La modélisation des profils métiers consiste à construire des packages de droits cohérents avec une activité opérationnelle. La démarche permet de prendre en compte la complexité des systèmes d’informations existants, tout en répondant au souhait de mettre les métiers au centre des processus d’habilitation et de certification des droits.

La modélisation des profils métiers va ainsi permettre de :

– Faciliter l’évolution des organisations en anticipant les impacts organisationnels et SI ;
– Améliorer la maîtrise des risques en procédant à des revues d’habilitations intelligibles ;
– Accélérer les projets d’ouverture du SI à des partenaires dans un modèle d’habilitations fédérées ;
– Déléguer l’attribution et l’évolution des habilitations aux responsables métiers ;
– Initier une démarche de rationalisation des référentiels de sécurité d’entreprise.

Une démarche de modélisation de profils métiers s’appuie sur 3 activités clés : l’extraction des données d’habilitations des référentiels, la glossarisation et la modélisation. Ces activités mettent souvent en évidence des actions complémentaires nécessaires à la démarche de modélisation qui contribuent également à l’amélioration du management du SI.

1. L’extraction

Cette activité nécessite de traiter les données d’habilitations existantes, d’impliquer les MOA de chaque ressource, et de comprendre les modèles d’habilitations.
A cette première étape de la démarche, quelques difficultés peuvent apparaitre : les administrateurs de référentiels ne sont pas tous identifiés, les modèles d’habilitations des applications ne sont pas toujours connus ou correctement maintenus et les « sachants » fonctionnels sur certains grands systèmes (AD, RACF) ne sont pas toujours identifiés.
Nous identifions à ce stade la nécessité de lancer des initiatives telles que : la nomination d’administrateurs de référentiels, la formalisation des processus de maintien en condition opérationnelle des modèles d’habilitation, et la construction d’une cartographie applicative.

2. La glossarisation

Le principe de cette activité consiste à traduire les libellés techniques des droits tels qu’ils sont exposés dans les applications en libellés fonctionnels compréhensibles par les métiers.
Ce travail de glossarisation des droits est réalisé par les MOA applicatives ou la Cellule Habilitation,
Cette deuxième étape peut être complexe, dans la mesure où certaines applications n’ont pas de responsables MOA identifiés. Ou encore, les contributeurs MOA nommés ne sont pas en capacité de glossariser l’ensemble des droits de leur périmètre applicatif. Cette revue exhaustive des modèles d’habilitation des applications peut également mettre en évidence des incohérences ou un niveau de complexité inapproprié pour certaines ressources.
La glossarisation est alors l’opportunité d’identifier et de nommer des MOA applicatives, et de rationaliser les modèles d’habilitations dans le respect des exigences des politiques de sécurité.

3. La modélisation

Il s’agit d’arbitrer si les droits doivent être inclus dans les profils métiers, ou attribués de manière discrétionnaire aux collaborateurs. Ces arbitrages peuvent s’avérer difficiles si les contributeurs métiers impliqués (manager ou correspondant habilitation) manquent de connaissances sur les ressources et les droits des applications.

La modélisation nécessite alors d’identifier les propriétaires métiers des ressources capables d’apporter l’expertise sur l’usage des droits de leurs applications en fonction des activités opérationnelles des bénéficiaires.
Par ailleurs, la modélisation est facilitée si une revue des droits est réalisée au préalable permettant ainsi de travailler sur des données de meilleure qualité.
La démarche de modélisation des profils métiers permet donc à l’entreprise de progresser dans la gestion des habilitations en simplifiant les modalités d’attribution des droits et en initiant un travail sur la qualité des données d’habilitation.

Au-delà de ces gains directs, la démarche est l’opportunité d’améliorer la gouvernance du SI en précisant les responsabilités et en identifiant les expertises au sein de la DSI et des directions métiers.

L’accompagnement pour traiter ce sujet doit être global et transverse.
De par notre double compétence fonctionnelle et technique notre cabinet propose un dispositif complet sur ce sujet permettant :

– d’auditer les infrastructures techniques et l’organisation en place afin d’identifier les opportunités ;
– d’apporter une démarche structurée et éprouvée de construction de profils métier ;
– d’apporter une expertise technique reconnue pour l’intégration et l’adaptation de l’infrastructure technique.