Les Assises de la Sécurité 2009, Monaco. Les apparences sont parfois trompeuses : qui eu cru qu’une question aussi anecdotique que le rôle de l’annuaire d’entreprise dans un projet de gestion des identités (à vos souhaits) puisse faire salle quasi-comble ?

Car la question semble aller de soi au premier abord : dans un projet de gestion des identités, on veut gérer… des identités. Et ces dernières se trouvent… dans l’annuaire. Il faut donc un annuaire avant d’attaquer la gestion des identité. Emballez, c’est pesé.

Jusqu’à ce que Alain Bouillé, DSSI de la Caisse des Dépôts, n’apporte son témoignage. « Le souci de commencer par l’annuaire c’est que l’on risque de passer un temps fou à fiabiliser des données dont on n’a pas besoin, et pendant ce temps on n’avancera pas sur le projet d’identité ! C’est pourtant sur la fiabilité des processus d’habilitation et des accès que le projet est attendu, et certainement pas sur la fiabilité de l’adresse email », met-il en garde.

Ce qui importerait ce serait donc plutôt les procédures, le workflow, l’implication des métiers… en bref, très peu d’informations fiables seraient nécessaires pour commencer à travailler. « Tout ce qui nous intéresse au début c’est le nom, le prénom, l’entité d’appartenance et la date de fin de contrat. Tout le reste, c’est de la littérature », poursuit Alain Bouillé.

Pour son projet de modernisation des habilitations, la CDC a donc ignoré l’aspect annuaire de la chose et a préféré attaquer par le coeur de la question : les habilitations.

Mais même ici, ce n’est pas forcément une bonne idée de se lancer bille en tête : un grand ménage applicatif s’impose au préalable. « Nous avons avancé métier par métier, et pour chaque métier nous avons progressé application par application afin de créer une base des bonnes habilitations. Nous avons intégré au final 170 applications sur un inventaire de plus de 300, car cette approche nous a permis d’éliminer de nombreux doublons, des applications mineures ou en fin de vie, etc… », se souvient Alain Bouillé.

Un tel coup de balai aura facilité par la suite la création des rôles en offrant un périmètre plus réduit et surtout réellement utile (on retire des inconnues à une équation déjà bien complexe).

Gérer des habilitations avant des identités

Une fois les rôles et les habilitations plus clairement définis, il est enfin possible d’attaquer le coeur du projet : la gestion de ces habilitations. Et pour cela, il faut effectivement des identités sous la main. « Nous avons alors tout simplement créé notre propre annuaire, qui ne sera que l’annuaire du projet IAM, sans vocation à devenir l’annuaire unique de l’entreprise », explique Alain Bouillé. Ce référentiel a été constitué en important de la base RH les seules informations nécessaires à la gestion des identités. Il « vit sa vie » sans aucune tentative de rapprochement ni de fiabilisation par rapport aux données RH.

En revanche, ce nouvel annuaire « de travail » dispose d’un atout que les RH n’ont pas : un réseau de correspondants métiers chargés d’y insérer les informations nécessaires au moment de l’arrivée des personnels (car la RH, finalement, n’a connaissance des nouveaux arrivants qu’en fin de mois, au moment d’établir les paies). L’annuaire « IAM » devient ainsi, en quelque sorte, plus près des métiers et plus fiable que celui de la RH en ce qui concerne les données vraiment utiles au projet d’identité. « Et il est forcément à jour car pour accéder à quoi que ce soit, il faut qu’un correspondant déclare le nouvel arrivant », explique Alain Bouillé.

A partir de ces données minimales – et sans perdre de temps à assurer leur fiabilisation à outrance – le projet a pu se concentrer sur les processus d’habilitation. La CDC a ainsi rapidement mis en place un système en ligne destiné à remplacer avantageusement les liasses de demandes d’habilitation. Celui-ci permet notamment de savoir à tout moment où en est une demande spécifique, et qui la bloque en ne l’ayant pas encore approuvée.

Un ROI pas virtuel

« Le ROI a été très rapide : nous sommes passés de quinze administrateurs à seulement trois, tout en réglant les problèmes des bordereaux signés à l’avance, perdus, faxés au mauvais numéro, etc… », se félicite Alain Bouillé. Et obtenir rapidement des résultats concrets a eu un autre avantage : les propriétaires d’applications mineures qui n’étaient pas encore intégrées au système demandent désormais eux aussi à rejoindre le club.

A ce stade du projet, un rapprochement d’annuaires devient toutefois nécessaire. « C’est là que le rapprochement avec l’annuaire RH a du sens, car cela nous permet de fiabiliser la date de fin de contrat, qui posait des soucis à nos correspondants métiers », détaille Alain Bouillé.

Comme tous les projets d’envergure, celui-ci n’a toutefois pas échappé à sa bataille politique. Celle-ci a eu lieu lors du rapprochement avec la base RH : il a fallu convaincre les Ressources Humaines de bien vouloir utiliser l’identifiant unique généré au moment de l’entrée du nouveau collaborateur dans l’annuaire IAM, et non celui créé par la RH dans son propre système, à la fin du premier mois au moment de faire la paie.

Essentiel, cet identifiant assure le lien entre les deux annuaires et devient l’identité unique de chaque utilisateur, ce qui permet d’échapper aux problèmes d’homonymie, d’orthographe, etc… entre les deux systèmes. Il est ensuite alors possible de procéder, de proche en proche, à l’importation d’autres données fiabilisées depuis les autres référentiels si nécessaire.

Annuaire ou pas ? Ca dépend…

Alors, annuaire ou pas ? « Maintenant que nous sommes passés à l’étape suivante, que nous exploitons effectivement l’IAM (habilitations, contrôle des accès, gestion ducycle de vie des personnes) et que nous assurons grâce au projet la sécurité des transactions et la gestion de la preuve, avoir commencé par l’annuaire ou autre chose ne change plus rien en soit », reconnaît volontiers Alain Bouillé.

Commencer ou non par l’annuaire change en définitive tout au début du projet, mais pas grand chose à l’arrivée. A condition d’y arriver un jour : car ne pas s’occuper de l’annuaire permet en revanche de limiter le risque de n’avoir qu’un bel annuaire sans jamais aboutir à une véritable gestion des habilitations.