WIXLIB

L’IAM mutualisé :des enjeux spécifiquesUne solution IAM mutualisée peut être le choix de prestation idéal àcondition de bien analyser les risques inhérents au projet. Dans certaincas, les projets peuvent échouer ou des solutions IAM mal conçuespeuvent ne pas fournir l’efficacité opérationnelle attendue.Dans un projet d’IAM mutualisé,la complexité de la réalisations’accroit en fonction des besoinsfonctionnels et du nombre d’entitésà inclure dans le futur système. Ilexiste deux risques majeurs, codépendants et spécifiquement liésaux systèmes mutualisés :L’adoption par les entités fédéréesL’acceptation par les entités fédérées vadépendre du niveau de personnalisation(autonomie fonctionnelle) que la solutionleur permet. Quel que soit ce niveau deliberté, il faudra inclure dans le projet unaccompagnement et un programme deconduite de changement pour former lesutilisateurs aux nouveaux processus métiers.Souvent la multiplicité d’entités à intégrerpeut-être synonyme de grande complexité.Le nombre d’intervenants dans un projetde système mutualisé est élevé, et cela vagénérer des risques, particulièrement si lavision produit n’est pas partagée.Les projets d’IAM mutualisé font coopérerdes entités qui se différencient par leurspolitiques internes et leurs processus métiers.Les acteurs peuvent parler des langues etavoir des cultures différentes et ne vontpas concevoir un projet informatique de lamême façon. Cela nécessite de stabiliser aumaximum les équipes du projet et définirensemble les fonctionnalités à développer.Comme pour la plupart des projetsinformatiques, il est nécessaire de piloterune phase de changement, particulièrementlorsque la volonté d’unifier les processusmétier au niveau groupe impose de faireévoluer les usages et outils de certaines entités.Le concepteur de la solution, selon lesexigences du client, peut permettre auxentités fédérées de configurer une partie dela solution qui sera administrée en local. Al’inverse l’entité centrale qui cherche à avoir lamain sur les processus du groupe va imposerun niveau de liberté très faible à ses filiales.La dette techniqueSelon la définition de W. Cunningham*, ladette technique résulte d’une conceptionlogicielle mal maîtrisée qui va dégrader laqualité globale d’une solution.Utilisé à l’origine dans le développementinformatique, la dette technique est issued’une conception incohérente et vaentrainer des problèmes de maintenancecorrective (bugs) et évolutive (maintiendes fonctionnalités) dans une solution. Leclient sera amené à verser des sommes,comparables à des intérêts, pour pouvoirexploiter la solution.Appliquée à la mutualisation des solutionsIAM, la dette technique est directement liéeau niveau de personnalisation de la solutionpour les entités locales : workflows spécifiquespar filiales, interfaces et fonctionnalitésdédiées, etc. Un développement tropspécifique va s’opposer aux problématiquesd’administration centrale/déléguée et destandardisation.Éviter la dette technique nécessite une bonne prise en compte des besoins pour ensuite définir le périmètrefonctionnel et le niveau de liberté accordée aux différentes entités.Le périmètre fonctionnelCe type de projet va plus loinque les simples problématiquesde sécurité, conformité etrationalisation des coûts. Leclient va être capable de mettreen place des nouveaux modèlesde gouvernance en étendant lacouverture fonctionnelle de l’IAMà d’autres entités.La mutualisation permet d’aligner le SI avecla stratégie du groupe pour répondre auxexigences internes et externes.Il faut définir précisément le niveau deliberté par filiales et le niveau de partage dela solution. Le périmètre de configurationpeut aller de simples machines et logicielspartagés jusqu’à une solution IAM totalementconfigurée avec une gouvernance stricte*” The WyCash Portfolio Management System”, Ward Cunningham, March 26, 1992, OOPSLA ‘92 Experience Report**Gartner: “Measure and Manage Your IT Debt”, Andy Kyte, 9 August 2010.6Trusted partner for your Digital Journeyet des processus uniques. Les distinctionsfonctionnelles entre les filiales et le degréde customisation accordé impactent lecycle de vie des identités, le cycle de vie del’application, le cycle de vie des autorisationset la fonction d’administration.

Consolidation checklistL’éditeur doit donc parfaitement s’aligner avec les besoins de son clientpour la réussite du projet. Evidian a mis au point un processus dequalité spécifique pour les projets d’IAM mutualisés sous la forme d’unquestionnaire : consolidation checklist.Plusieurs couches fonctionnelles sont à considérer pour prendre en compte les besoins premiers et permettre la transversalité,l’harmonisation et l’industrialisation des processus au travers du modèle de sécurité esCycle de vie desidentitésArchitecturephysiqueCycle de vie desApplicationsCycle de vie desattributions de droitsFonctiond’administration& délégationLa mutualisation des solutions IAM7

