White Paper
Établir une analyse de rentabilité de la sécurité des identités
Qu'est-ce qui poussent les entreprises à adopter des programmes d'identité de nos jours ?
Les programmes de sécurité des identités sont principalement motivés par des défis qui touchent trois domaines : la conformité, l'efficacité opérationnelle et la productivité des utilisateurs. Ainsi, pour établir une analyse de rentabilité de la sécurité des identités, il faut commencer par démontrer en quoi la gestion des identités permet de relever efficacement ces défis et justifier ensuite le coût en fonction des avantages opérationnels escomptés. L'amélioration de la sécurité peut également être un moteur important du programme, c'est pourquoi cette question devrait être soulevée dans toute analyse de rentabilité de la sécurité des identités. Toutefois, les avantages financiers d'un tel programme, bien qu'il réduise nettement les risques, sont généralement plus difficiles à quantifier. La section ci-dessous décrit quelques défis courants qui poussent les entreprises à adopter des programmes d'identité.
Répondre aux exigences d'audit et de conformité
Les entreprises continuent à œuvrer pour améliorer leur conformité globale aux règlementations qui régissent la confidentialité et la sécurité des données, tout en contrôlant le coût qu'engendre cette conformité. Mais à l'ère où les règlementations se multiplient et où émergent de tendances telles que le travail hybride, le télétravail, le modèle de sécurité Zero Trust, les initiatives BYOD (« apportez votre propre matériel ») et la transformation numérique, il devient de plus en plus difficile de gérer les opérations et de maintenir de grands volumes de données. Les programmes de sécurité des identités sont conçus pour offrir une visibilité de bout en bout et pour automatiser les contrôles dans les systèmes et applications de l'entreprise. Ils permettent d'établir plus facilement et à moindre coût un modèle d'état souhaité pour la conformité, d'appliquer la conformité au modèle créé et de démontrer l'efficacité des contrôles internes. Grâce au recours stratégique à des contrôles automatisés des identités, tels que l'application des politiques et les modèles d'accès basés sur les rôles, les certifications d'accès en continu sont aujourd'hui plus efficaces et moins consommatrices de ressources.
Réduire les coûts d'exploitation du service informatique et du service d'assistance
Lorsqu'il s'agit d'ajouter, de modifier et de supprimer les privilèges d'accès des utilisateurs, de nombreuses entreprises ont encore recours à des processus manuels fragmentés. Résultat ? Une exécution inefficace, sujette aux erreurs et coûteuse des demandes d'accès, des réinitialisations de mots de passe et autres modifications d'accès, sans compter la lourde charge qui pèse sur le service informatique et le service d'assistance. L'automatisation de ces processus permet aux entreprises de réduire le nombre de demandes provenant des utilisateurs professionnels, le nombre d'approbations nécessaires pour octroyer l'accès et le nombre d'appels au service d'assistance.
Rationaliser l'octroi des accès à l'entreprise
Compte tenu de l'environnement rapide et dynamique dans lequel évoluent les entreprises modernes, les services informatiques sont mis au défi de répondre aux demandes de gestion des identités, et de le faire dans le respect des règles. Les utilisateurs professionnels ne peuvent pas se permettre d'attendre des jours ou des semaines pour avoir accès aux systèmes nécessaires à l'accomplissement de leurs tâches. La bonne solution de sécurité des identités, celle qui intègre l'IA et le Machine Learning en son cœur, peut rationaliser l'octroi des accès utilisateurs et réduire considérablement le délai de mise en œuvre des modifications d'accès, tout en continuant à faire appliquer les règles de gouvernance et les politiques de conformité. Elle peut également donner aux utilisateurs professionnels les moyens de prendre activement part aux processus liés aux identités, en leur permettant de gérer leurs propres accès et mots de passe.
