Une proposition de modèle de maturité pour l’analyse et la gouvernance des identités : Assimilation des données
« Caminante, no hay camino. Se hace camino al andar. »
Toi qui marches, il n’existe pas de chemin. Le chemin se construit petit à petit.
La gouvernance des identités peut sembler impossible au départ. C’est un peu comme retrouver toutes ses chaussettes à la sortie du lave-linge ou acheter une brosse à toilettes chez Amazon ou, comme je l’ai décrit dans mon précédent billet, se repérer dans une nouvelle ville.
En regardant la carte du métro de Madrid, j’ai été rapidement submergé par le blizzard de points qui représentaient des arrêts dans toute la ville. Le métro de Madrid est l’un des plus grands réseaux de transport public au monde et présente aux voyageurs un défi similaire à celui des entreprises désireuses de mettre en œuvre une gouvernance des identités : assimiler de grandes quantités de données. Dans les deux cas, il s’agit de se poser les bonnes questions et de découvrir l’environnement avant de pouvoir avancer.
Se poser les bonnes questions
Dans cette première station de Madrid, les questions auxquelles je devais répondre ont pris le pas sur mes pensées. Même si elles étaient basiques (par exemple, « où suis-je ? »), elles m’ont permis d’atteindre mon objectif et d’éviter d’être submergé par le volume de données disponibles. Les phases initiales de la gouvernance des identités sont les mêmes. Dans cette première phase de maturité, les entreprises doivent continuellement se poser les questions suivantes : « Quelles sont les identités existantes ? » « Quelles applications existantes doivent être sécurisées ? » Ces questions permettront d’axer l’enquête sur ce qui importe vraiment à l’entreprise : comment un programme solide de gouvernance des identités permettra d’améliorer la sécurité ?
Découvrir les répertoires d’identités clés
En gardant à l’esprit les bonnes questions à se poser, la découverte est l’activité clé de cette étape. À Madrid, cela signifiait observer, noter les stations existantes et comment elles sont regroupées. La phase initiale est similaire en matière de gouvernance des identités : il s’agira de déterminer les identités existantes et où elles se concentrent. Ces concentrations ou « dépôts d’identités » sont essentiels pour comprendre la manière dont l’entreprise utilise les identités. L’ordre et le regroupement de ces dépôts sont logiquement l’étape suivante.
Les répertoires d’identités les plus importants sont généralement administrées par le département des ressources humaines et sont considérés comme « faisant autorité », ce qui signifie simplement que toute personne physique connue de l’entreprise existe dans ce répertoire. Il s’agit, le plus souvent, d’une application spécifique aux RH (Workday, Peoplesoft, etc.) qui constitue la base de la mise en place d’une gouvernance des identités. Ces identités doivent être importées dans la solution de gouvernance des identités lors du premier cycle d’acquisition des données et constitueront la base du fondement de l’identité de chaque personne physique.
Cartographier l’environnement
Une fois que les principaux dépôts d’identités faisant autorité sont connus, il faut se concentrer sur la découverte de l’environnement global. Vérifiez s’il existe des dépôts secondaires tels qu’un répertoire d’utilisateurs qui est utilisé par des groupes particuliers au sein de l’entreprise comme source d’identité (il s’agit souvent d’un domaine Active Directory) Notez les applications existantes et commencez à les classer par ordre hiérarchique. Cette structure organisationnelle peut se baser sur la taille et la sensibilité relative des données, de l’emplacement géographique de l’application ou sur une combinaison de facteurs. N’oubliez pas qu’il s’agit d’une phase consistant à trier, à découvrir ce qui existe actuellement et à identifier quels identités et accès devront être sécurisés au fur et à mesure de l’avancement du programme.
Cette première phase du modèle de maturité pour gouvernance des identités (MMIG – Maturity Model for Identity Governance) peut être définie comme suit :
- Le contexte des données
- L’établissement des identités de base
- L’identification des répertoires d’identités secondaires
- La hiérarchisation des applications
- Le contexte de l’entreprise :
- visibilité dans l’environnement
- Les objectifs :
- Cataloguer les identités et les applications
- Établir une visibilité dans l’environnement
- Questions posées :
- « Quelles sont les identités existantes ? »
- « Quelles applications existantes doivent être sécurisées ? »
La mise en œuvre de la gouvernance et de l’analyse des identités sont un peu comme se repérer dans une ville étrangère : ce n’est pas aussi difficile qu’il n’y paraît à première vue. Les entreprises doivent seulement se poser les bonnes questions et analyser rapidement l’environnement pour établir les bases de leur réussite et ouvrir la voie à une vision mature des identités, contribuant ainsi à sécuriser les données et les informations sensibles.
Et quant aux autres problèmes « insolubles » concernant les paires de chaussettes et les brosses à toilettes ? Les chaussettes assorties sont surfaites ; achetez celle-ci !