IAM : La stratégie des objectifs modestes mais aux effets visibles est payante
juin 2008 par Marc Jacob
Lors de la deuxième journée des 4èmes RIAM, Bruno Mazeron, Ingénieur commercial Tivoli chez d’IBM et un de ses clients, un RSSI du monde de l’industrie ont présenté les principales règles de bases pour réussir une stratégie d’IAM. Il semble que la stratégie des petits pas qui permet de fixer des objectifs peut-être peu ambitieux, mais aux effets visibles sur les utilisateurs est payante.
Bruno Mazeron a débuté son intervention en présentant de façon synthétique les points essentiels a ne pas négliger lors l’on veut mettre en œuvre de l’IAM dans son entreprise :
Il faut voir grand, mais agir de façon progressive
Identifier l’absolu nécessaire
Exclure le superficiel
Faire les 80% du projet qui sont absolument nécessaires et ne commencer les 20% que lorsque l’on a atteint le succès.
Définir un projet avec une information claire sur sa durée et communiquer ses éléments aux entités business
Obtenir un sponsor au niveau de l’Executive ou du Business au travers de la communication des objectifs business de la mise en place de l’IAM
Etablir les besoins business lié à l’IAM de façon à avoir un intérêt toujours renouvelé
Bien gérer son succès en communicant au sein de l’entreprise
Ne pas oublier d’inclure l’ensemble des applications cibles
Savoir s’entourer des bonnes personnes en interne mais aussi d’intégrateurs expérimentés
Aujourd’hui ont voit en France une augmentation du nombre de projet d’IAM avec des motivations très diverses qui vont du besoin de conformité aux économies réalisées suite à des déploiements. Pour le client d’IBM qui avait accepté de témoigner la motivation de son entreprise était la réduction des coûts. Son projet débuté il y a trois ans est d’envergure, puisque son entreprise est présente sur les cinq continents. Pour lui dans ce type de projet il est important de communiquer non seulement avec les dirigeants qui sont des sponsors, mais aussi avec les métiers. Il a établi sa stratégie de déploiement en se donnant des objectifs mesurables de courts termes trois à six mois, mais qui permettaient à chaque étape de montrer que l’IAM était synonyme d’économie. Ces économies provenaient, de réduction des appels au help desk, mais aussi de réduction du temps sur la création d’identité… L’avancement du projet donnaient lieu à de la communication auprès des sponsors, mais aussi des responsables métiers. Pour lui, dans un tel projet, il est important d’avoir une vision à long terme et de faire preuve d’imagination.
Pour un RSSI, d’une institution financière, le projet d’IAM a été porté par le besoin de conformité et de répondre au demande de l’Audit. Grâce à son système de gestion des identités, il est passé de deux mois pour créer un compte à quelques minutes. Son projet, lui permet de passer sans problème les contrôles d’audit SoX. Il envisage actuellement de passer à la dernière version de Tivoli qui permet l’authentification des comptes. En effet, la certification des comptes lui prend actuellement environ 8 mois.
Articles connexes:
- 4èmes RIAM : l’approche par la gestion des risques est l’avenir de l’IAM
- Fuite d’informations : la responsabilité incombe aux utilisateurs !
- La gestion de rôles pour trouver un langage commun entre la sécurité et les métiers
- La sécurité de demain sera-t-elle assurée par le hardware ?
- Traçabilité : les RSSI en première ligne face à l’audit
- Gestion des rôles et traçabilité : de la réduction des coûts à la conformité
- Le marché de l’IAM en cours de démocratisation ?