Les clés du processus de création et de gestion des habilitations
« Limiter les accès aux seules données dont un utilisateur a besoin ». Voilà ce que nous dit la CNIL. Une entreprise doit donc savoir créer et gérer des profils d’habilitations différents en fonction des besoins des utilisateurs. Mais les enjeux sont plus nombreux que le respect des règles. La gestion des habilitations engage aussi des aspects financiers, de sécurité, ou encore d’efficacité. Il faut donc réfléchir avant d’agir.
Armand Chaigneau,
Consultant Senior, Celencia Niort
Les habilitations, c’est quoi ?
Tout d’abord, qu’est-ce qu’une habilitation ? L’objectif de l’article n’est pas d’entrer dans des considérations trop techniques. Donc pour rester simple on peut dire que les habilitations sont l’ensemble des droits accordés à un utilisateur pour qu’il accède à un applicatif.
Les droits attribués peuvent être simples ou complexes :
- Simple : j’autorise (ou pas) l’accès à l’utilisateur. Celui qui a l’accès peut ensuite effectuer toutes les actions possibles.
- Combiné : j’autorise un accès différencié à l’utilisateur selon des macro-actions (lecture, écriture, modification, suppression).
- Complexe : j’autorise de façon détaillé un accès à l’utilisateur (j’ai le droit de faire une action A mais pas une action B, j’ai le droit de voir le type de document X mais pas le type de document Y…).
Les droits sont généralement distincts selon les applications, puisque les besoins de l’utilisateur varient. Il y a alors autant d’habilitations différentes que d’applications.
Mais comment construire des habilitations ?
Le meilleur point de départ est de partir du besoin des utilisateurs.
Une première analyse peut permettre de mesurer ce besoin, c’est-à-dire de ne pas faire trop complexe ou trop simple si la situation ne l’exige pas. On gagne bien sûr en efficacité sur la phase de construction (BUILD), mais aussi sur le long terme lorsqu’il s’agira de maintenir les habilitations des utilisateurs dans le temps (RUN).
La seconde étape consiste à impliquer des ressources métiers. On parle ici des salariés, des managers… Il arrive encore trop souvent que des applicatifs soient mis à disposition des acteurs sans qu’ils aient été consultés ou impliqués. L’intérêt est pourtant conséquent. Cela permet d’abord de proposer une solution qui convienne à leur utilisation de l’applicatif, mais aussi d’anticiper la gestion des habilitations dans le temps. Il est parfois plus intéressant de laisser la gestion ou l’administration des habilitations à un nombre limité de représentants des métiers, plutôt que de centraliser cela dans un service dont ce n’est pas l’activité principale.
Une fois construites, les habilitations peuvent être attribuées aux utilisateurs, sur la base de leur identité numérique, ce qui permet d’identifier un compte utilisateur de façon unique dans l’entreprise. L’entreprise est d’ailleurs garante de la constitution et de la maintenance d’un référentiel unique des utilisateurs et des droits qu’on leur accorde, tout en respectant les règles de la CNIL et du RGPD.
La gestion des habilitations : un processus à ne pas négliger
En parallèle de la construction et l’attribution des habilitations aux utilisateurs, il est nécessaire d’anticiper la gestion récurrente des habilitations.
Le premier input est de cartographier les habilitations. C’est-à-dire de détailler comment fonctionnent les différentes habilitations du système.
Cette cartographie est importante car elle permet également de faire le lien entre une habilitation et un métier. Ainsi, il sera plus simple pour ceux qui gèrent les habilitations d’attribuer une habilitation à un nouvel arrivant. Cela facilitera également d’un point de vue réglementaire les tâches d’audit.
Pour gagner en réactivité, il est important de définir et de communiquer un processus pour solliciter une habilitation. Le système se doit d’être guidant pour l’utilisateur. Il doit savoir à qui s’adresser, par quel canal, et ce qu’il doit transmettre comme informations à l’opérateur en charge de l’habiliter. En parallèle, celui-ci doit connaître les éléments à contrôler, ce qu’il doit attribuer à l’utilisateur et comment. Les temps sont ainsi raccourcis et tous les utilisateurs gagnent en efficacité. Dans certains cas, il est même possible d’automatiser ce processus, par la mise en place d’un workflow permettant d’attribuer de façon automatique une habilitation à un utilisateur.
Automatiser les processus d’habilitations
Sur le marché, de nouvelles solutions apportent de la valeur. C’est le cas de l’IAM (Identity and Accès Management), ou GIA en français (Gestion des Identités et des Accès). Il s’agit, pour faire simple, de la gestion des utilisateurs et de leurs habilitations.
L’intégration de ce type de logiciel permet de considérer la gestion des habilitations de façon globale. L’entreprise impulse alors la mise en place d’une stratégie pour gérer l’ensemble de la chaine de valeur dans un outil.
La clé est bien de savoir qui a accès à quoi. Car les utilisateurs ont accès à de multiples applications, ce qui fait par ailleurs grimper le risque de fraude ou d’attaque informatique. On le voit bien aujourd’hui avec les cyber-attaques, les risques liés à la sécurité sont des risques sous-estimés par les entreprises, alors qu’elles peuvent se retrouver paralysées dans leurs activités. L’IAM permet donc d’automatiser les processus pour gérer les entrées, les sorties et les mouvements des utilisateurs. Les entreprises font ainsi des gains de temps et de sécurité non négligeables.
Prêts à vous lancer ?
La création et la gestion des habilitations sont donc des processus complexes à mettre en œuvre. Au-delà des éléments techniques, il y a aussi des notions d’organisation, de gestion des risques et de culture de l’entreprise qu’il faut prendre en compte.
Si vous avez besoin d’accompagnement sur ces sujets, les équipes Celencia des bureaux de Niort, Nantes, Paris ou Lyon sont à votre écoute.
N’hésitez pas à venir nous partager vos problématiques, nous nous ferons une joie d’y répondre !