Toutes les conversations sur la gouvernance des identités finissent par aboutir à la même frustration : des examens d'accès auxquels personne ne fait confiance, des certifications qui sont approuvées sans discussion et des administrateurs qui ont l'impression d'être toujours en retard d'une étape. Les dirigeants examinent la situation et concluent que l'organisation a besoin d'une meilleure stratégie de gouvernance des identités. Un nouveau processus. Une politique plus forte. Plus de gouvernance.
Mais voilà : l'intention de la gouvernance est généralement bonne. Le problème réside dans les données sous-jacentes.
Lorsque les cadres de gouvernance des identités ont été conçus pour la première fois, l'entreprise moyenne gérait quelques centaines d'applications et un nombre raisonnable de comptes d'utilisateurs. Les examens d'accès étaient fastidieux mais réalisables. Les administrateurs pouvaient, avec un peu d'effort, développer un contexte significatif sur qui avait besoin de quoi et pourquoi.
Ce monde n'existe plus.
Les services financiers, les agences gouvernementales et les organisations de haute sécurité gèrent régulièrement des milliers d'applications dans des environnements SaaS, hybrides et sur site. Les droits d'accès à ces applications se comptent par millions. Chaque utilisateur porte une trace de décisions d'accès accumulées au fil des années de changements de rôles, d'affectations de projets et de restructurations organisationnelles. Et cette empreinte ne cesse de croître, ajoutant de nouveaux comptes, de nouvelles autorisations, de nouveaux rôles et de nouveaux risques chaque jour qui passe.
Le volume de données d'identité que les organisations génèrent aujourd'hui dépasse ce qu'une équipe humaine peut traiter de manière significative. Il ne s'agit pas d'un manque d'effort ou d'attention. Il s'agit d'un problème mathématique.
Les personnes chargées de gérer la gouvernance des identités travaillent dans des conditions qui rendent toute prise de décision efficace quasiment impossible.
Les files d'attente des alertes sont perpétuellement surchargées. Chaque drapeau exige un triage, mais le volume signifie que de nombreuses alertes sont reportées ou rejetées non pas parce qu'elles ont été examinées, mais parce qu'il n'y a pas assez de bande passante pour les examiner. Les demandes d'approvisionnement s'accumulent. Les anomalies d'accès font surface sans qu'il y ait suffisamment de contexte pour agir en toute confiance. Il en résulte un système qui semble fonctionner mais qui, en réalité, repose sur des hypothèses et des retards.
Les administrateurs n'échouent pas en matière de gouvernance. Ils sont submergés par un environnement de données qui dépasse les outils conçus pour le gérer.
Les campagnes de certification de l'accès sont confrontées à un problème structurel similaire, mais qui se manifeste différemment.
Lorsqu'un responsable est invité à certifier l'accès de ses subordonnés directs, il se voit généralement proposer une liste de droits et un choix binaire : approuver ou révoquer.
Ce qu'on ne leur donne pas, c'est le contexte qui donnerait un sens à cette décision. Cet accès correspond-il toujours au rôle actuel de la personne ? A-t-il été utilisé récemment ? Représente-t-il un risque élevé par rapport aux groupes de pairs ? Le profil d'accès actuel comporte-t-il des violations de la politique qui ne sont pas immédiatement visibles à l'écran ?
Sans ce contexte, les évaluateurs font ce que les gens rationnels font : ils approuvent. Non pas parce que l'accès est approprié, mais parce que révoquer quelque chose qui pourrait être nécessaire crée une douleur immédiate et visible, alors que laisser un accès inapproprié en place crée un risque diffus et différé.
Aujourd'hui, la plupart des processus de certification produisent des données et non des informations. Et les décisions prises en l'absence d'informations ne relèvent pas de la gouvernance. C'est de la paperasserie.
La solution à un problème de données n'est pas d'augmenter le nombre de processus. C'est une meilleure intelligence appliquée aux données existantes.
La gouvernance des identités pilotée par l'IA s'attaque directement au problème de l'échelle en faisant ce que les réviseurs humains ne peuvent pas faire : analyser des modèles à travers des millions de droits simultanément, identifier les anomalies par rapport au comportement des pairs, signaler les accès dormants ou excessifs, et faire apparaître des éléments spécifiques qui comportent des risques significatifs.
Pour les administrateurs, cela signifie que les files d'attente d'alertes sont classées par ordre de priorité en fonction du signal de risque réel, et non de l'heure d'arrivée. Pour les réviseurs, cela signifie des campagnes de certification qui font apparaître le contexte à côté de chaque décision, de sorte que les approbations et les révocations sont fondées sur la compréhension plutôt que sur l'instinct. Pour les organisations financières, gouvernementales et à haut niveau d'assurance, cela signifie que l'activité de gouvernance se concentre là où elle est la plus importante.
L'IA ne remplace pas le jugement humain dans la gouvernance des identités. Elle rend le jugement humain à nouveau possible en gérant le traitement des données qui a submergé toutes les autres approches.
Les organisations qui se débattent le plus avec la gouvernance des identités ne le font pas parce qu'elles n'ont pas de politique. Elles luttent parce que l'environnement de données s'est étendu au-delà de leur capacité d'action.
Dans ce contexte, l'IA n'est pas une fonction de premier ordre ou une considération future. À l'échelle où opèrent les entreprises modernes, l'IA est la condition sine qua non pour que la gouvernance des identités fonctionne.
Si vos certifications ressemblent à une formalité, si vos administrateurs ont l'impression d'être toujours en train de réagir, si vos examens d'accès produisent des décisions peu fiables, la question qui mérite d'être posée n'est pas celle de savoir ce qui manque à votre programme de gouvernance.
C'est ce que vos données essaient de vous dire et que personne n'a la possibilité d'entendre. Prêt à entendre ce que vos données essaient de vous dire ? Participez à notre webinaire, Pourquoi la gouvernance de l'identité ne fonctionne pas à grande échelle et comment l'IA y remédie, L'auteur de l'article, le Dr. K. K., propose un regard pratique sur la manière de faire la part des choses, de mettre en évidence les risques réels et de prendre des décisions qui tiennent la route.
