Pro de gestion du cycle de vie des utilisateurs

La gestion du cycle de vie des utilisateurs (ULM) est un élément clé de la gouvernance et de l'administration des identités, axé sur la gestion de l'ensemble du cycle de vie des identités des utilisateurs au sein d'une organisation.

ULM comprend différents processus et étapes, allant de l'intégration initiale d'un utilisateur à son retrait ou déprovisionnement. L'objectif principal d'ULM est de garantir que les utilisateurs, internes et externes, disposent des droits d'accès et des autorisations nécessaires à leurs fonctions au sein de l'organisation ou en collaboration avec elle, tout en minimisant les risques de sécurité.

Le cycle de vie de l’utilisateur comprend généralement les étapes suivantes :

• Intégration : Il s'agit de la première étape de l'intégration d'un nouvel utilisateur dans l'organisation. Lors de cette étape, le système de gouvernance et d'administration des identités ( IGA ) crée une identité utilisateur, attribue les droits d'accès et autorisations nécessaires en fonction de son rôle et de ses responsabilités, et configure les identifiants d'authentification (nom d'utilisateur, mot de passe ou autres méthodes d'authentification, par exemple).
• Utilisation et suivi : Le suivi des activités et des accès des utilisateurs est essentiel pour détecter les anomalies ou les menaces de sécurité. Les systèmes IGA peuvent surveiller le comportement des utilisateurs, générer des journaux et fournir des informations sur les activités suspectes.
• Gestion des mises à jour des utilisateurs : Lorsque des utilisateurs changent de rôle, de service ou de responsabilités au sein de l'organisation, leurs droits d'accès doivent être mis à jour en conséquence. Cette étape consiste à modifier les autorisations des utilisateurs pour les adapter à leurs nouvelles exigences, tout en veillant à ce que les accès inutiles soient révoqués.
• Déclassement : Lorsqu'un utilisateur quitte l'organisation ou n'a plus besoin d'accéder à des ressources spécifiques, un processus de déclassement est lancé. Il consiste à révoquer les droits d'accès, à désactiver les comptes et à s'assurer que l'utilisateur sortant ne représente plus un risque pour la sécurité. Il est crucial de déclasser rapidement les utilisateurs afin d'éviter tout accès non autorisé.
• Archivage et conservation des données : Dans certains cas, les organisations peuvent avoir besoin d'archiver les données des utilisateurs et de les conserver pour des raisons juridiques ou de conformité, même après leur départ. Cette étape comprend le stockage et la gestion sécurisés des données utilisateur archivées.
• Rapports et conformité : tout au long du cycle de vie de l'utilisateur, les organisations doivent conserver des enregistrements des accès et des actions entreprises à des fins d'audit et de conformité.

ULM aide les organisations à garantir la sécurité, la conformité et l'efficacité opérationnelle. Grâce à ULM, l'accès utilisateur est aligné sur les besoins métier et les politiques de sécurité à toutes les étapes de leur parcours au sein de l'organisation. L'automatisation d'ULM permet de rationaliser nombre de ces processus, les rendant plus efficaces et moins sujets aux erreurs humaines.

Défis typiques auxquels sont confrontées les organisations européennes avec l'ULM :

• Départ retardé : 90 % des organisations signalent que le départ prend plusieurs jours, ce qui augmente les risques de sécurité.
• Création manuelle d'utilisateurs : La création d'utilisateurs repose souvent sur des opérations manuelles ou des scripts personnalisés dans Active Directory , qui ne prennent pas en charge les mises à jour. Cette approche peut entraîner des risques de sécurité et une non-conformité avec les nouvelles réglementations européennes.
• Mises à jour fréquentes des utilisateurs : Les mises à jour des utilisateurs, notamment pour les travailleurs temporaires ou les changements de service, doivent être effectuées fréquemment. Les méthodes manuelles sont à la fois coûteuses et risquées.
• Contrôle d'accès incohérent : il est difficile de gérer et d'appliquer des politiques de contrôle d'accès cohérentes sur l'ensemble des ressources d'une organisation tout au long du cycle de vie de l'utilisateur.
• Gestion manuelle des comptes : les administrateurs informatiques gèrent souvent les comptes utilisateurs manuellement, ce qui augmente les coûts et les risques de sécurité.
• Identification des incohérences : Les administrateurs informatiques doivent identifier manuellement les incohérences entre les informations utilisateur issues des systèmes RH et celles des comptes figurant dans les annuaires clients. Cette tâche est complexe et coûteuse, et conduit souvent à l'absence d'identification de comptes inutilisés ou orphelins.
• Gestion des droits d'accès pour les absences de longue durée : la gestion manuelle des droits d'accès lors d'absences de longue durée, telles que les congés de maternité ou de maladie, peut entraîner des problèmes de sécurité si l'accès n'est pas correctement désactivé.

