Le provisionning des utilisateurs est la création, la préservation, la mise à jour et l’élimination de l’identité numérique et des privilèges d’accès d’un utilisateur à plusieurs ressources en même temps, que ce soit sur place, dans le cloud ou dans un environnement hybride.
Dans cet article, nous allons définir le provisionning et le déprovisionning des utilisateurs et voir à quels processus, pratiques homologuées et avantages il donne lieu. Nous verrons également quel est le sens d’un provisionning des utilisateurs automatisé, comment on l’exploite, et quelles sont les solutions de provsionning.
Définition du provisionning des utilisateurs
Le provsionning des utilisateurs (on parle aussi de provisionning des comptes utilisateurs, de gestion des identités et des comptes (IAM) consiste à partir de données de base des utilisateurs telles que le nom, l’intitulé du poste, le service, les attributs, les autorisations, les appartenances à des groupes, ainsi que d’autres données du même ordre pour créer des comptes et accorder les droits et les privilèges correspondant aux utilisateurs dans toute l’infrastructure informatique et les applications métier. Il s’agit de sauvegarder des systèmes, les applications et les données, tout en donnant à l’utilisateur les moyens de remplir les tâches permettant d’accomplir les stratégies et les objectifs de l’entreprise.
Le provisionning des utilisateurs se déclenche lorsque de nouvelles informations sont ajoutées ou actualisées dans la base de données d’origine, puis au fil de leur gestion pendant le cycle de vie de l’utilisateur au sein de l’organisation. L’accès aux applications et aux données est accordé en fonction des besoins de l’entreprise par rapport à cet utilisateur, et revu au fur et à mesure que les rôles et les besoins professionnels évoluent et se modifient.
Types de provisionning des utilisateurs
Le provisionning des utilisateurs se fait de plusieurs façons :
- En self-service : Ce sont les utilisateurs eux-mêmes qui s’occupent de certains aspects du provisionning ; par exemple, les changements de mot de passe
- À discrétion : Un administrateur accorde l’accès aux données et aux applications
- Flux de tâches : L’accès est accordé en fonction des tâches à exécuter, une fois que les autorisations obligatoires ont été obtenues
- Automatisé : Le provisionning est géré par un logiciel ou une solution qui se conforme aux règles créées pour les comptes, ce qui permet aux administrateurs de se recentrer sur d’autres tâches, d’où un gain de productivité
Qu’est-ce que le « déprovisionning » ?
Le déprovisionning consiste à retirer des privilèges ou un accès à un compte, voire à le supprimer, à l’occasion de changements tels qu’une mutation interne ou un départ de l’entreprise. Les comptes peuvent aussi être désactivés ou détruits en raison de menaces internes ou externes. Cela entraîne alors le retrait de l’utisateur des groupes dont il est membre ou des rôles qu’il y exerce.
Le déprovisionning est une étape importante pour la sécurité ; même si l’utilisateur ne constitue pas une menace, les comptes inactifs peuvent ouvrir la voie à des violations de données et à d’autres menaces pour la cybersécurité.
Un exemple de provisionning des utilisateurs
Par exemple, le provisionning utilisateur d’une nouvelle recrue peut donner lieu aux étapes suivantes :
- Le salarié entre dans l’organisation ; un profil informatique est créé et des droits à des applications lui sont attribués
- Le salarié fait ses débuts dans l’entreprise et d’autres accès peuvent lui être accordés en fonction des tâches qu’il a à accomplir
- Tout au long de son emploi, l’accès peut lui être retiré ou accordé au fur et à mesure que son rôle change
- Lorsque son emploi prend fin, le compte utilisateur est déprovisionné quand le salarié quitte l’entreprise.
Les règles et les procédures du provisionning varient en fonction des circonstances, comme dans l’exemple ci-dessus ; à l’inverse, il peut y avoir provisionning /déprovisionning pour donner un ’accès temporaire à un non-salarié, ou un reprovisionning pour un salarié en poste qui rencontre des problèmes avec son compte.
Comment se déroule le provisionning des utilisateurs
Voici les étapes à suivre pour lancer un provisionning d’utilisateurs ou restructurer un programme inefficace ou non extensible :
- Définir et évaluerle travail de gestion des identités et de gestion de l’accès (IAM) : Tenir compte du niveau de maturité, de l’efficacité et de la sécurité, et mettre en place un langage à l’échelle de toute l’organisation autour du provisionning des utilisateurs
- Rédiger des arguments pour convaincre du bien-fondé du provisionning des utilisateurs : Détailler le processus d’IAM, identifier les manques et les difficultés en termes d’usage et de productivité et faire des projections sur les avantages des propositions de changements (amélioration de la sécurité, réduction du risque et accroissement de la productivité, etc.)
