Les politiques sont essentielles pour révolutionner la gouvernance et l’administration des identités
7 min read
Gouvernance et administration des identités, ou IGA, aide les entreprises à réduire leurs coûts en automatisant les tâches liées à l’accès, à accroître la sécurité et à réduire les risques en augmentant la visibilité et en réduisant les accès inappropriés, à améliorer la conformité et à donner aux utilisateurs l’accès dont ils ont besoin pour faire leur travail.
Cependant, de nombreuses organisations ont des difficultés avec les processus IGA, en particulier en ce qui concerne la création et la gestion des rôles, l’attribution et la révision des droits d’accès et le traitement des demandes d’accès. En conséquence, IGA ne parvient pas à offrir une valeur totale à l’entreprise.
Commencer au bon endroit est essentiel au succès de l’IGA
La principale raison pour laquelle IGA ne parvient pas à apporter de la valeur est que de nombreuses organisations ne l’implémentent pas correctement. Ils ne l’abordent pas d’une manière qui soit alignée sur le principe de l’IGA d’orchestration centralisée des utilisateurs basée sur des politiques. gestion des identités et contrôle d’accès.
De nombreuses organisations tombent dans le piège de commencer par définir des rôles, puis d’attribuer des droits en fonction de ces rôles artificiellement construits. Bien que cela fonctionne en théorie, cela ne conduit en pratique qu’à un champ de mines de complexité que peu d’organisations peuvent gérer.
Commencer par les politiques est une bien meilleure approche. Si les politiques sont à la base de l’IGA, alors elle fournira la valeur commerciale qu’elle est conçue pour offrir sans toute la complexité inutile associée à l’approche basée sur les rôles.
Les politiques sont le point de départ logique
Dans le contexte des AGR, une politique concerne essentiellement qui a accès à quoi et dans quelles circonstances. Par exemple, l’utilisateur A peut imprimer sur l’imprimante 123, mais uniquement lorsqu’il travaille au bureau.
La première étape consiste donc à définir les politiques de la manière indiquée ci-dessus. Ensuite, regroupez ou mettez en cluster des utilisateurs avec des droits similaires. Par exemple, tous les utilisateurs qui peuvent imprimer sur l’imprimante 123, mais uniquement lorsqu’ils travaillent au bureau.
De cette manière, les rôles peuvent être dérivés des politiques récemment décrites. Enfin, les autorisations ou droits peuvent être facilement associés aux rôles car ils sont déjà décrits dans les politiques. Le droit dans notre exemple de politique est «imprimer sur l’imprimante 123 lorsque vous travaillez au bureau».
Les politiques aident à relever les défis liés aux rôles
Une approche basée sur des politiques présente plusieurs avantages:
- Évite de créer des rôles complexes et artificiels.
- Commence par des politiques que tout le monde peut décrire facilement.
- Si les organisations sont pragmatiques dans le clustering, elles pourront éviter une prolifération de rôles.
- Les droits sont faciles à définir correctement car ils sont contenus dans les politiques.
- Les stratégies peuvent être utilisées pour dériver d’autres stratégies telles que des stratégies de gestion des accès et même des stratégies de pare-feu.
Le fait de dériver des rôles à partir de stratégies signifie également que les organisations peuvent travailler avec un modèle à un niveau pour les rôles au lieu de modèles complexes à plusieurs niveaux que l’on trouve couramment dans les organisations aujourd’hui.
Les politiques sont donc le point de départ logique car elles contiennent tous les éléments essentiels de la gestion des accès, ce qui signifie que tout le reste peut en être dérivé. L’avantage supplémentaire d’une approche basée sur les politiques est qu’au fur et à mesure que la technologie mûrit, il y aura de plus en plus d’opportunités d’utiliser des outils logiciels intelligents pour obtenir automatiquement des droits et même d’autres politiques.
Les politiques aident à relever les défis liés aux avis
Les revues d’accès sont un autre défi important dans l’AIG qu’une approche basée sur des politiques peut aider à résoudre. Comme mentionné ci-dessus, une approche basée sur des politiques permet une automatisation basée sur des politiques, ce qui est extrêmement utile pour réduire le nombre d’examens requis.