Efecte IGA fournit des cas d'utilisation et des capacités qui répondent aux défis mentionnés précédemment :

Intégration facile : l'intégration peut être facilement gérée via Efecte IGA Self-Service à l'aide du cas d'utilisation « Créer un nouvel utilisateur ».
Alternativement, l'intégration entièrement automatisée est possible lorsque l'intégration avec les systèmes RH est en place, en tirant parti du cas d'utilisation de la gestion du cycle de vie des utilisateurs .

Mises à jour faciles : les mises à jour peuvent être gérées via Efecte Self-Service à l'aide du cas d'utilisation « Mettre à jour les informations utilisateur ».
Des mises à jour entièrement automatisées sont également disponibles lorsqu'elles sont intégrées aux systèmes RH, en utilisant les cas d'utilisation de la gestion du cycle de vie des utilisateurs .
Ces mises à jour peuvent concerner des informations personnelles, telles que des changements de prénom ou de nom, pour lesquelles la solution IGA génère de nouveaux attributs d'annuaire pour l'utilisateur. Pour les mises à jour d'informations professionnelles, telles que les changements de titre, la solution IGA valide et met à jour les annuaires et ajuste les droits d'accès de l'utilisateur si des règles automatisées sont en place.

Débarquement facile : le débarquement peut être géré via Efecte Self-Service à l'aide du cas d'utilisation « Mettre à jour les informations de l'utilisateur sortant ».
Le départ entièrement automatisé est également possible lorsqu'il est intégré aux systèmes RH, en utilisant à nouveau le cas d'utilisation de la gestion du cycle de vie des utilisateurs .

• Le départ comprend généralement la fin des périodes de travail de l'utilisateur, la désactivation des comptes d'annuaire associés et la révocation des droits d'accès. Ce processus est initié par la définition de la date de fin d'emploi de l'utilisateur.
  • Si l'accès physique est géré via la solution IGA , le débarcadère comprend également la restitution des clés, badges, etc.
  • L'offboarding peut être étendu avec des cas d'utilisation ITSM/ESM (Enterprise Service Management), tels que le retour d'appareils, de vêtements de travail, etc.

Gestion des périodes de travail : les clients peuvent définir des actions liées aux informations reçues par la solution IGA , notamment la gestion des utilisateurs avec plusieurs périodes de travail actives.

Gestion de compte : définit quelles informations sont livrées et à quel(s) répertoire(s) du client.

Règles automatisées : La solution Efecte IGA permet aux administrateurs de définir des règles automatisées basées sur les informations relatives aux unités organisationnelles, aux centres de coûts et aux intitulés de poste. Elle couvre le contrôle d'accès basé sur les attributs (ABAC), le contrôle d'accès basé sur les rôles (RBAC) et le contrôle d'accès basé sur l'organisation (OrBAC).

Rapports et actions d'administration : les rapports d'administration IGA et les autres actions nécessaires sont détaillés dans les cas d'utilisation de la gestion du cycle de vie des utilisateurs (reportez-vous au chapitre sur les cas d'utilisation pour les administrateurs IGA ).

Les informations personnelles et professionnelles de l'utilisateur peuvent être reçues à partir du libre-service (par exemple, pour les utilisateurs externes) ou de la solution RH via un connecteur prêt à l'emploi , Efecte Integration Service ou une intégration Open API .

La figure suivante illustre les cas d'utilisation spécifiques au processus ULM dans Efecte IGA . ULM s'appuie sur les cas d'utilisation et les fonctionnalités d'ARM, notamment la génération de rapports pour les besoins de conformité ULM.