- Dresser la liste des systèmes, applications et répertoires essentiels à la mission, et de leurs utilisateurs
- Planifier les ressources : les postes nécessaires dans le provisionning des utilisateurs sont un chef de projet, des cadres techniciens, des administrateurs système, des administrateurs de base de données et des analystes des ressources humaines
- Présenter un essai du programme proposé : Associer des personnes à tous les niveaux de l’organisation, y compris les cadres, et leur demander leur avis, dont il sera tenu compte avant la mise en service complète
- Lancer le provisionning des utilisateurs dans toute l’entreprise : Utiliser des listes de contrôle, faire des points hebdomadaires/mensuels, et lister les moyens internes à prévoir pour ne pas prendre de retard dans le projet
- Observer le nouveau processus et la nouvelle solution et les perfectionner : Suivre les demandes de provisionning des utilisateurs et les réponses, mesurer les indicateurs de performance et les répercuter de façon à améliorer le programme et continuer à l’étendre, tout en mettant fin aux traitements précédents
Penser à noter les améliorations qui pourraient passer inaperçues : une plus grande disponibilité des équipes informatiques pour des projets plus importants et plus complexes, due au fait qu’elles passent moins de temps à traiter des demandes d’accès au quotidien.
Provisionning des utilisateurs : les pratiques homologuées
L’un des plus importants défis auxquels est confrontée l’entreprise d’aujourd’hui est la sauvegarde des applications et des données, tout en faisant en sorte que les salariés et non-salariés puissent accéder facilement aux ressources dont ils ont besoin pour être productifs. Voici les avantages de pratiques homologuées du provisionning des utilisateurs par rapport à ces aspects :
- Centraliser la gestion des identités et de l’accès : minimiser le risque pour la sécurité tout en allégeant le fardeau des informaticiens
- Utiliser le principe du moindre privilège : Les utilisateurs ont seulement besoin d’accéder aux ressources essentielles à leur travail, et seulement pendant des périodes définies
- Automatiser le provisionning et de déprovisionning des utilisateurs : Pour la plupart des organisations, la gestion manuelle du provisionning des utilisateurs n’a pas de sens : elle consomme de précieuses ressources informatiques avec un faible rendement, et elle est moins efficace en termes de sécurité, car les accès accordés en nombre trop grand ou trop faible sont courants
- Aider les informaticiens : Produire des consignes pour le partage et la restriction des accès, des listes de contrôle pour l’intégration de salariés dans l’entreprise, les mutations et les départs, et être parfaitement clair quant aux rôles et à leur besoin d’accéder aux ressources de l’entreprise
- Utiliser une authentification multifactorielle : Cet outil de gestion de l’accès réunit au moins deux mécanismes de sécurité pour accéder aux ressources informatiques, notamment aux applications et aux appareils électroniques
- Utiliser une authentification définie en fonction du risque (ABR): Déterminer le risque lorsqu’un utilisateur fait telle ou telle action ; bloquer l’utilisateur et alerter le service informatique quand des problèmes potentiels sont détectés
- Tenir compte de la conformité et mettre des audits en place : Les besoins en conformité recoupent souvent les problèmes de sécurité ; les audits internes sont un moyen de prendre les devants par rapport aux efforts de sécurité et de conformité
Pratiques homologuées pour les solutions de provisionning des utilisateurs
Les pratiques homologuées pour le choix d’un logiciel ou de solutions de provisionning des utilisateurs pour l’entreprise préconisent notamment de sélectionner un produit qui :
- Soit complet et modulaire ;
- Soit agréable et facile à utiliser ;
- Offre des fonctionnalités automatisées, en self-service lorsque c’est possible ;
- Possède des caractéristiques qui favorisent le respect des obligations de conformité ;
- Atténue le coût de la solution grâce à des améliorations internes ;
- Comporte des fonctionnalités d’analyse et d’édition de rapports ;
Comporte des avantages dans le provisionning des utilisateurs.
Pour se développer et croître, et pour favoriser la transformation numérique, l’entreprise doit en finir avec les traitements manuels sur tableur et permettre l’automatisation, la simplification et l’intelligence artificielle. Le provisionning des utilisateurs s’inscrit dans ce changement car il libère les services informatiques des tâches d’assistance et leur permet de se consacrer à de nouveaux projets.