Garantir la sécurité et réduire les risques
Les risques de sécurité sont une réalité quotidienne qui n'épargne aucune entreprise et qui impose de mettre en place des contrôles pour se protéger contre les menaces internes et externes. Malheureusement, la sécurité est un problème qui ne cesse de prendre de l'ampleur. Selon un rapport de Risk Based Security, 4 145 violations de données ont eu lieu en 2021, exposant plus de 22 milliards d'enregistrements. L'implémentation d'une solution de sécurité des identités en mesure de repérer les utilisateurs à risque et les accès aberrants peut jouer un rôle majeur dans le renforcement de la sécurité. Elle peut en effet permettre à votre entreprise de détecter les vulnérabilités afin d'y remédier, par exemple : les utilisateurs ayant des privilèges d'accès excessifs ou inappropriés, les employés ayant quittant l'entreprise, mais qui continuent d'avoir des privilèges d'accès, les violations des politiques telles que la séparation des tâches (SoD) et les comptes d'utilisateurs privilégiés mal gérés.
Une approche progressive pour élaborer votre analyse de rentabilité
À une époque où les budgets dédiés aux services informatiques restent serrés, il est essentiel d'établir une analyse de rentabilité rigoureuse pour débloquer des fonds destinés aux programmes d'identité. En suivant le processus en quatre étapes ci-dessous, il est possible de justifier les dépenses en fonction de la valeur du programme pour l'entreprise.
- Quel(s) problème(s) le programme va-t-il résoudre ?
- Quels sont les services les plus urgents concernés ?
- En quoi cela apportera-t-il de la valeur à l'entreprise ?
- Quels sont les coûts liés à la conformité des identités ?
- En termes d'identité, quels sont les coûts générés par notre service d'assistance ?
- Combien de temps prend le « provisioning »
- des nouveaux utilisateurs ?
- Où sont les goulets d'étranglement ?
- Quelles sont nos lacunes en matière d'audit ?
Fixer des objectifs
- Quelles améliorations en résulteront ?
- Des gains de temps ?
- Des économies de main-d'œuvre ?
- Moins de risques ?
Créer un modèle financier
- Quelles économies d'argent et de temps peuvent être attendues du programme ?
- Quel sera le coût d'achat, de mise en œuvre et de prise en charge du programme ?
- Pour quel résultat net ?
Étape 1 : évaluer les besoins
L'analyse de rentabilité de tout programme d'identité envisagé commence toujours par une question fondamentale : Quelle est sa raison d'être ? Ou, plus précisément, quels problèmes opérationnels comptez-vous résoudre avec la sécurité des identités, et comment un tel programme apportera-t-il de la valeur ajoutée à l'entreprise ? La première étape de l'analyse de rentabilité consiste donc à évaluer les besoins internes afin d'identifier et de hiérarchiser les défis susceptibles de produire le plus de valeur. En repensant à la section précédente, examinez les défis décrits dans les domaines de la conformité, des opérations informatiques, de la productivité des utilisateurs et de la sécurité. Quels défis l'entreprise doit-elle relever dans ces domaines ? Quels sont les défis les plus urgents ? Quels défis sont les plus susceptibles de faire progresser l'entreprise ou au contraire, s'ils ne sont pas pris en compte, d'exposer l'entreprise à davantage de risques ? Il est important d'être extrêmement précis sur le défi ou le domaine à traiter.
Voici quelques questions que vous pouvez vous poser lors de l'évaluation des besoins de votre entreprise :
- Conformité : combien la mise en conformité coûte-t-elle à votre entreprise aujourd'hui ? Dans quelle mesure votre programme de conformité est-il efficace ? Avez-vous échoué à un audit ? Quels sont les contrôles spécifiques que les auditeurs n'ont pas pu valider ? Ont-ils inclus des commentaires ou des recommandations qui vous seraient utiles pour prévenir de futurs problèmes ?
- Opérations informatiques : le service d'assistance est-il inondé de demandes de service ? Pouvez-vous documenter exactement les problèmes qui sont à l'origine de cette surcharge de travail ? S'agit-il de demandes de modification d'accès ou de réinitialisation de mots de passe ?
- Productivité des utilisateurs : les nouveaux utilisateurs restent-ils inactifs en attendant d'obtenir l'accès dont ils ont besoin pour travailler ? Les employés perdent-ils du temps à parcourir différents processus de connexion pour plusieurs applications ? Les utilisateurs n'ont-ils plus accès aux systèmes en attendant que le service d'assistance leur vienne en aide ?