EvidianPérimètre fonctionnelAttentes fonctionnellesComprendre la nature de la relation entre les entités à mutualiste estimportante dans l’identification du périmètre fonctionnel.Il peut exister des exigences de délégations de services etd’administration entre les entités à fédérer. Les entités partagent elles une structure administrative chapeau(maison-mère, holding, etc.) ? Existe-t-il une nature concurrentielle entre les entités (GIE par ex) ?Les entités sont-elles liées par un contrat ou une convention ou dedélégation de service mutuel (utilisateur de l’entité A accédant auxressources de l’entité B) ? Les entités doivent elles bénéficier d’une isolation de sécurité forte ? Les utilisateurs d’une entité peuvent-ils migrer d’une structure àl’autre (en conservant leurs identités, ex : mutation entre filiales) ?Existe-t-il une délégation d’administration entre entité (l’entité Aadministre l’entité B) ? Les entités peuvent-elles être amenées à fusionner ou à êtrescindée (fusion/acquisition) ?Architecture physiqueCycle de vie des IdentitésLa répartition des ressources entre les moyens centraux et les entitésmutualistes (applications centrales en Datacenter vs applicationslocales) est une question cruciale. La définition d’une architectureadéquate est à considérer à la fois sous l’angle de la sécurité, de laqualité de service et de la législation locale applicable si elle diffère(ex : mutualisation dans différents pays)Dans le cadre de l’analyse du cycle de vie des identités, il faudraconsidérer les différentes populations d’identités en prenant encompte les différences fonctionnelles entre entités à fédérer,L’hébergement et la localisation des données sont aussi soumises àdes contraintes de SLA.8Trusted partner for your Digital Journey L’inventaire catégoriel des populations cibles est-il disponible ? Existe-t-il des procédures harmonisées pour les périmètres degestion (ex : internes, externes, stagiaire, etc.) ? La cinématique de gestion des mouvements est-elle harmonisable(ex : RH externalisée, acteurs différents mais processus identique) ? Est-il possible de mutualiser les modèles d’identité entre les entités ? Le nombre d’acteurs dans un flux (arrivée, modification, départ)est-il homogène ?

Cycle de vies des applicationsCycle de vie des affectations de droitLes applications peuvent se retrouver à différents niveaux :Le cycle de vie de la délivrance des droits est généralement assurépar des règles automatiques issues de la politique de sécurité ou/etdes demandes manuelles via le portail utilisateur. Le niveau d’application local, à discrétion de la structure(pays, ou filiale ou zone géographique). Le niveau d’application central, applicable à l’ensemble desstructures fédérées. Le niveau de délivrance des droits exceptionnels est-il assurélocalement en central ou en transverse ? Le niveau d’application transverse : les applications d’une structurefédérée vers tout ou partie des ses pairs. Existe-t-il une définition locale de la politique de sécurité ? Existe-t-il une définition centrale de la politique de sécurité ? Existe-t-il une définition transverse de la politique de sécurité ? Dans chacun de ces cas, peut-on identifier une structure en chargede la responsabilité est-elle distribuée ?Fonction d’administrationAdministration déléguéeDans un projet de mutualisation, trois niveaux d’administration sont àconsidérer :En fonction du niveau d’administration à déléguer dans chaque filialeet des besoins en termes d’isolation et de ségrégation entre elles,plusieurs choix d’architecture possible seront à définir. Administration technique : la plateforme IAM. Administration opérationnelle : création des rôles est ressources,les connecteurs, définit la politique de sécurité, mets en place lesrègles d’attribution automatisées. Administration fonctionnelle : qui demande et approuve les accèset les identités.Un niveau d’administration technique va être défini en central avecdifférents niveaux d’administration déléguée en local. Selon le niveaude souplesse de la solution, certaines fonctionnalités sont accessiblesuniquement à l’administrateur central (par exemple : modificationde fichier de configuration serveur lors de l’ajout d’un connecteur).Pour prendre en compte les besoins locaux, des procédures internesd’administration logistique et opérationnelles sont à mettre en place(par exemple : outils de billetterie, envoi de fichier au format spécifique,etc.) afin de coordonner demandes locales et administration centrale.La mutualisation des solutions IAM9

