Au cours d'un cycle de vente classique, l'un des principaux facteurs de réussite consiste à amener le client final à accepter les "points douloureux" ou les défis qui existent dans son organisation à ce moment-là. Il faut espérer que le revers de la médaille de ces défis soit l'essence même des capacités de la solution que vous essayez de vendre. Que se passe-t-il si les points douloureux sont évidents, mais que le client n'en est pas encore là ? Pire encore, que se passe-t-il si le client ne comprend pas la cause profonde du problème ? Au lieu de s'attaquer au vrai problème, il réagit constamment aux incendies ou aux exigences d'utilisateurs puissants !
Dans ces cas, l'indicateur le plus courant est que le client ne pratique pas la gestion de l'architecture d'entreprise ou la gestion des capacités informatiques pour ses besoins en matière de gestion de l'identité. Cela signifie que le client fait preuve d'un manque de maturité dans la compréhension de la triade des capacités (personnes, processus, technologie) autour de la gestion de l'identité. Idéalement, il existe un équilibre dans lequel les organisations ont sensibilisé leurs équipes aux implications en matière de sécurité d'une stratégie de gestion des identités appropriée ; les processus ont au moins été identifiés et il est entendu que la technologie n'est qu'un facilitateur - les problèmes de gestion des identités existent avec ou sans technologie.
Nous pouvons élaborer une feuille de route pour la gestion de l'identité en répondant à trois questions fondamentales :
- Que voulons-nous que l'utilisateur ou l'organisation fasse ? (onboarding, offboarding, self-service)
- Quels sont les aspects opérationnels de ce que nous voulons permettre ? (synergie RH-IT, opérations de base de données, formulaires en ligne ou sur papier)
- Quelles sont les tendances du secteur ? (IDA ou IDaaS dans le nuage, fédération interne, etc.)
L'idée est de construire une matrice de gestion du portefeuille IdM qui puisse être la boussole de ces activités au cours des 6 à 18 prochains mois et qui puisse être révisée tous les trimestres pour s'adapter aux besoins ou aux priorités de l'organisation.
Prenons un seul processus et développons-le à l'aide de questions du point de vue de l'informatique ?
Embarquement
- Quels sont les contrôles administratifs et techniques requis par la réglementation ?
- Quels sont les contrôles administratifs et techniques requis par la politique ?
- Quels sont les risques réalistes liés à l'intégration ?
- À quoi ressemble aujourd'hui notre processus d'intégration ?
- A quoi devrait ressembler (idéalement) notre processus d'intégration ?
- Comment notre processus d'intégration devrait-il se présenter (idéalement) du point de vue des RH ?
- Comment notre processus d'accueil devrait-il se présenter (idéalement) du point de vue de l'utilisateur ?
- Combien de familles d'emploi ont été identifiées ?
- Avons-nous répertorié les applications et les accès de base pour chaque famille d'emplois ?
- Combien de ces applications peuvent être approvisionnées automatiquement ?
- Combien de ces applications doivent être approvisionnées manuellement ?
- Combien de ces applications disposent de leur propre référentiel d'identité ?
- Combien de ces applications prennent en charge l'authentification LDAP ou Kerberos ?
- Combien de ces demandes nécessitent des approbations complexes ?
- Quelle est la qualité de notre collaboration avec les RH en matière d'intégration ?
- Pouvons-nous obtenir des données sur le provisionnement directement à partir du système RH ou devons-nous dupliquer la saisie des données ?
- Quels sont les types d'identités provisionnées ? (Employés à temps partiel ou à temps plein, sous-traitants, fournisseurs, etc.)
- Quelles sont les tendances du secteur en matière d'approvisionnement des utilisateurs ?
- Que font nos pairs pour aborder la question ?
- Quels sont les projets de notre fournisseur actuel d'IdM ?
- Des activités de fusion et d'acquisition se profilent-elles à l'horizon ?
Les réponses à toutes ces questions commencent à donner forme à un ensemble d'exigences qui, comparées à l'état actuel, donnent une idée de la direction que l'organisation devrait prendre. Un exercice de hiérarchisation permet d'aboutir à une déclaration telle que celle-ci :
Notre priorité pour les six prochains mois dans le cadre de la capacité IdM-Onboarding est d'approvisionner et de déprovisionner automatiquement les utilisateurs dans l'application JD Edwards. Cela est nécessaire pour répondre à nos besoins en matière de réglementation SOx et le département financier a déclaré que l'accès à cette application était essentiel pour sa productivité.
Il est quelque peu irréaliste de penser que les organisations informatiques vont maintenir une feuille de route appropriée pour toutes les capacités de l'entreprise - surtout si l'on considère l'époque actuelle où l'on essaie de faire plus avec moins -il semble que les informaticiens se noient dans les questions opérationnelles tout en essayant de suivre les projets, mais la gestion de l'identité peut devenir très complexe et est en constante évolution ; je suggère aux organisations d'élaborer un argumentaire pour la gestion des capacités IdM afin de "sortir des cordes" et de prendre le contrôle de ces besoins.