L’accès est généralement accordé de deux manières. Premièrement, en réponse à des demandes manuelles où des individus demandent des droits particuliers, et deuxièmement, automatiquement en fonction de la politique.
Lorsqu’une approche politique de l’IGA est utilisée, les demandes manuelles devraient être l’exception et l’accès automatisé peut être la norme. Cela signifie que l’accès peut être accordé automatiquement aux groupes ou clusters d’utilisateurs ayant des exigences ou des caractéristiques similaires. Par exemple, les utilisateurs au même emplacement ou travaillant dans les mêmes projets auront tous besoin d’accéder à un ensemble commun de ressources. Celles-ci autorisations d’accès peuvent être accordés et révoqués automatiquement en fonction d’attributs tels que l’emplacement et le projet.
Cela simplifie énormément le processus d’examen car seuls les droits accordés à titre exceptionnel en réponse à des demandes manuelles doivent être suivis et examinés. Pour tous les autres accès automatisés, les examens consistent simplement à examiner une poignée de politiques, plutôt que des centaines de droits individuels.
En outre, le simple fait de changer une politique peut accomplir plus que de changer un rôle ou un droit unique. Cela peut aider à atteindre l’objectif de moins de modifications, moins d’examens, moins de demandes et moins d’approbations.
Processus essentiels pour l’automatisation basée sur des politiques
L’automatisation basée sur des politiques est fortement recommandée comme moyen d’améliorer et de simplifier les révisions d’accès. Cependant, pour que cela fonctionne correctement, trois processus importants doivent être en place:
- Processus de suivi des droits qui ont été accordés via des politiques et de ceux qui ont été accordés en réponse à des demandes manuelles pour garantir que tous les droits sont couverts soit par un examen des politiques, soit par un examen des droits individuels.
- Un processus en place pour approuver les politiques avant qu’elles ne deviennent actives. Il s’agit de garantir que la traduction de la politique en droits concrets est correcte.
- Un processus de retrait des politiques lorsqu’elles ne sont plus appropriées.
Revues manuelles: une chose du passé?
En théorie, si toutes les demandes manuelles peuvent être éliminées et que tous les droits d’accès sont effectués automatiquement sur la base de politiques bien conçues, approuvées et gérées et fonctionnant correctement, les examens manuels des accès ne seront plus nécessaires.
Le fait que les politiques sont déjà couramment utilisées pour des choses telles que Gestion des accès, et le fait qu’il n’y ait pas de norme d’audit exigeant des rôles ou des droits statiques, signifie que la plupart des auditeurs sont habitués aux politiques et pourraient bien accepter l’élimination des revues manuelles.
La probabilité que les auditeurs acceptent que les organisations satisfont aux exigences des normes d’audit communes est encore plus grande lorsque les organisations créent, approuvent, gèrent et examinent les politiques dans le cadre de processus structurés, bien définis et bien documentés. Cette position peut être renforcée encore plus en ajoutant de bons processus autour de la qualité des informations d’identité pour garantir que les données sont toujours correctes.
Bien qu’il ne soit pas clair dans quelle mesure l’élimination des examens manuels sera universellement acceptée par les auditeurs, dans l’intervalle, les organisations devraient viser à réaliser autant d’automatisation fondée sur les politiques que possible. Cette approche améliorera sans aucun doute la qualité des examens d’accès car il y aura beaucoup moins à faire et il sera donc beaucoup plus facile de le faire correctement et efficacement.
Utilisez des politiques pour révolutionner vos processus IGA
Adoptez une approche politique de l’IGA pour réduire le nombre de demandes d’accès manuel, réduire le nombre d’approbations d’accès requises et réduire la complexité des examens d’accès.
Bien qu’il y ait d’autres choses qui peuvent être faites pour simplifier le processus d’examen des accès, telles que l’introduction de droits limités dans le temps, les politiques et l’automatisation sont la première et la plus importante étape pour rendre l’IGA plus simple, plus efficace et plus efficace.