- Sécurité : le conseil d'administration de l'entreprise vous demande-t-il de renforcer la sécurité ? Le problème relève-t-il d'une crainte de menaces extérieures suscitée par des articles de presse de différentes sources ? Y a-t-il des indications d'un risque réel de menaces d'initiés, par exemple une immense population de super utilisateurs ou des comptes orphelins ? Certains de vos utilisateurs bénéficient-il de privilèges excessifs ?
En général, les éléments déclencheurs de l'action sont bien connus : les obligations de conformité, la réduction des coûts, les investissements technologiques visant à améliorer la productivité, la prévention des risques et le renforcement de l'efficacité. Toutefois, il est essentiel d'identifier les éléments spécifiques à votre entreprise pour jeter les bases d'une analyse de rentabilité solide. Les autres étapes du processus s'appuient toutes sur l'évaluation des besoins qui est réalisée au tout début.
Étape 2 : établir des bases de référence
Pour établir une base de référence, vous devez analyser ce qui fonctionne et ce qui ne fonctionne pas dans votre environnement actuel. Par exemple, si l'octroi des accès pose problème, quels sont les processus liés aux identités actuellement utilisés ? À quelle fréquence les utilisateurs demandent-ils l'accès ? Existe-t-il un formulaire qu'ils remplissent et soumettent au service d'assistance ? Le service d'assistance prend-il le relais à partir de là ? Comment ? La création d'une carte, qui documente de manière exhaustive toutes les parties du processus (en identifiant les parties réalisées manuellement, les parties automatisées, le temps qu'elles nécessitent, etc.), permettra en fin de compte de comprendre comment le travail est effectué et les coûts y afférents.
Pour établir une base de référence utile, il est essentiel de comprendre quels sont les acteurs impliqués dans le processus. Il est facile de sous-estimer le nombre de personnes qui sont touchées par un processus et il est également facile de ne pas voir comment elles sont affectées. Il est important d'identifier tous les participants clés - de l'équipe des opérations informatiques au personnel du service d'assistance, en passant par les utilisateurs professionnels. Et il est tout aussi utile de comprendre leur rôle et la façon dont ils considèrent leur participation dans le processus. Il est également essentiel de documenter leurs avis et leurs problèmes, car leur point de vue collectif peut jouer un rôle déterminant dans l'obtention du financement d'un programme.
Une fois que vos processus et participants sont documentés, ces informations peuvent être utilisées pour calculer le coût de l'approche actuelle. Et si les coûts fixes sont susceptibles d'avoir un plus grand effet sur le modèle financier, les coûts variables peuvent avoir une résonance encore plus forte auprès d'un public professionnel. La difficulté et la frustration que les participants ressentent à la suite de l'échec des processus peuvent être difficiles à quantifier en termes financiers, mais elles peuvent aider à présenter une solide analyse de rentabilité aux participants qui sont en mesure d'influencer le financement.
En ce sens, les deux étapes suivantes s'appuient sur les deux premières, car elles reposent sur la connaissance de la situation actuelle : les capacités, les processus, les participants et les coûts existants. Ce n'est qu'en connaissant ces caractéristiques qu'il est possible de fixer des objectifs pour votre programme d'identité à venir.
Étape 3 : fixer des objectifs
Pour une analyse de rentabilité convaincante, il faut préciser comment atteindre les vrais objectifs de l'entreprise. Cela peut sembler évident, mais il est facile de s'enliser dans des termes techniques et de perdre de vue les avantages opérationnels qui sont susceptibles de motiver les décideurs à financer un programme. Les personnes qui prennent les décisions de financement sont généralement axées sur les affaires plutôt que sur la technologie. Ces personnes veulent connaître les buts spécifiques et les objectifs mesurables, ce qu'ils représentent pour les utilisateurs professionnels et les processus opérationnels, ainsi que leur impact sur le niveau général de risque de l'entreprise.
