La gestion des identités, pierre angulaire des projets de Move-to-Cloud

Le M2C ne saurait donc se limiter à transporter tel quel le SI des infrastructures du data center vers celles d’un (ou plusieurs) opérateur(s) de cloud ; c’est l’occasion de se projeter vers l’avenir et de mettre en place les principes qui permettront de continuer à transformer l’entreprise et de développer de nouveaux services. Sous des dehors notamment techniques et fonctionnels, un projet de M2C est donc entièrement tourné vers la création de valeur future.

La condition sine qua non pour qu’un service digital créé de la valeur est, bien évidemment, que l’on puisse y accéder. Ou, plutôt, que la bonne personne ou identité technique, et elle seule, puisse accéder aux informations qui lui sont destinées. C’est le rôle de l’IAM (Identity and Access Management). Gérant à la fois l’identité (qui je suis), l’authentification (c’est bien moi) et les habilitations (ce que j’ai le droit de voir et de faire), l’IAM est donc la clé de voûte des Systèmes d’Information et donc des projets de M2C. Quand un utilisateur accède à une application mobile, quand deux services dialoguent via une API, quand un capteur IoT transmet ses données et, surtout, quand aucun n’est obligé de se réidentifier à chaque fois, tout cela, c’est grâce aux services fournis via l’IAM. L’IAM permet de traiter toutes les typologies d’accès dans ou vers le système d’information, qu’il soit encore dans le data center ou déjà dans le cloud. Il va les faciliter, les fluidifier, et en garantir la sécurité au fil du temps et des évolutions. Il va aussi contribuer à valoriser les initiatives des métiers en leur apportant sécurité, simplicité, flexibilité et confiance.

IAM

Clé de voûte des systèmes d’information

L’IAM, un sujet central à aborder dès l’origine

Gérer les identités dans l’environnement clos et contrôlé du data center, et dans l’environnement ouvert, composite et mutualisé du cloud, sont deux choses très différentes. Dans le cloud, on dépend de l’annuaire du fournisseur et de la modélisation des accès pour les différentes typologies de comptes et de services proposés au niveau IaaS, PaaS, SaaS. Si on ne se préoccupe pas de cette question centrale dès le départ et de la gouvernance associée, si on n’adapte pas son approche à ce nouveau contexte, on peut passer à côté des bénéfices et accélérateurs de ces projets. Il faut aussi prendre en compte l’infrastructure as code et l’automatisation de déploiements de services d’application. Donc avec une gestion appropriée des identités et des accès, bien réfléchie, bien implémentée et automatisée, on dispose d’un SI efficient, sûr, évolutif et adapté aux besoins. Cela facilitera et accélérera la mise en œuvre de nouveaux services et donc leurs retombées business. Par exemple, un système basé sur des jetons d’accès (ID tokens) permet de construire rapidement des applications très dynamiques, parfaitement sécurisée, et offrant une expérience utilisateur remarquable.

Élément structurant au cœur de chaque initiative digitale présente et future, l’IAM touche donc à l’ensemble du SI et à ses différents enjeux de modernisation. C’est une solution globale, qui fonctionne partout, tout le temps, pour tout le monde. La priorité absolue est donc que chacun prenne conscience qu’il s’agit d’un projet capital, transverse, et qui concerne tout le monde. Autrement dit, l’IAM n’est pas l’affaire de la seule sécurité. Certes, le RSSI sera le garant de la conformité et de la sécurité de la solution, mais le DSI veillera pour sa part à son efficience, à son alignement sur les enjeux d’agilité et d’interopérabilité. Quant aux métiers, qui ont souvent la clé des budgets, ils doivent comprendre que l’IAM est indispensable à leurs ambitions de création de valeur digitale.

Mettre en place une gouvernance : un impératif

Dans ce contexte, il est impératif de mettre en place une gouvernance qui sera capable de fédérer les points de vue. Son rôle sera de définir un modèle de gestion des identités prenant en compte les spécificités du cloud, puis de tracer le chemin de transformation jusqu’à sa mise en œuvre complète. On parle le plus de modèle hybride. À l’origine de chaque réflexion IAM, on trouve quatre objectifs, souvent entremêlés : permettre la digitalisation des métiers, accroître l’efficacité opérationnelle, garantir la conformité à la réglementation et aux politiques internes, sécuriser les accès aux données et aux applications. Pour les atteindre, la feuille de route devra tenir compte de ce que les parties prenantes expriment comme besoins (attentes des utilisateurs, exigences de sécurité, prévision de croissance des flux…) et comme contraintes (techniques, légales, financières…).

La gouvernance aura aussi pour rôle d’établir un certain nombre de règles globales, à l’échelle de l’entreprise, puis de veiller à ce qu’elles soient respectées au sein de chaque projet et implémentées dans la (ou les) solution(s) choisie(s). Par la suite, en s’appuyant sur des revues des accès, on procédera par itérations pour évaluer et, éventuellement, ajuster cette stratégie. Tout au long de ce cycle de vie de l’IAM, on gardera à l’esprit une double préoccupation : création de valeur (rapportée au coût total de possession) et pérennité opérationnelle, garantie par l’utilisation de standards et la recherche constante de la simplicité (d’usage, de maintenance, d’évolution). Par exemple, la prise en compte du Zero Trust dans la stratégie CIAM (Customer Identity and Access Management) est un accélérateur de valeur et de simplicité dans les cas d’usage.

De la gestion des identités traditionnelles dans le data center aux approches les plus matures et sophistiquées dans le cloud, le chemin peut prendre deux à trois ans. Mais c’est une durée nécessaire car il ne s’agit pas seulement d’adapter une infrastructure technique, aussi complexe et sensible soit-elle : c’est aussi toute la culture qui doit évoluer pour apprendre à faire confiance aux nouveaux systèmes d’identification et de connexion. La gouvernance est là aussi pour donner toute sa place à cet enjeu humain et choisir judicieusement le rythme et les priorités des projets pour impulser le changement et accompagner la montée en maturité.

Trois points à retenir

1. Indispensable à tout service numérique, l’IAM (Identity and Access Management), lorsqu’il est mis en œuvre judicieusement, est un accélérateur de création de valeur.
2. Omniprésent et transverse, l’IAM doit être pris en compte dès l’origine du projet de transformation cloud, et piloté par une gouvernance associant l’ensemble des parties prenantes.
3. Garante de la cohérence des choix et des implémentations, la gouvernance établira la feuille de route de la transformation et accompagnera sa mise en œuvre, aussi bien technologique que culturelle.;