lui faciliter les choses. Mais aucune demande ne lui est adressée. |
J-10 | Le manager, et son assistante le cas échéant, reçoivent une nouvelle notification rappelant l’arrivée du collaborateur. |
J-10 – J-0 | Préparation des accès physiques et IT. Alimentation par le système IAG des systèmes IT
|
J-0 | 3h du matin : Activation de l’ensemble des accès incluant les droits de base (boite de services, les Nas, les SharePoint, et les licences en fonction des profils des collaborateurs ou prestataires). A ce stade le collaborateur a 80 % de ses droits et ses rôles automatisés. |
NB | S’il reste quelques actions manuelles, la grande majorité des actions est automatisée afin d’assurer un on boarding fluide. Cela se fait grâce notamment à la création de « rôles métiers ». Ce sont des packages de droits applicatifs associés soit à un poste, soit à une équipe ou à une organisation. Cela se fait sans aucune demande manuelle et permet au collaborateur d’être opérationnel dès son premier jour chez Abeille Assurance. Pour aller au bout de la démarche, nous avons utilisé le projet IAG comme un vecteur pour l’on boarding et améliorer l’expérience d’intégration pour les nouveaux collaborateurs. |
J-0 à J-5 | L’IAG envoie chaque jour des notifications RH au nouveau collaborateur pour lui partager des documents et lui faire découvrir l’entreprise petit à petit. |
A travers le module « Centre de requête » qui recense une centaine d’applications et l’ensemble des profils d’accès, le collaborateur pourra avoir accès à des droits applicatifs ou des rôles métiers complémentaires directement en self-service. Nous avons adapté le niveau de sécurité des workflows de validation de manière assez fine au niveau des droits applicatifs pour ne pas faire de la sur-sécurité. Cela nous permet de travailler avec des workflows de validation les plus adaptés possibles en fonction des profils utilisateurs. Nous évitons ainsi d’alourdir les processes, les métiers restent engagés dans la démarche et nous conservons une adoption maximale de l’outil.
A noter également, la partie « droits complémentaires » est complètement automatisée. Pour chaque demande de droit, Identity Security Cloud réalise le workflow. Le service IT a une visibilité dans l’interface Web pour connaître le statut du processus de demande. Dès qu’il est finalisé, les connecteurs entre la solution d’IAG et notre système IT fait automatiquement le provisionning dans les applicatifs. Cela se fait en passant par des connecteurs AD, sur des bases de données voire sur des applications SaaS en passant par les APIs.
L’accompagnement des utilisateurs était également un point important sur lequel nous avons insisté en présentant le projet aux directeurs. Après les demandes de droits à une application, grâce à la solution, le demandeur reçoit le lien vers l’application, la documentation utilisateur le cas échéant et éventuellement une boite de service à contacter en cas de besoin. La démarche est bien accueillie et les App owners ont désormais le réflexe de contacter le service IT pour on boarder leur application dans Identity Security Cloud.
Après le rêve, le chemin à réaliser
Il s’agit ici de déployer l’IAG. Ce processus prend de 1 à 6 mois en fonction des outils déjà en place dans l’entreprise. Dans le cas d’Abeille Assurance nous sommes partis de zéro. Voici les quatre piliers à prendre en compte.
Premier pilier - Déployer son IAG : Mettre en place l’infrastructure et les processus JML, RH...
L’infrastructure a été mise en place assez rapidement car nous avons opté pour une solution SaaS avec 6 machines. Pour la partie notification, nous nous sommes basés sur un moteur de workflow en no-code.
Deuxième pilier – Déployer des connecteurs
Interfacer l’ensemble des référentiels d’identité et applications à son IAG. Nous avions beaucoup d’applications non raccordées à notre Active Directory. L’une des grosses contraintes a donc été de gérer les systèmes legacy, assez compliqués à interconnecter. C’est un travail du quotidien en partenariat avec les System Owners qu’il faut fédérer autour du projet d’automatisation, notamment sur les aspects de développement et de recettes. La bibliothèque de connecteurs proposée par SailPoint nous a permis d’intégrer toutes les application SaaS dans l’IAG assez simplement. Pour les autres applications, nous avons choisi différents connecteurs (API, SOC, …) pour les intégrer.
Troisième pilier – Construire le catalogue de droits
Pour faire les demandes d’habilitation, il faut un proposer aux utilisateurs un catalogue dans le centre de requête. Nous devons donc y recenser l’ensemble des droits applicatifs avec des libellés clairs (nom de droits et descriptions explicites, facilement compréhensibles par les utilisateurs finaux). Cela implique un dialogue entre l’équipe IAM, le business et les responsables d’applications.
En fonction de l’application et des droits, il faut aussi paramétrer des workflows de validation adaptés. Les validations sont parfois faites par une seule personne, mais parfois par un groupe.
Pour chaque application, le temps nécessaire à son intégration au catalogue peut varier de 1 à 5 jours en fonction de la mobilisation des ressources.
Quatrième pilier – Définir des rôles métiers
Les rôles métiers sont au cœur du système. Il faut donc commencer à s’occuper de ce pilier dès le début du projet. Cela implique de rencontrer les équipes opérationnelles pour réaliser les packages de droits. Chez Abeille Assurance, il y a environ 450 managers qu’il a fallu et qu’il faut mobiliser autour du projet. D’une part, pour leur expliquer la démarche et d’autre part, pour qu’ils expliquent à l’IT comment fonctionne leur équipe et les droits à affecter aux différents types de profils. Grâce à SailPoint et aux connecteurs mis en place, l’IT a une visibilité à l’instant T des droits des utilisateurs. L’équipe peut donc s’appuyer sur ces informations ainsi que sur la fonctionnalité de Role Mining par IA de Identity Security Cloud pour commencer à détecter des premiers rôles métiers en observant les droits communs à certaines populations. L’objectif étant que les rôles métiers s’affectent automatique, une réalité particulièrement appréciée par les managers.
En fonction de la disponibilité des ressources et des besoins de droits applicatifs, le temps nécessaire pour la création d’un rôle métier varie entre 1 et 10 jours.
Les gains et les économies
Les économies se retrouvent sur trois aspects outre les gains de sécurité évidents.
Tout d’abord sur les licences. Avec l’IAM et le lancement de recertifications sur ces applications qui n’en avaient jamais fait l’objet, l’équipe IT a pu supprimer plusieurs dizaines de licences liées à des comptes dormants, notamment avec des accès prestataires inactifs. Dès le début de l’utilisation, cela à parmi plusieurs dizaines de milliers d’euros d’économies.
Ensuite, il y a les ressources. L’automatisation a permis d’économiser jusqu’à 1,5 ETP (équivalent temps plein) pour une valeur de 100K euros avec un seul connecteur à l’Active Directory.
Et enfin, les incidents. Historiquement, les utilisateurs devaient faire faire à de nombreux irritants lors des habilitations. L’équipe de l’helpdesk étaient sollicités très régulièrement pour ce type de problème. La mise en place du projet a permis de réduire de 10 % le nombre de tickets, représentant des gains financiers indirects et des économies de support.
Abeille Assurances est un acteur majeur de l'assurance en France et s'appuie sur 170 ans d’expérience, une équipe de 4 200 collaborateurs, 1 000 agents généraux d'assurance et 1600 courtiers répartis sur tout le territoire. Marque du Groupe Aéma depuis 2021, la compagnie propose une vaste gamme de produits et services couvrant l'assurance, la protection, l'épargne et la retraite, au profit de plus de 3,1 millions de clients.
En savoir plus