Ainsi, si le choix d'une solution technologique en particulier peut se faire en fonction de son architecture ou d'un autre aspect technique, les décisions au niveau de l'analyse de rentabilité sont prises en fonction du type de solution que l'entreprise acquiert, de son coût et de sa valeur commerciale finale.
Il faut également retenir que les objectifs fixés doivent être clairement mesurables. Si, par exemple, vous avez prévu de faire économiser à l'entreprise 10 millions d'euros pour les cinq prochaines années, vous devez pouvoir montrer de quelle façon vous allez associer des mesures spécifiques à cet objectif. De même, si vous avez prévu de réduire les appels au service d'assistance en ce qui concerne les demandes d'accès ou les réinitialisations de mots de passe, vous devez être en mesure de montrer de quelle façon vous allez mesurer cette réduction. Si vous ne pouvez pas mesurer cet objectif, car vous n'avez pas de visibilité sur des informations pertinentes, il vaut alors mieux ne pas l'inclure dans l'analyse de rentabilité.
Le dernier point à retenir, lorsqu'il s'agit de fixer les objectifs, est d'être réaliste, c'est-à-dire commencer par de petites étapes et progresser graduellement au fil du temps. Cela permet à l'équipe de gagner en crédibilité en ne surestimant pas les bénéfices escomptés. Par exemple, un programme peut être décomposé en plusieurs phases, plutôt que d'être entrepris en une seule fois. Les résultats de la première phase peuvent être utilisés pour documenter et valider les hypothèses qui ont motivé le programme au départ, en montrant que les bénéfices prévus sont effectivement réalistes et possibles. Cela peut aider à débloquer des fonds pour les phases ultérieures, bien plus importants que ceux qui auraient pu être initialement disponibles.
Étape 4 : créer un modèle financier
Le calcul de la valeur commerciale implique d'évaluer les avantages d'un programme par rapport à ses coûts. Pour estimer les coûts, il faut réfléchir au déroulement du programme et aux coûts qui seront associés à chacun de ses aspects. Comptez-vous faire l'acquisition de logiciels ? De matériel ? Ou les deux ? Aurez-vous besoin de recourir à des services d'implémentation pour déployer le programme, ou comptez-vous gérer cette tâche en interne ? Dans ce dernier cas, devrez-vous prévoir du personnel supplémentaire ? De quel type de soutien continu ou de maintenance aurez-vous besoin pour le programme ? Aurez-vous besoin à nouveau d'un prestataire de services externe pour cela, ou pouvez-vous le gérer en interne avec le personnel existant ?
Votre prochaine étape consiste à quantifier les avantages du programme. Vous devrez documenter les améliorations spécifiques et la manière dont vous allez permettre à l'entreprise d'économiser grâce à une nouvelle solution de sécurité des identités. Combien allez-vous économiser en réduisant les coûts liés à la conformité ? Combien allez-vous économiser en réduisant les incidents gérés par le service d'assistance ? Combien de temps ferez-vous gagner aux utilisateurs qui attendent d'obtenir leur accès ?
