L'histoire sans fin du RBAC
En ce qui concerne le contrôle d'accès basé sur les rôles (RBAC), de nombreuses organisations sont confrontées à un défi. En raison de diverses lois et réglementations, elles doivent établir une matrice d'autorisations indiquant, en fonction de la fonction et/ou du service, quels droits un employé obtient. L'élaboration d'une telle matrice est un véritable cauchemar. La personne chargée de cette lourde tâche doit consulter tous les chefs de service pour collecter des informations. Des informations souvent inexistantes, car personne ne sait exactement quels droits une fonction et/ou un service donné doit recevoir. L'élaboration d'une matrice d'autorisations est donc une tâche complexe et chronophage. Et lorsque, au cours de ce processus, une réorganisation intervient par exemple, il faut tout recommencer. Le RBAC semble ainsi être une histoire sans fin.
Un bon point de départ pour alimenter une matrice d'autorisations consiste à faire correspondre les rôles dits organisationnels (comment un employé est enregistré dans le système RH, notamment la fonction, le service et le centre de coûts) aux rôles techniques (applications et dossiers) qui existent actuellement au sein de l'organisation.
Tools4ever peut mettre en parallèle le système RH et le réseau de l'organisation et analyser les autorisations courantes par rôle organisationnel dans la situation actuelle. L'organisation peut elle-même déterminer quels attributs RH sont utilisés pour le rôle organisationnel.
Le résultat d'un tel rapprochement peut être que 90 % d'un certain rôle organisationnel (par exemple infirmier au service de cardiologie) utilise une application donnée. Sur cette base, il est logique d'accorder automatiquement le droit d'accès à cette application à tous les (nouveaux) employés dans ce rôle. En faisant du taux de couverture le critère directeur pour l'attribution des autorisations, il devient simple de réaliser une première étape dans le remplissage de la matrice RBAC. Cette méthode ne fait pas seulement gagner beaucoup de temps, elle part aussi toujours de la situation actuelle. Le contrôle d'accès basé sur les rôles n'a donc pas à être une histoire sans fin.
Écrit par :
Arnout van der Vorst
Arnout van der Vorst est architecte en gestion d'identité chez Tools4ever et travaille dans l'entreprise depuis plus de 20ans. En tant qu'architecte, Arnout se concentre sur la conception et le développement de nouvelles fonctionnalités, solutions et services de la société. Arnout a étudié les sciences informatiques supérieures à la Hogeschool d'Utrecht.