Aller sur la page d'accueil Aller sur la page de recherche Aller sur la page contact Aller sur la page de connexion à son compte
Aller sur le compte Facebook Aller sur le compte Linkedin Aller sur le compte twitter Aller sur le compte Vimeo
S'abonner à la lettre du risque

Newsletter

Produits

{{{name}}}

Services

{{{name}}}

Fabricants

{{{name}}}

Experts

{{{name}}}

Fiches pratiques

- {{{name}}}

Actualités

- {{{name}}}

Normes

- {{{name}}}

Solutions

- {{{name}}}

Accueil > Actualités et normes > Pour une approche lean de la gouvernance des identités et des accès

Croix pour fermer

Risques informatiques

Pour une approche lean de la gouvernance des identités et des accès

Publié le

Tout dirigeant d’entreprise ou responsable d’équipe a déjà été confronté au casse-tête de la gestion des accès informatiques de ses collaborateurs. Il s’agit, d’une part, de donner des accès suffisamment larges pour ne pas bloquer ou ralentir les processus opérationnels tout en s’assurant que certains collaborateurs ne disposent pas d’accès trop étendus ou non nécessaires. Ces derniers peuvent en effet être la source d’opérations malencontreuses voire frauduleuses notamment quand il s’agit de données très sensibles au sein de l’entreprise. C’est sur la bonne gestion de cet équilibre que repose la gouvernance des identités et des accès. Bien qu’indispensables pour répondre aux exigences réglementaires et se prémunir contre des risques croissants, les processus inhérents au maintien d’une gouvernance pertinente sont encore bien souvent perçus comme trop contraignants, trop lourds…ce qui conduit parfois à manquer l’objectif premier qui est de protéger l’intégrité de l’entreprise.

En raison de la croissance exponentielle des données détenues par les entreprises, des applications pour les gérer et donc des différents accès nécessaires pour y accéder, la tâche périodique (le plus souvent annuelle) de « revues des droits » par les responsables IT ou Métier est bien souvent devenue un fardeau. C’est à partir de là qu’apparaissent les risques dans l’attribution correcte des droits aux utilisateurs. Afin de redonner de la pertinence à la gouvernance des identités et des accès, il convient de s’inspirer d’autres domaines ayant fait face aux mêmes enjeux, à savoir une lourdeur qui empêche d’être d’efficace en adoptant une démarche dite lean. Issu à l’origine de l’industrie automobile mais ayant essaimer bien au-delà entre temps, le Lean Management consiste à se débarrasser des tâches n’impactant pas positivement la chaîne de valeur ajoutée. Les processus doivent être « amaigris » de tout le superflu pour retrouver leur performance dans l’atteinte de l’objectif, que celui-ci soit la cadence de production, la satisfaction client ou le time-to-market d’un produit.

L’application de cette approche Lean à la Gouvernance des Identités et des Accès revient notamment à en alléger les processus de révisions périodiques (ou re-certifications). En effet, afin que les droits et accès attribués à un moment donné restent ceux effectivement nécessaires, il est indispensable de s’assurer de leur pertinence dans le temps. L’évolution des processus internes, des réglementations ou les mouvements de personnels au sein de l’organisation peuvent conduire les accès existants à ne plus être pertinents au fil du temps. Mais la revue complète de l’exhaustivité des droits de tous les collaborateurs et leur confrontation aux besoins réels (mais évolutifs) peut rapidement se révéler une tâche redoutée par les managers. L’importance de contrôler strictement l’accès à l’intranet de la société n’est probablement pas la même que l’accès au fichier clients ou aux comptes bancaires de l’entreprise. En se focalisant sur les accès « les plus risqués », l’effort s’en trouve réduit et les managers peuvent ainsi y accorder toute l’attention nécessaire sans y consacrer une charge démesurée. De manière identique, le processus de re-certification peut être fortement allégé en se concentrant sur les changements intervenus dans les droits et accès depuis la dernière revue.

Pour parvenir à cet allègement des processus par priorisation des risques et des cas suspects, encore faut-il disposer d’outils permettant d’établir de manière efficace et rapide la liste priorisée et détaillée des identités et des accès. Différentes solutions de marché existent évidemment pour couvrir ce besoin facile à intégrer dans l’écosystème informatique de l’entreprise et rapide à mettre en œuvre. A défaut, le risque est important de reporter l’écueil de la lourdeur d’exécution des campagnes de re-certifications sur le processus d’intégration de l’outil devant permettre de les alléger. Être lean de bout en bout en somme.

Réagissez en laissant votre commentaire !


Partagez sur les réseaux sociaux

Inforisque sur Facebook Inforisque sur Linkedin Inforisque sur Twitter Inforisque sur Vimeo

Les dernières actualités

Image Risques dans les bâtiments

23
Septembre
2020

Risques dans les bâtiments

Limiter les risques du travail en hauteur

Lire la suite
Image Institutionnels

23
Septembre
2020

Institutionnels

La notification dématérialisée du taux AT/MP obligatoire pour les entreprises d’au moins 10 salariés

Lire la suite
Image Actualité des manifestations / formations

23
Septembre
2020

Actualité des manifestations / formations

Report de salons en cascade

Lire la suite

Les derniers produits