Pendant des années, la gouvernance et l'administration des identités (IGA) ont été considérées comme un vaste programme de transformation, dont la mise en œuvre prend des années et qui vise à tout résoudre en même temps. En théorie, tout résoudre d'un coup semble être le bon choix. En pratique, c'est souvent la raison pour laquelle l'AGI n'aboutit pas.
Le schéma que je vois le plus souvent n'est pas un manque de connaissance de ce qu'est l'AGI ou de ce qu'elle fait - les organisations comprennent l'importance de l'AGI. Le problème est que les approches traditionnelles de l'AGI supposent qu'une organisation a le temps, la stabilité et la capacité de tout mettre en place en une seule fois. Dans l'environnement actuel, ce n'est plus réaliste.
L'AGI traditionnelle fonctionnait bien lorsque le monde était plus simple : systèmes sur site, effectifs basés dans les bureaux et rôles qui changeaient rarement. Les rôles étaient clairement définis, les systèmes ne changeaient pas fréquemment et les décisions d'accès pouvaient être revues tous les quelques mois sans risque majeur
Aujourd'hui, tout est différent. Les organisations utilisent le cloud, le SaaS et des équipes distribuées. Les organisations gèrent plus que les identités des employés : elles sont également responsables des sous-traitants, des partenaires et même des machines. L'accès change constamment.
C'est pourquoi les modèles statiques d'AGR - avec des rôles, des politiques et des droits définis - deviennent rapidement obsolètes. De nombreux programmes d'AGR sont bloqués à ce niveau. Ils essaient de tout concevoir parfaitement dès le départ, mais l'environnement ne cesse de changer avant qu'ils ne puissent produire des résultats.
L'approche traditionnelle “big bang” de l'AGI est très ambitieuse. Elle tente d'intégrer toutes les applications, de définir tous les rôles et de mettre en œuvre une gouvernance complète en un seul programme.
Le problème, c'est que cela prend du temps. Et pendant ce temps, les risques continuent de croître.
Les processus manuels rendent le “big bang” de l'AGI encore plus difficile. Les examens d'accès deviennent trop importants, les examinateurs n'ont pas toujours le bon contexte et les décisions sont davantage axées sur l'accomplissement de la tâche que sur la réduction des risques. Les rôles statiques deviennent obsolètes et, au fil du temps, les accès s'accumulent sans contrôle adéquat.
En fin de compte, les organisations investissent beaucoup, mais elles ne voient pas toujours une valeur rapide ou claire.
Ce qui fonctionne beaucoup mieux, c'est un état d'esprit différent. Au lieu d'essayer de tout résoudre, il faut commencer par un problème spécifique à l'AGI. Quelque chose de clair, de mesurable, d'important.
Par exemple :
- Trop d'utilisateurs ont un accès à haut risque à une application critique
- Les examens d'audit signalent les comptes dormants
- Certains droits sensibles sont attribués à de nombreux utilisateurs mais rarement utilisés
Il s'agit de problèmes réels, et non théoriques. Et ils peuvent être résolus rapidement.
Lorsqu'une organisation se concentre sur un cas d'utilisation ou un défi de l'IGA, tout devient plus simple. Les équipes réunissent les bonnes parties prenantes, définissent plus clairement le succès et obtiennent des résultats clairs. Cette première victoire renforce la confiance et crée une dynamique pour la suite.
C'est également ainsi que nous concevons l'AGI à l'ASR.
Au lieu de demander aux clients de tout faire en même temps, nous soutenons une approche progressive grâce à notre système modulaire RSA® Gouvernance et cycle de vie l'octroi de licences. Les clients peuvent commencer avec Visibilité-Il s'agit simplement de comprendre qui a accès à quoi. Rien que cela apporte déjà de la valeur et de l'information.
Ils peuvent ensuite passer à Gouvernance, En outre, ils peuvent s'étendre à d'autres secteurs de l'économie, en appliquant des contrôles et des révisions là où c'est vraiment important. Et après cela, ils peuvent s'étendre à Cycle de vie, pour automatiser les processus et les faire évoluer.
Cette approche permet aux organisations de commencer modestement tout en voyant grand. Elle permet aux organisations de résoudre d'abord un problème réel, puis de se développer étape par étape, sans avoir à tout recommencer ou à tout redéfinir.
Dans les environnements modernes, la gouvernance ne peut être statique. Elle doit être plus dynamique et plus ciblée.
Au lieu de tout examiner de la même manière, les organisations doivent le faire :
- Se concentrer d'abord sur les éléments les plus risqués
- Utiliser les données pour guider les décisions
- Agir rapidement
Les organisations qui réalisent ces étapes ont tendance à combiner les capacités des produits avec les services. Pour obtenir des gains immédiats en matière d'AGI, les organisations doivent non seulement disposer des bons outils, mais aussi les utiliser de manière intelligente et pratique afin d'obtenir des résultats.
Un autre point important est la flexibilité, notamment en matière de déploiement.
De nombreuses solutions obligent les clients à choisir entre des solutions IGA dans le nuage ou sur site. Mais en réalité, ce choix peut changer. Une entreprise peut commencer par une stratégie "cloud-first", mais être confrontée par la suite à des raisons réglementaires ou commerciales pour rester sur place. Il se peut aussi que les organisations aient besoin d'une plus grande flexibilité et déploient davantage de solutions dans le nuage.
La seule bonne solution est celle qui répond aux besoins actuels de l'organisation et qui est prête à s'adapter à l'évolution des priorités à l'avenir. C'est pourquoi RSA Governance & Lifecycle offre une parité totale entre ses solutions dans le nuage et sur site : la solution fournit les mêmes fonctionnalités quel que soit le déploiement.
Cela signifie que les clients peuvent s'adapter si leur stratégie change. Ils ne sont pas bloqués. Ils peuvent aller de l'avant sans perdre ce qu'ils ont déjà construit.
Commencer petit ne signifie pas limiter son ambition. Cela signifie qu'il faut être pragmatique.
Lorsqu'une organisation résout un problème d'AGI ou traite un cas d'utilisation, il devient plus facile de passer à l'application suivante, au risque suivant ou à l'amélioration suivante. Des progrès progressifs peuvent donner des résultats significatifs et permettre de mettre en place un programme IGA solide et modernisé.
L'AGI traditionnelle n'échoue pas parce que la gouvernance est mauvaise. Elle échoue parce que l'approche n'est pas adaptée à la vitesse et à la complexité actuelles.
Les organisations qui réussissent sont celles qui se concentrent, commencent à petite échelle et construisent pas à pas. Elles recherchent des résultats concrets, et pas seulement de grands projets.
L'AGI n'a pas besoin d'être écrasante. Elle doit être pratique, rapide et apporter une grande valeur ajoutée.
Nous allons vous montrer ce que cela donne en pratique.
Participez à notre prochain webinaire, Pourquoi la gouvernance de l'identité ne fonctionne pas à grande échelle et comment l'IA y remédie, où nous verrons comment analyser les données d'identité, classer les risques par ordre de priorité et prendre des mesures en toute confiance.
