Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

La gestion de rôles pour trouver un langage commun entre la sécurité et les métiers

mai 2008 par Marc Jacob

Lors de la deuxième journée des 4èmes RIAM, Alain Fichot, Directeur Business Développement de SecurIT, accompagné d’un RSSI, ont animé une table ronde sur le thème « la mise en place de la gestion des habilitations : un modèle de rôle hiérarchique pour la délégation des métiers de la sécurité des SI. Aujourd’hui passer à la gestion des rôles tente de plus en plus de RSSI, car cela permet de déplacer la sécurité vers les métiers. Ce déplacement amène les business métiers à s’impliquer dans la gestion des identités et d’établir un langage commun entre la sécurité et les métiers.

Alain Fichot a rapidement présenté sa vision de la gestion des rôles en partant du modèle RBAC. Il a montré l’intérêt de gérer les identités et habilitations par les rôles. Son modèle repose sur 3 couches dont deux sont gérées par la DSI et les administrateurs, la troisième incombant aux métiers. Il a conseillé de limiter le nombre de rôles à 5 afin de simplifier les architectures et de présenter une situation plus facile à comprendre par les métiers. Le débat qui a suivi à montrer qu’il fallait éviter d’avoir une position dogmatique sur l’administration des droits, mais plutôt de s’adapter au quotidien de la vie des collaborateurs de l’entreprise.

Le problème de la réorganisation continuelle a été posé car il nécessite à l’IAM de coller à ces mouvements. Dans ce contexte, la modélisation des rôles semble être l’une des pistes à ne pas exclure. Toutefois, il est nécessaire de traduire la véritable organisation des entreprises en termes d’utilisation des ressources humaines pour y arriver. L’intérêt d’une approche par rôle est la prise en compte du mode de fonctionnement de l’entreprise. Par contre, le différentiel d’ajustement entre l’organisation théorique et pratique ne peut pas être à ce jour modélisable. Un RSSI a mis en place une telle approche dans son entreprise depuis plus d’un an en appliquant une double approche sur la base d’un existant sur le référentiel RH et les métiers en identifiants des experts métiers. Il a ainsi demandé à ces experts métiers de valider les applications dont ils avaient réellement besoin dans leurs tâches. Il leur a fait aussi valider le vocabulaire pour être en phase avec la réalité de leurs métiers. Ceci lui a permis d’avoir une vue transversale de tous les métiers de son entreprise.

Pour cet autre RSSI, du domaine des services, la gestion des rôles doit être décollée du provisioning. Selon un autre RSSI d’une institution financière, il est parfois nécessaire qu’un gestionnaire de rôles puisse réassembler les profils en fonction de ses besoins terrains.

Pour conclure, ce débat, un RSSI d’une entreprise de 4.000 personnes a limité le nombre de business mais a mis en place des possibilités optionnelles de rajouter des accès à des applications pour coller à la réalité des métiers.


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants