Le casse-tête de la définition des profils métier

• La gestion des identités a grandi trop vite
• Le casse-tête de la définition des profils métier
• Allouer les ressources : moins de technique, plus de workflow
• L'apport limité des standards
• Des suites intégrées nées de la consolidation du marché
• ' L'approche technique ne suffira plus '

La gestion des identités devrait permettre de répondre à une question essentielle : ' Qui a accès à quoi, et pourquoi ? ' Une telle traçabilité n'est atteinte que lorsque l'entreprise a défini exactement quels sont les différents métiers qui la composent, et à quelles ressources ces derniers doivent accéder pour remplir leur mission. Mais y parvenir exige de réconcilier des visions très disparates au sein de l'entreprise. ' Savoir qui a accès à quoi est très difficile. Car d'un côté, les métiers ont une vision applications, et de l'autre le service IT a une vision transactionnelle ', explique Michel Van Den Berghe, PDG d'Atheos.La définition des rôles, ou des ' profils métier ', peut s'aborder de deux manières. ' On peut attaquer par le haut, et demander aux dirigeants quels sont les métiers, de quoi ils ont besoin, afin de définir les rôles et faire entrer les collaborateurs dans des cases ', commence Philippe Dajean, responsable de l'offre IAM chez Solucom. Cette approche est cependant plus rigide et ne reflète pas toujours la réalité. ' On peut alors attaquer par le bas, en menant des entretiens auprès des collaborateurs afin de savoir ce qu'ils font, puis auditer les systèmes afin de déterminer à quoi ils ont accès. Nous tentons alors de recouper le tout ', poursuit Philippe Dajean.Cette dernière approche est désormais plus souvent mise en ?"uvre, car elle permet de mieux coller à la réalité des métiers. ' Nous nous appuyons sur des utilisateurs représentatifs. Nous comparons leurs habilitations deux à deux, entre collaborateurs censés exercer le même métier. Un outil nous permet de faire des corrélations entre leurs accès. C'est un processus itératif ', détaille Michel Van Den Berghe.

La touche humaine reste nécessaire

Une telle approche n'est pas une science exacte, et même si les outils informatiques sont utiles, une expertise humaine demeure nécessaire afin de confirmer les résultats de la machine. ' Je suis capable de produire une cartographie des métiers de l'entreprise basée sur les accès réels aux ressources entre quinze jours et un mois. Mais il faut ensuite la faire valider par les métiers eux-mêmes, bien entendu. Au final, il faut environ trois mois pour finaliser les rôles ', explique Alain Truchet, consultant et importateur de la solution RBACx de Vaau.Cette validation est l'occasion d'impliquer plus encore les métiers : ' Nous réunissons tout le monde afin de décider, pour chaque profil, pourquoi tel ou tel droit est nécessaire à tel groupe d'utilisateurs ', dit Michel Van Den Berghe. Il reste ensuite à intégrer ces profils aux outils de provisioning. ' Avant, l'on pensait qu'un référentiel des identités et un référentiel des ressources suffisaient pour faire de l'IAM. Nous nous rendons compte aujourd'hui qu'il faut aussi un référentiel des métiers solide pour lier l'ensemble. D'autant qu'avec les contraintes réglementaires, du personnel non technique doit avoir un rôle d'audit. Il lui faut une couche contact entre l'IT et les métiers ', explique Michel Van Den Berghe.Cette approche, beaucoup plus orientée vers les métiers et leur définition que vers le seul inventaire des ressources, est désormais celle suivie par le marché. ' C'est un signe : tous les acteurs significatifs du marché font évoluer leur offre vers une meilleure gestion des rôles, laquelle devient ' user-centric ' (centrée sur l'utilisateur, NDLR), et non plus tournée vers les personnels techniques uniquement ', observe Philippe Dajean.