Voici quelques indicateurs courants que vous devriez envisager pour quantifier les avantages financiers de votre programme :
Sécurité
- Réduction du temps nécessaire pour élaborer des rapports de certification d'accès
- Réduction du temps nécessaire pour examiner et compléter les certifications d'accès
- Réduction du temps nécessaire pour détecter les violations de politiques d'accès et y remédier
- Réduction du temps nécessaire à l'établissement de rapports d'audit
Efficacité opérationnelle du service informatique
- Réduction du nombre d'incidents gérés par le service d'assistance liés aux demandes et aux modifications d'accès
- Réduction du nombre d'incidents gérés par le service d'assistance liés aux mots de passe
- Réduction des délais de résolution des incidents pour le service d'assistance et réduction des demandes qui remontent au service d'assistance
- Réduction du nombre de changements d'accès effectués par les administrateurs des applications
- Gain de temps permis par la création automatique de rôles à accès communs
Productivité des utilisateurs
- Provisioning plus rapide des nouvelles recrues
- Changements d'accès et « provisioning » ponctuels plus rapides
- Réduction des délais d'approbation pour les demandes de changement
- Résolution plus rapide des incidents liés aux mots de passe (mots de passe oubliés, réinitialisations)
Réduction des vulnérabilités en matière de sécurité
- Certification d'accès étendue : plus d'applications/utilisateurs
- Deprovisioning plus rapide des employés ayant quitté l'entreprise
- Détection et suppression des comptes orphelins
- Identification des accès aberrants et mesures correctives
- Mise en application des politiques de séparation des tâches (SoD)
- Augmentation du nombre de révocations de privilèges excessifs
- Augmentation du nombre de révocations de comptes de service et de comptes en double
- Augmentation du nombre d'applications disposant d'une politique de mots de passe renforcée
- Augmentation du nombre d'applications faisant appel à l'authentification multifactorielle (MFA)
Une fois que vous avez déterminé les coûts et les bénéfices associés à un programme, vous avez plusieurs possibilités pour mesurer sa valeur. Chaque entreprise a ses propres paramètres financiers privilégiés. Ces paramètres peuvent s'appuyer sur la période d'amortissement, c'est-à-dire sur la rapidité avec laquelle l'investissement dans le programme peut être remboursé, en mois ou en années. Ils peuvent également s'appuyer sur le retour sur investissement (ROI), c'est-à-dire la rapidité avec laquelle l'investissement peut être remboursé, en termes de valeur du temps consacré et des ressources investies. L'essentiel est d'aligner le modèle financier sur les critères de référence attendus de la direction. La période d'amortissement et le retour sur investissement sont des indicateurs classiques utilisés par de nombreuses entreprises et représentent des calculs faciles à inclure dans votre modèle financier.
Une fois que vous avez documenté les mesures et indicateurs spécifiques, vous pouvez commencer à créer les différentes composantes du modèle financier, tant du point de vue des coûts que de la valeur.
SailPoint est là pour vous aider
SailPoint est l'un des principaux fournisseurs de solutions de sécurité des identités aux entreprises modernes. Au cœur de la solution SailPoint de sécurité des identités, il y a l'intelligence artificielle associée au Machine Learning. C'est cette base qui automatise la découverte, la gestion et le contrôle de TOUS les accès, pour mieux protéger les entreprises. SailPoint garantit que chaque identité, humaine ou non, dispose de l'accès nécessaire pour réaliser ses tâches - ni plus, ni moins - et que l'accès est automatiquement ajusté lorsque le rôle de l'identité évolue ou si celle-ci quitte l'entreprise. La solution SailPoint permet également de repérer les comportements à risque des utilisateurs, en détectant et en prévenant les combinaisons d'accès dangereuses qui pourraient mener à une fraude potentielle ou à un vol de données.
Adapter et garantir la sécurité de chaque identité
En s'appuyant sur l'IA et le Machine Learning pour détecter et traiter les anomalies d'accès et réduire les risques d'accès, SailPoint permet une vue complète de toutes les identités et de leur accès. Grâce à notre intelligence inégalée, nous voyons toutes vos identités et les accès dont elles disposent, rapidement et à grande échelle. Nous sommes en mesure d'identifier ce qui est indispensable, ce qui est normal, et ce qui ne l'est pas. Nous fournissons des informations précieuses que vous n'auriez peut-être pas pu obtenir par vous-même et nous accélérons l'octroi des accès aux utilisateurs en nous chargeant de la réflexion à votre place.
Automatiser les processus liés aux identités pour détecter, gérer et sécuriser l'accès
Pour mieux gérer et sécuriser l'accès opportun aux ressources de l'entreprise, SailPoint simplifie l'administration des programmes d'identité en s'appuyant sur des processus automatisés et basés sur l'IA. Cela passe par l'automatisation des décisions liées aux identités, telles que les demandes d'accès, la modélisation des rôles et les certifications d'accès. Et c'est cette automatisation qui permet de libérer les employés afin qu'ils puissent se concentrer sur l'innovation, la collaboration et la productivité.