Pour l’entreprise, les avantages du provisionning des utilisateurs sont nombreux. Citons, entre autres :
- La rationnalisation de l’identité et de l’accès à plusieurs applications ;
- La facilitation des processus d’intégration des nouveaux embauchés et des départs de l’entreprise , avec plus de sécurité et à moindres coûts ;
- Une amélioration de l’efficacité et de la productivité des salariés, des sous-traitants et des partenaires commerciaux ;
- Un contrôle de l’accès basé sur les rôles ;
- La protection des données sensibles ;
- Moins de complexité administrative et d’erreurs humaines, grâce à un système centralisé ;
- Un gain de temps pour les services chargés de la sécurité informatique, qui peuvent se consacrer à d’autres tâches ;
- La simplification de la gestion des mots de passe ;
- L’atténuation des risques des comptes compromis ou surprovisionnés ;
- Une plus grande conformité aux réglementations et une meilleure préparation aux audits ;
- Des audits facilités et plus efficaces, grâce à l’automatisation des systèmes de provsionning, qui réalisent les audits en quelques heures là où il fallait des jours, voire des semaines ;
- Une rapidité opérationnelle accrue ;
- Le maintien de la sécurité de l’organisation, favorisant notamment le travail à distance et grâce à l’atténuation des risques liés à l’informatique fantôme ;
- Une protection renforcée de la réputation dûe à la sauvegarde de l’information et des applications.
Le provsionning des utilisateurs automatisé
Le provisionning des utilisateurs automatisé est la suite logique du provisionning des utilisateurs et de la gestion des identités et de l’accès. Les rôles de nouvel embauché, salarié en mutation, salarié quittant l’entreprise prennent tout leur sens. Le rôle attribué à l’utilisateur peut être lié à son poste dans l’organisation, ce qui libère le personnel informatique, qui peut alors se consacrer à des tâches essentielles plutôt que de passer du temps à vérifier des attributs et à gérer les droits d’utilisateurs individuels.
Le provisionning automatisé atténue les problèmes et les interruptions dus à l’administration manuelle des comptes d’utilisateurs.
En outre, il renforce les initiatives de sécurité et de conformité en n’autorisant que les accès nécessaires. C’est tout l’intérêt du contrôle de l’accès basé sur les attributs (CABA), où les utilisateurs se voient autorisés à accéder aux applications et aux données en fonction du poste qu’ils occupent dans l’organisation, et où l’accès leur est retiré lorsqu’ils n’en ont plus besoin. D’où une réduction du risque de menaces internes.
Le principe fondamental du provisionning des utilisateurs automatisé consiste à attribuer des applications aux utilisateurs en fonction de leurs rôles. Dès qu’un rôle est donné à un utilisateur, il est créé automatiquement dans l’application et l’accès lui est accordé. Quelle que soit la raison pour laquelle un accès n’est plus nécessaire, les autorisations sont révoquées d’après les règles de déprovisionning de l’organisation, lorsqu’un rôle est retiré à un utilisateur.
Les solutions de provsionning des utilisateurs
Dans un environnement de plus en plus complexe, les solutions de provisionning des utilisateurs constituent un outil centralisé sophistiqué qui permet à l’entreprise de contrôler les privilèges d’accès aux applications et aux données et favorisent l’exploitation des informations qu’elle génère pour automatiser de nombreuses tâches : création de l’accès utilisateur, modification et annulation, tout au long de l’existence d’un compte. Cela simplifie l’infrastructure tout en donnant à la société les moyens de se développer et de croître.
Une solution de provisionning des utilisateurs :
- Maintient sur son infrastructure les données disponibles sur l’identité ;
- Offre aux administrateurs les outils dont ils ont besoin pour préciser les conditions d’accès ;
- Apporte une méthode économique pour moderniser en toute sécurité le cycle de vie des salariés ;
- Fait bénéficier les activités liés à l’administration des identités de l’automatisation ;
- Préserve les données grâce à une plus grande sécurité de l’entreprise et des capacités d’authentification ;
- Est exceptionnellement pratique à utiliser pour l’utilisateur, qui devient nettement plus productif.
Sécuriser l’entreprise grâce au provisionning des utilisateurs
Le provisionning des utilisateurs permet à l’entreprise d’accorder et de retirer l’accès aux applications et aux données. Il en résulte une réduction du risque de violations des données, qui coûtent cher et peuvent avoir des répercussions durables pour la réputation de l’organisation. Par ailleurs, il donne plus de visibilité aux équipes dirigeantes de toute l’entreprise.
Grâce à l’automatisation, les outils de provisionning des utilisateurs permettent de créer, superviser et contrôler l’accès des utilisateurs, de simplifier l’administration et de disposer d’une meilleure administration du programme de gestion des identités et de l’accès de l’entreprise. Des processus et procédures éprouvés et stables de provisionning des utilisateurs, alliés à une solide mise en œuvre, confortent de nombreux domaines de l’entreprise car ils s’adaptent aux changements incessants auxquels elle est confrontée.
Autres sujets susceptibles de vous intéresser :
Prenez le contrôle de votre plateforme cloud.
Approfondissez vos connaissances du provisionning selon SailPoint.