On trouve de plus en plus d’articles sur Internet montrant comme quoi la gestion des accès basée sur des Rôles (Role Based Access Control ou RBAC en anglais) est un concept qui ne tient plus la route. Avec 10 années d'expérience dans l'Identity Management, Tools4ever - il est vrai – a souvent, même très souvent, été témoin d’initiatives de gestion des accès basée sur des rôles qui ...ne tenaient pas la route.
Quelles sont les raisons d'un tel échec? Et quelles sont les bonnes pratiques pour réussir son projet?
Voici quelques éléments :
1/ N'essayez surtout pas de créer une matrice des accès et des rôles complète
Lors de l’implémentation de projet de RBAC, on rencontre souvent des sociétés de conseil qui consacrent beaucoup de temps – parfois des années – a faire des interviews et autres actions nécessitant pas mal d’efforts dans le but de construire la matrice parfaite contenant tous les rôles et accès qui existent dans l’organisation. C’est une approche très couteuse qui amène rarement au résultat voulu. Puisque l’organisation elle-même ne peut pas être considéré comme statique, viser la matrice des rôles ‘complète’ risque de devenir une histoire sans fin.
2/ Essayez de travailler selon un modèle pyramidale
- Si l’on veut vraiment obtenir de bons résultats sans démarrer un projet couteux, la méthode pyramidale est à conseiller. L’idée principale est que l’ensemble des accès peut être vu comme une pyramide, avec des accès fondamentaux et d’autres moins essentiels. Exemple des différents niveaux
- Niveau organisation (OS, login + e-mail)
- Niveau departement/service (dossier(s) de partage , applications métier)
- Niveau fonction intitulé de poste (plus détaillées)
- Niveaux des autorisations / rôles les plus détaillés (exemple rôles dans SAP)
Les avantages principaux de cette méthode sont : des résultats immédiats et l’application de la règle des 80/20 (80% du résultat avec 20% des efforts)
3/ Faites la différence entre les autorisations et accès structurées et ad-hoc :
Un des risques des projets relatifs à la gestion des accès basée sur des rôles est de se perdre dans la jungle des autorisations. En effet, il n’est pas concevable d’extraire un modèle type de rôles à partir des autorisations et accès de bas niveau dans la pyramide car bien souvent ils ont été attribués arbitrairement ou exceptionnellement et, de ce fait, ne sont pas structurées. En revanche, certains accès et autorisations sont structurées et peuvent très bien représenter un rôle précis s’inscrivant donc complètement dans la définition du modèle. Il faut impérativement différentier ces deux types dès le début du projet car le processus de gestion et la collecte des informations se rapportant à ces deux types d’autorisations sont différents.
Au départ les accès et autorisations non-structurées peuvent très bien être gérés par un système de demande par workflow, avec traçabilité pour alimenter par la suite la matrice avec plus de détails.
Autres éléments
D’autres éléments importants sont :
- Les pré-requis de conformité (exemple ‘segregation of duty’ dans SOX)
- Gestion de l’existent par rapport au future (as is – to be)
- Les descriptions des rôles /accès fonctionnels et techniques (demande fonctionnelle vs. réalité technique)
Pour en savoir plus sur la gestion des rôles, et la gestion des accès n'hésitez pas à prendre contact avec nous.
Bienvenue sur le Blog francophone de la Gestion des Identités et des Accès (Identity and Access Management). Je suis Paul Baas, Directeur de l'agence Tools4ever Île-De-France.
