La gouvernance des accès est une discipline qui vise à s’assurer de la justification des droits des utilisateurs dans les applications. Elle s’appuie sur une politique des identités et du contrôle des accès, que chaque organisation doit se définir et qui donne les règles que doivent suivre les applications pour authentifier les utilisateurs et les règles qui définissent les habilitations et la manière de les obtenir.  Elle consiste ensuite à vérifier de la bonne application de la politique adoptée, en deux volets :
• a priori, par la définition des processus d’acquisition et de perte des droits
• a posteriori, en analysant les droits effectifs des utilisateurs dans les applications.

Le résultat de l’analyse a posteriori conduit à une mise en conformité par correction des droits.

L’affectation des droits applicatifs est souvent perçue comme une opération technique et est assurée par les équipes de support informatique qui ne maitrisent pas toutes les conséquences opérationnelles des droits qu’ils attribuent. Leur objectif est de traiter la demande le plus rapidement possible en appliquant des procédures qui doivent être claires et adaptées aux contraintes opérationnelles. Et si l’affectation des droits peut être maîtrisée, il est bien plus difficile d’identifier tous les évènements (mouvements du personnel, changements d’organisation, évolution des applications) qui nécessitent une réévaluation ou une réduction des droits de certains utilisateurs et de mettre en œuvre les corrections requises sans délai.

Face à ces difficultés organisationnelles, il est fort probable que certains collaborateurs disposent de droits qui excèdent leurs prérogatives professionnelles. Au-delà de la mise en conformité avec les exigences définies dans certaines réglementations sectorielles (Sarbanes-Oxley, Bâle, PCI-DSS, LPM, etc.), l’absence ou l’inefficacité des contrôles sur la pertinence des droits affectés aux différents collaborateurs peut causer des dysfonctionnements ou faciliter des opérations frauduleuses aux conséquences parfois dramatiques. Dans un contexte d’ouverture du système d’information, il devient encore plus important de maitriser les droits des utilisateurs pour limiter les impacts en cas d’usurpation d’identité.

Trouver le bon compromis entre la souplesse de l’organisation nécessaire à son adaptation à un environnement difficilement prévisible et la rigidité imposée par l’application stricte du principe de moindre privilège ou du « besoin d’en connaitre » est un véritable casse-tête. C’est pourtant la clé du succès d’un programme de gouvernance des accès.

On peut être tenté de succomber aux promesses de l’Intelligence Artificielle pour résoudre ce problème : identifier automatiquement les rôles métiers, détecter les anomalies et proposer les habilitations adaptées aux différents utilisateurs. Mais l’apprentissage automatique doit souvent être assisté et nécessite beaucoup d’informations pour prendre des décisions pertinentes. Hors, c’est généralement le manque d’informations contextuelles qui rend difficile la validation des droits par les responsables hiérarchiques ou fonctionnels.

Une approche plus pragmatique consiste à analyser les processus existants, identifier les améliorations possibles et les moyens nécessaires pour les mettre en œuvre efficacement par petits lots selon une méthodologie agile. On pourra s’appuyer sur des analyses de risques ou une classification des données pour déterminer les domaines à traiter en priorité.

La réussite d’un programme de gouvernance des accès ne commence pas par la mise en œuvre de la solution IGA la plus novatrice ou la plus réputée. Au contraire, aborder la gouvernance des accès comme un projet technologique est inefficace car il s’agit fondamentalement d’un programme de transformation de l’organisation.

Avant de chercher à automatiser les procédures d’attribution, de re-certification et de révocation des droits, il convient de définir une politique de contrôle d’accès adaptée au contexte et à la maturité de l’organisation. Ce document aura pour objectif de cadrer les différents processus associés à l’authentification des utilisateurs du SI et à la gestion et aux contrôles des droits d’accès.

Même si la politique de [contrôle d’accès] vise à être applicable à l’ensemble du système d’information, elle devra être déployée progressivement, en priorité sur les ressources les plus sensibles et les droits les plus critiques.

Pour la réussite de votre projet de gouvernance des accès, Aduneo vous accompagne depuis la rédaction de la politique de contrôle d’accès adaptée à votre organisation jusqu’au déploiement et à la configuration d’une solution IGA (Identity Gouvernance and Administration) pour optimiser les processus de validation et de contrôle des habilitations.