Nous avons vu dans un précédent article quelles sont les motivations à l’origine de la mise en place d’un modèle d’habilitation, et répondu à une première série de questions essentielles à se poser lors de la mise en place ou de la refonte de son modèle.
Nous poursuivons ici avec quelques questions – et réponses – complémentaires pour approfondir le sujet.
Combien de rôles dois-je créer ? Combien de rôles chaque utilisateur doit-il avoir ?
Il peut être tentant de concevoir un modèle qui permet de traiter l’ensemble des cas d’usage relevés lors d’une phase de collecte des besoins. Il faut toutefois avoir en tête que le modèle devra vivre et évoluer en fonction des nouvelles applications, des nouvelles unités organisationnelles…
Il n’y a pas de règle générale sur le nombre de rôles à attribuer à chaque utilisateur. Il est parfaitement envisageable de construire son modèle pour n’attribuer qu’un seul rôle par utilisateur, comme il est possible d’en attribuer plusieurs.
Il faut néanmoins trouver un compromis entre la création de rôles trop spécifiques, qui font vite tomber dans le « 1 rôle pour chaque utilisateur », et la création de rôles trop généraux qui n’apportent pas grand-chose et qui entraînent de la surallocation de droits.
Viser 80% de droits attribués via le modèle de rôles et 20% de droits discrétionnaires s’avère déjà un bel objectif.
Bottom Up ou Top down, quelle méthode adopter ?
Deux grandes méthodes sont envisageables lors de la création d’un modèle d’habilitation.
L’approche « Bottom Up » consiste à partir des droits existants et à les analyser pour en déduire un modèle. Par exemple, si tous les collaborateurs du service Comptabilité disposent des mêmes droits, on peut alors créer un rôle dédié à ce service qui contiendra les permissions correspondantes. Dans cette approche, la qualité des données est un prérequis à une modélisation réussie. De mauvaises attributions de droits viendraient en effet ajouter du bruit dans la modélisation et en réduire la pertinence.
L’approche « Top Down » commence par définir le modèle d’habilitation théorique, sur lequel on vient ensuite projeter les habilitations nécessaires. Ainsi par exemple, on peut créer un rôle pour le service Comptabilité et y inclure les permissions que des représentants Métier jugent nécessaire pour accomplir ses missions.
Dans les faits, il est courant d’adopter une approche intermédiaire.
Il est par ailleurs recommandé de travailler de manière itérative, et de valider son approche sur un périmètre pilote avant généralisation. L’implication du Métier dans la définition et la validation de la composition des rôles joue ici un rôle capital.
Comment m’outiller ?
La volumétrie conséquente de droits à traiter et les multiples itérations nécessaires impliquent l’utilisation d’un outillage qui peut être issu du marché ou bien développé en interne (tableaux Excel, base de données, scripts…). Une analyse préalable des besoins doit permettre de s’assurer de l’adéquation de cet outillage.
Au-delà des capacités de création de rôles ou de règles d’attribution de droits, de plus en plus facilités via l’utilisation d’algorithmes tirant parti du machine learning, l’outillage choisi doit notamment permettre de faciliter la mise en qualité des données en amont de la phase de modélisation. Il est également utile de prévoir une fonctionnalité de simulation qui permettra de mettre en évidence les sur- ou sous-allocations engendrées par le nouveau modèle par rapport aux affectations actuelles.
En mode nominal, les solutions IAM du marché offrent diverses possibilités dont il est possible de tirer parti : hiérarchie de rôles, attributions automatiques à la façon d’ABAC, attributions suggérées, dimensions de rôles multiples, etc. Il faudra cependant être attentif à ne pas tomber dans le piège d’un modèle trop compliqué à utiliser et à administrer.
Si le choix de la solution IAM qui supportera le modèle est déjà arrêté, il conviendra de s’assurer que ladite solution permet de prendre en charge toute la complexité souhaitée, quitte à procéder à quelques simplifications ou ajustements du modèle.
Dois-je construire mon modèle d’habilitation avant, pendant, ou après la mise en place de ma nouvelle solution IAM ?
D’une manière générale, il est préférable de concevoir son modèle d’habilitation en amont de la mise en place d’une nouvelle solution IAM. Ce cadrage peut en effet fortement influencer le choix de l’outil, en fonction de l’adéquation des possibilités techniques et des attendus fonctionnels.
Si la qualité des données est satisfaisante, l’implémentation du modèle à proprement parler peut alors se dérouler en même temps que la mise en place de l’IAM. Au besoin, il est envisageable de prévoir une phase de transition où l’ancien outillage peut cohabiter avec le nouveau. Les périmètres prêts pour le passage au nouveau modèle sont ainsi traités dans le nouvel outil, ce qui donne plus de temps pour la migration des périmètres plus compliqués ou qui nécessitent plus de travail. Un planning de migration doit alors être défini et suivi de près pour éviter toute dérive qui prolongerait cette situation.
Combien de temps dois-je prévoir ?
Les projets de mise en place d’un modèle d’habilitation sont en général conséquents. Ils nécessitent la prise en compte de nombreux facteurs et ont un impact important sur l’ensemble des parties prenantes des habilitations (responsables applicatifs, support aux utilisateurs, Métiers…).
D’une part, il est capital de prendre son temps lors de la phase de cadrage des attentes et de conception afin d’assurer la réussite de son projet.
D’autre part, la phase de modélisation peut s’avérer longue et fastidieuse, particulièrement si la volumétrie est importante (en termes de nombre de rôles ou en nombre d’entités à couvrir) ou bien si la qualité des données de base n’est pas satisfaisante et nécessite de la remédiation.
Enfin, la gestion du changement n’est pas à négliger, eu égard aux impacts bien visibles par les utilisateurs. Des formations et une phase de support renforcé sont la plupart du temps nécessaires une fois le modèle mis en place.
Quelle gouvernance mettre en place pour faire vivre mon modèle d’habilitation ?
Le modèle d’habilitation n’est pas statique. Le catalogue des habilitations vit au gré des nouvelles applications, des décommissionnements, des évolutions SI ou Métiers et des réorganisations. Dès la phase de conception, une réflexion sur les principes de gouvernance courante est nécessaire afin de ne pas construire un modèle trop complexe et impossible à maintenir dans le temps.
Si la gestion du modèle est souvent prise en charge par une équipe dédiée aux habilitations, l’implication des autres parties prenantes est essentielle, notamment du côté du Métier qui doit faire part des évolutions de ses besoins. La désignation de correspondants habilitations au sein des directions métiers peut être un moyen de favoriser cette participation.
En conclusion
L’implémentation parfaite d’un modèle d’habilitation n’existe probablement pas. Même s’il n’y a pas d’interdit majeur, la recherche d’un compromis entre attentes et possibilités reste un exercice délicat qui nécessite réflexion, préparation et suivi poussés.
En synthèse, voici 5 bonnes pratiques pour la réussite d’un projet de refonte de son modèle d’habilitation :
- Prévoir suffisamment de temps pour le projet.
- Cadrer et piloter avec la plus grande attention pour éviter les dérives en termes d’ambition, de priorités, de charges ou de délai.
- Communiquer vers, et impliquer les bons contributeurs IT et Métier.
- Savoir dire « non » lorsque la couverture d’un besoin risquerait de trop détériorer la simplicité d’utilisation ou la capacité de maintenance.
- Ne pas négliger la conduite du changement auprès des utilisateurs.
Notons que ces bonnes pratiques restent parfaitement applicables à tout projet IAM en général !