1. Rationalisez votre pile
Commencez par lister tous les IAM et outils d’accès associés utilisés (authentification, autorisation, gestion des accès privilégiés, audit, etc.). Pour chaque outil, documentez le propriétaire actuel, le taux d'utilisation, le coût et les fonctionnalités qui se chevauchent. Ensuite, notez chaque outil en posant trois questions : réduit-il un risque d'accès auquel nous sommes actuellement confrontés ? Un autre outil déjà présent dans notre pile pourrait-il couvrir cela ? Peut-on justifier son coût et sa complexité ? Établissez une date limite de mise à la retraite pour tout outil obtenant un faible score. Demandez aux propriétaires de mettre hors service ou de fusionner les outils redondants, et suivez les économies et la diminution du nombre d'outils comme mesures de cette rationalisation.
2. Adoptez une approche de plateforme
Définissez une architecture cible dans laquelle une plate-forme prend en charge une identité unifiée, un accès basé sur les rôles, un accès privilégié, une application cohérente des politiques et une journalisation d'audit. Chaque nouvel outil acquis doit s'intégrer à cette plateforme ou être progressivement supprimé. Fixez-vous un objectif de consolidation (par exemple, pas plus de trois fournisseurs majeurs d’identités et d’accès sur 12 mois). Suivez les progrès à l'aide d'un tableau de bord simple qui surveille le nombre de plates-formes, le pourcentage d'événements d'accès circulant via la plate-forme principale et le nombre d'outils d'accès autonomes restants. Appliquez une évaluation axée sur la plateforme lors de la sélection des fournisseurs.
3. Automatisez le cas échéant
Identifiez les flux de travail manuels à volume élevé liés à votre pile d'identité et d'accès (tels que l'intégration et la désintégration des utilisateurs, les approbations de changement de rôle, les révisions d'accès et l'enregistrement de sessions privilégiées). Choisissez un flux de travail à automatiser : par exemple, lorsque les RH marquent un employé comme licencié, cela devrait déclencher la suppression de tous les accès dans un délai défini. Documentez les étapes en cours, créez des tâches d'automatisation, testez-les de bout en bout et mesurez le temps gagné et la réduction des erreurs. Utilisez ces résultats pour élaborer une analyse de rentabilisation en faveur d’une automatisation plus poussée à travers la pile.
4. Améliorer la gouvernance
Créer un mécanisme de gouvernance qui convoque un comité mensuel de révision de l'architecture réunissant la sécurité, les opérations informatiques, les unités commerciales et les achats. Utilisez une liste de contrôle d'acquisition d'outils qui demande : ce nouvel outil duplique-t-il une fonctionnalité existante ? Peut-il s'intégrer à notre plateforme d'identité et alimenter les journaux dans notre système centralisé de gestion des informations de sécurité et des événements ? Mettez également en œuvre des rapports sur les indicateurs de performance clés pour l'efficacité des outils, couvrant le nombre d'outils retirés, les économies de coûts par outil, le nombre de licences orphelines, le taux d'achèvement des révisions d'accès et le nombre de tâches d'accès manuel restantes. Consultez ce rapport tous les trimestres et utilisez-le pour appliquer la politique : aucun nouvel outil n'est acheté sans l'approbation du conseil d'administration.