Cas d’usages(Re) penser L’IAM pour les GroupementsHospitaliers de Territoire (GHT)Adapter l’IAM aux structures complexesdes grands groupesEn France, la loi de modernisation du système de santé amène lacréation des Groupements Hospitaliers de Territoire (GHT). Cettetransformation s’accompagne d’une réflexion sur de nouvelles formesde gouvernance sous le signe de la mutualisation des ressources.Aujourd’hui, les structures des organisations peuvent être trèscomplexes. Les grands groupes sont souvent éparpillés en filialeshétérogènes par leurs tailles et leurs modes de fonctionnement.Pour optimiser les coûts et répondre aux besoins de sécurité, lesorganisations cherchent à étendre les moyens de gouvernancetout en en harmonisant les processus à l’ensemble du groupe. Unesolution IAM mutualisée est particulièrement adaptée à ce cas d’usageet permet :La convergence entre systèmes d’information et l’harmonisation desprocessus entre établissements serait impossible sans la mise enplace de solutions IAM mutualisées permettant :La démocratisation de l’IAMDans les grands groupes, les plus petites filiales n’ont souvent pas lataille critique pour supporter seules des projets IAM. La mutualisationest la seule réponse au manque de moyens humains, techniques etfinanciers qui sont les premiers freins au déploiement de ce type desolutionsMobilité entre établissementsLa solution IAM mutualisée va permettre de consolider facilement lesdifférentes sources d’identités existantes de manière non intrusive,respectant ainsi l’autonomie de gestion de chaque établissementpour constituer un référentiel commun incluant toutes les personnesaccédant au SI. Ceci permet la définition d’un identifiant unique à toutle GHT autorisant ainsi la mobilité entre les établissements.Une gouvernance, administration, et traçabilité globalesLes applications peuvent être administrées au niveau global pour tousles établissements du GHT et/ou dans chaque établissement localement.Il est aussi possible de mettre à disposition d’un établissement, desapplications administrées par un autre établissement.Un accès unique à toutes les applicationsL’IAM permet aux médecins d’accéder à l’information du patient depuisleur cabinet médical, en toute sécurité. Il permet également d’établir dessessions itinérantes pour les connexions proches du lit d’hôpital.10Trusted partner for your Digital JourneyLa standardisation des processusDans une logique d’uniformatisation et de respect des politiquesinternes, les grands groupes vont chercher à mettre en place unesolution commune avec des fonctionnalités standard.Différents niveaux d’autonomieL’administrateur central va donner du pouvoir aux filiales grâce àl’administration déléguée. La solution mutualisée répond aux besoinsd’autonomie des filiales en leur permettant d’établir leurs proprespolitiques de gouvernance sans sortir des fonctionnalités standard dela solution (maintenabilité).

ConclusionUn projet de Gestion des Identités mutualisée demande unegouvernance forte un engagement total des acteurs dans chaque entité.La capacité d’exécution des équipes doit être optimale pour bien définirle périmètre fonctionnel et accompagner le changement dans lesdifférentes structures.Ce modèle de déploiement IAM n’est pas une nouveauté mais il innovedans son approche flexible dans un marché où les offres SaaS sont de plusen plus complètes. Une solution IAM mutualisée apporte une réponse làoù les solutions totalement externalisées sont inadaptées, en permettantsécurité et maîtrise tout en conservant l’approche adaptative et lescapacités de montée en charge du Cloud.En tant qu’acteur majeur du secteur IAM, Evidian soutient ce choix ets’engage à proposer des solutions toujours plus innovantes et des modesde prestations adaptés aux problématiques de l’entreprise étendue.Nous préservons les environnements de nos clients en assurant enpriorité la couverture des besoins métiers afin de créer les bases d’uneTransformation Digitale réussie.La mutualisation des solutions IAM11

White paperÀ proposd’AtosAtos est un leader international de latransformation digitale avec environ100 000 collaborateurs dans 73 pays et unchiffre d’affaires annuel de l’ordre 12 milliardsd’euros. Numéro un européen du Big Data,de la Cybersécurité, des supercalculateurset de l’environnement de travail connecté, leGroupe fournit des services Cloud, solutionsd’infrastructure et gestion de données,applications et plateformes métiers, ainsi quedes services transactionnels par l’intermédiairede Worldline, le leader européen des servicesde paiement. Grâce à ses technologies depointe et son expertise digitale & sectorielle,Atos accompagne la transformation digitalede ses clients dans les secteurs Défense,Finance, Santé, Industrie, Médias, Énergie &Utilities, Secteur Public, Distribution, Télécoms,et Transports. Partenaire informatique mondialdes Jeux Olympiques et Paralympiques, leGroupe exerce ses activités sous les marquesAtos, Atos Consulting, Atos Worldgrid, Bull,Canopy, Unify et Worldline. Atos SE (SocietasEuropea) est une entreprise cotée surEuronext Paris et fait partie de l’indice CAC 40.CT J1386 180918 RY WP LAMUTUALISAPlus d’informationsatos.netAtos, le Atos logo, Atos Consulting, Atos Worldgrid, Bull, Unify, Worldline sont des marques enregistrées d’Atos. Toutes les marques citées sontla propriété de leurs titulaires respectifs. Atos se réserve le droit de modifier ce document à tout moment et sans préavis. Certaines offres oucomposants d’offres décrits dans ce document peuvent ne pas être disponibles localement. Veuillez prendre contact avec votre correspondantAtos local pour prendre connaissance des offres disponibles dans votre pays. Ce document ne saurait faire l’objet d’un engagementcontractuel. Septembre 2018 2018 Atos

**Gartner Magic Quadrant 2018 for Identity Governance & Administration, Kevin Kampman, Brian Iverson,02/2018. 5 . Une solution IAM mutualisée peut être le choix de prestation idéal à condition de bien analyser les risques inhérents au projet. Dans certain cas, les projets peuvent échouer ou des solutions IAM mal conçues .