La mise en œuvre d’une Gouvernance des Identités et des Accès

“Vous n’avez pas les droits pour accéder à ce dossier”, derrière ce simple message se cache le fruit d’une politique centrale en matière de sécurité pour les entreprises : la Gouvernance des Identités et des Accès (acronyme en anglais IAG). En effet, le cloisonnement de l’accès à certaines données peut être une arme redoutable pour garantir le respect de procédures règlementaires ou tout simplement la sécurité des données de l’entreprise. Une bonne attribution des droits et leur révision périodique ne freinent pas l’activité de l’entreprise et prennent bien en compte les besoins des utilisateurs finaux. Le résultat optimal doit être poursuivi dès la mise en place de la Gouvernance des Identités et des Accès : comment y parvenir ?

Que la décision de mettre en place une Gouvernance des Identités et des Accès soit le résultat d’une recommandation à la suite d’un audit ou de la mise en application d’une règlementation (ex : RGPD…), celle-ci doit impérativement impliquer, dès la phase de cadrage, les Métiers concernés. L’objectif de sécurité informatique ou de mise en conformité continuera évidemment d’être un axe prioritaire et l’inclusion des utilisateurs finaux permettra de leur faire prendre conscience des enjeux et des contraintes. La solution retenue conservera ainsi une bonne opérationnalité au quotidien. L’implication des Métiers se matérialise lors de la phase de cadrage et d’analyse afin de pouvoir recueillir de manière croisée les enjeux et les priorités de chacune des parties prenantes. Un autre outil pertinent consiste à établir des dictionnaires des droits techniques exprimés clairement pour les Métiers afin de traduire les codes techniques en libellés compréhensibles. Et, comme la mise en place d’une Gouvernance des Identités et des Accès s’accompagne de changements dans les processus (mode d’établissements des profils, mode de révision et de contrôle des accès…), cette implication précoce des Métiers permet de responsabiliser les acteurs et de préparer la conduite des changements inhérents.

L’autre gage de réussite de la mise en place d’une IAG réussie reste de s’appuyer sur des outils dédiés dans toutes les phases du projet, de la phase d’analyse des données brutes existantes à la phase de révision périodique des accès donnés. La mise en place d’une solution flexible et une approche itérative s’avère rapidement bénéfique. En effet, suite à la phase d’état des lieux des identités et des accès existants (analyse des profils), il va falloir proposer une traduction de la gouvernance à travers une solution dédiée. Ce qui signifie s’accorder sur des fonctionnalités et des paramétrages qui peuvent être plus nombreux (conséquence d’une solution flexible pour pouvoir répondre aux différents besoins). En retenant une approche itérative, l’exercice est plus serein pour tous. Une bonne pratique souvent retenue consiste à proposer rapidement une version initiale du paramétrage de la solution, de la présenter concrètement et visuellement aux utilisateurs et de collecter leurs remarques puis de les incorporer dans une révision prochaine du paramétrage de l’outil. En proposant ainsi des versions itératives, le produit se construit avec les utilisateurs. Les cycles de modification du paramétrage de la solution se doivent de suivre les principes de l’Agilité et d’être à ce titre relativement courts afin de conserver l’implication de tous les acteurs et de pouvoir délivrer des résultats au plus proche du besoin des utilisateurs. Les principes d’itérations doivent d’ailleurs être intégrés à l’approche de déploiement de la solution sur l’écosystème informatique de l’entreprise. Il est préférable de commencer sur un périmètre restreint d’applications et de l’étendre par lots successifs en suivant une roadmap. L’introduction des premières applications au sein de la Gouvernance des Identités et des Accès permettra de collecter les premiers retours des utilisateurs et de l’améliorer en continu pour la suite du déploiement.

La sécurité informatique étant devenu l’affaire de tous, les Directions Générales multiplient les projets liés à la sécurisation des processus. Avec l’avènement de nouvelles méthodologies beaucoup plus légères, de solutions plus flexibles et d’une démarche pédagogique et inclusive, ces projets peuvent devenir de vrais leviers pour diffuser la sensibilisation aux enjeux de la sécurité. C’est également l’occasion de valoriser les Métiers dans la redéfinition d’une partie de leurs processus récurrents

Tribune rédigée par Alexandre Huynh-Van-Loc, consultant senior chez Kleverware

Vous avez aimé cet article?

Partager sur twitter
Twitter
Partager sur linkedin
LinkedIn