Gérer et contrôler l'accès aux données, aux applications, aux systèmes, mais pas seulement
SailPoint s'intègre de manière transparente aux systèmes d'entreprise et de sécurité existants pour insérer un contexte d'identité, et les décisions afférentes, dans le flux de travail quotidien de l'entreprise, tout en créant une expérience sans friction et centrée sur l'utilisateur qui permet à votre entreprise d'être mieux connectée... et donc mieux protégée. L'intégration à des centaines de connecteurs vous permet de gérer l'accès aux identités dans l'ensemble de votre environnement informatique hybride.
Répondre aux exigences de conformité et améliorer la qualité des audits
SailPoint automatise les activités communes en matière d'audit, de « reporting » et de gestion associées à un programme de conformité solide. Et nos solutions intègrent des processus liés aux identités tels que la certification d'accès et l'application des politiques pour fournir les contrôles de détection renforcés que les auditeurs exigent.
Réduire la charge informatique
SailPoint s'intègre de manière transparente aux systèmes d'entreprise et de sécurité existants pour insérer un contexte d'identité, et les décisions afférentes, dans le flux de travail quotidien de l'entreprise, tout en créant une expérience sans friction et centrée sur l'utilisateur qui permet à votre entreprise d'être mieux connectée... et donc mieux protégée. L'intégration à des centaines de connecteurs vous permet de gérer l'accès aux identités dans l'ensemble de votre environnement informatique hybride.
Des résultats concrets
SailPoint a déjà permis à des centaines de clients dans le monde d'obtenir des bénéfices quantifiables en matière de conformité, d'efficacité opérationnelle, de productivité des utilisateurs et de sécurité. Voici quelques exemples récents :
Sécurité : éliminer les droits excessifs et minimiser les risques
L'un des résultats les plus courants que les entreprises constatent après avoir fait appel à SailPoint pour automatiser les certifications d'accès est la réduction spectaculaire du nombre de droits d'accès excessifs détenus par les utilisateurs. Une banque internationale a enregistré globalement une réduction des droits de 50 % après le premier cycle de certifications automatisées, grâce à SailPoint. En moyenne, les entreprises constatent des réductions de 20 % à 40 %, mais pour certaines, des réductions allant jusqu'à 60 % ont été observées.
Conformité : réduction des besoins en ressources
Une compagnie d'assurance mondiale a économisé l'équivalent de 50 employés à temps plein par an rien que pour les tests de contrôle et la documentation. L'entreprise y est parvenue en faisant appel à SailPoint pour automatiser les certifications d'accès et l'application des politiques d'accès, et en réduisant le nombre d'auditeurs requis pour tester les contrôles et documenter les processus.
Provisioning : réduction des coûts d'exploitation informatique
En faisant appel à SailPoint pour automatiser les demandes d'accès en libre-service dans l'ensemble de l'entreprise, un grand concepteur de processus a pu réduire ses coûts d'exploitation informatique d'un million de dollars en un an.
Conformité : amélioration de l'efficacité des examens d'accès
En automatisant les certifications d'accès avec SailPoint, une multinationale spécialisée en gestion de patrimoine a réduit d'un an à un mois le temps nécessaire pour examiner et certifier les accès utilisateurs.
Demande d'accès et provisioning : amélioration de la productivité des utilisateurs
Un fournisseur multinational de services financiers a délaissé son ancienne solution de sécurité des identités pour s'en remettre à la solution SailPoint Identity Security. 14 heures. C'est le temps qu'il lui fallait auparavant pour effectuer le provisioning d'une nouvelle classe de 50 utilisateurs. L'équipe peut désormais le faire en 2,5 minutes.
Gestion des mots de passe : suppression des appels coûteux au service d'assistance
Un fabricant mondial de vêtements et de chaussures a pu remplacer une solution de gestion des mots de passe obsolètes et réduire les appels au service d'assistance de 60 %.
Sécurité : réduction des risques organisationnels
En modernisant son programme de sécurité des identités avec SailPoint, une entreprise de soins de santé a pu s'assurer du « deprovisioning » automatique de l'accès au départ des employés, ce qui a permis de réduire considérablement les risques. Avant, cette procédure lui prenait plus de 30 jours.