Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Pour une approche lean de la gouvernance des identités et des accès

septembre 2020 par Bertrand Augé, CEO de Kleverware

Tout dirigeant d’entreprise ou responsable d’équipe a déjà été confronté au casse-tête de la gestion des accès informatiques de ses collaborateurs. Il s’agit, d’une part, de donner des accès suffisamment larges pour ne pas bloquer ou ralentir les processus opérationnels tout en s’assurant que certains collaborateurs ne disposent pas d’accès trop étendus ou non nécessaires. Ces derniers peuvent en effet être la source d’opérations malencontreuses voire frauduleuses notamment quand il s’agit de données très sensibles au sein de l’entreprise. C’est sur la bonne gestion de cet équilibre que repose la gouvernance des identités et des accès. Bien qu’indispensables pour répondre aux exigences règlementaires et se prémunir contre des risques croissants, les processus inhérents au maintien d’une gouvernance pertinente sont encore bien souvent perçus comme trop contraignants, trop lourds…ce qui conduit parfois à manquer l’objectif premier qui est de protéger l’intégrité de l’entreprise.

En raison de la croissance exponentielle des données détenues par les entreprises, des applications pour les gérer et donc des différents accès nécessaires pour y accéder, la tâche périodique (le plus souvent annuelle) de « revues des droits » par les responsables IT ou Métier est bien souvent devenue un fardeau. C’est à partir de là qu’apparaissent les risques dans l’attribution correcte des droits aux utilisateurs. Afin de redonner de la pertinence à la gouvernance des identités et des accès, il convient de s’inspirer d’autres domaines ayant fait face aux mêmes enjeux, à savoir une lourdeur qui empêche d’être d’efficace en adoptant une démarche dite lean. Issu à l’origine de l’industrie automobile mais ayant essaimer bien au-delà entre temps, le Lean Management consiste à se débarrasser des tâches n’impactant pas positivement la chaine de valeur ajoutée. Les processus doivent être « amaigris » de tout le superflu pour retrouver leur performance dans l’atteinte de l’objectif, que celui-ci soit la cadence de production, la satisfaction client ou le time-to-market d’un produit.

L’application de cette approche Lean à la Gouvernance des Identités et des Accès revient notamment à en alléger les processus de révisions périodiques (ou recertifications). En effet, afin que les droits et accès attribués à un moment donné restent ceux effectivement nécessaires, il est indispensable de s’assurer de leur pertinence dans le temps. L’évolution des processus internes, des règlementations ou les mouvements de personnels au sein de l’organisation peuvent conduire les accès existants à ne plus être pertinents au fil du temps. Mais la revue complète de l’exhaustivité des droits de tous les collaborateurs et leur confrontation aux besoins réels (mais évolutifs) peut rapidement se révéler une tâche redoutée par les managers. L’importance de contrôler strictement l’accès à l’intranet de la société n’est probablement pas la même que l’accès au fichier clients ou aux comptes bancaires de l’entreprise. En se focalisant sur les accès « les plus risqués », l’effort s’en trouve réduit et les managers peuvent ainsi y accorder toute l’attention nécessaire sans y consacrer une charge démesurée. De manière identique, le processus de recertification peut être fortement allégé en se concentrant sur les changements intervenus dans les droits et accès depuis la dernière revue.

Pour parvenir à cet allègement des processus par priorisation des risques et des cas suspects, encore faut-il disposer d’outils permettant d’établir de manière efficace et rapide la liste priorisée et détaillée des identités et des accès. Différentes solutions de marché existent évidemment pour couvrir ce besoin facile à intégrer dans l’écosystème informatique de l’entreprise et rapide à mettre en œuvre. A défaut, le risque est important de reporter l’écueil de la lourdeur d’exécution des campagnes de recertifications sur le processus d’intégration de l’outil devant permettre de les alléger. Être lean de bout en bout en somme.


Voir les articles précédents

    

Voir les articles suivants