Catégories
Vérifier régulièrement qui a accès à quoi dans votre entreprise est une opération IT à part entière de la GIA.
Une revue d’accès bien menée permet de garder votre système sécurisé, vos coûts sous contrôle et vos données à jour. Voici comment la réaliser concrètement, sans s’embrouiller.
La vie d'une structure, PME ou association, est en constante évolution.
Des personnes intègrent l'effectif ou le quitte. Certains rejoignent les rangs pendant un temps.
En termes GIA, des accès sont ouverts et fermés toutes les semaines ou tous les mois.
Il est donc de bon ton de prévoir, comme pour sa maison, une séance de nettoyage de fond de temps à autre. La revue d'accès, c'est le ménage de printemps du listing utilisateur.
D’abord, il faut lister tous les comptes actifs dans l’entreprise, y compris ceux des prestataires, stagiaires ou externes.
Vous le savez, cette liste est en fait votre listing utilisateur. Une fois que vous l'avez sous les yeux, il faut recenser les droits associés à chaque compte dans chaque application.
En somme, il s'agit de répondre à la question suivante : Qui a accès à quoi et est-ce que c'est bien utile ?
1. Les bons outils aux bonnes personnes
Si un doute persiste à l'étape précédente, le mieux est encore de s'adresser à l'utilisateur concerné. Demandez-lui s'il a utilisé un outil qui ne semble par directement lié à son poste et ses tâches au sein de la structure.
Si vous n'êtes pas une startup, vous n'aurez probablement pas le temps de demander à l'utilisateur concerné. Pas de problème, demandez au responsable d'équipe qui devrait pouvoir vous aiguiller.
2. Les accès ouverts obsolètes
C'est l'occasion de vérifier l'état du listing au-delà des utilisateurs actifs. Vous pouvez mettre du propre du côté des comptes inutilisés, dormants ou orphelins, par exemple.
N'oubliez pas de vérifier les accès de vos utilisateurs de type externe, temporaires ou permanents, de la même manière que vous l'avez fait pour l'effectif interne de votre structure.
Le meilleur rythme, c'est le vôtre. Votre rythme est celui qui suit le plus naturellement les évènements de vie de votre organisation.
Pour le caractériser, intéressez-vous au niveau de dynamisme de vos équipes, au nombre d'utilisateurs et à la criticité des actifs auxquels ont accès les utilisateurs... Ainsi que les ressources de la structure pour mener à bien cette revue.
Une fois par un est un minimum (en-dessous, autant dire que vous ne pratiquez pas la revue des accès) mais une fois par semestre ou trimestre peut permettre de s'assurer que votre listing est bien à jour.
→ Essayer de deviner les usages derrière chaque accès plutôt que de vérifier.
C'est normal de ne pas avoir en tête précisément quels sont les usages de tout le monde. En revanche c'est une information facile à obtenir si vous interrogez vos collaborateurs.
→ Ne pas consulter des collaborateurs si vous avez des doutes sur une information.
Vous passerez peut-être à côté de licences obsolètes que vous devriez annuler car personnes ne les utilisent en pratique.
→ Se hâter de clore la revue des accès plutôt que de faire une dernière vérification générale.
Si vous avez suivi une méthodologie claire, étape par étape, votre revue des droits d'accès doit avoir été correctement réalisée. Toutefois, rien de tel qu'un dernier coup d'œil global avant de fermer ce dossier pour ne rien omettre.
Vous commencerez à travailler sur votre prochain projet avec l'esprit parfaitement serein.
Un outil de revue d’accès permet de gagner un temps fou sur ce processus.
Il récupère les données à jour, envoie les demandes aux bonnes personnes, et enregistre toutes les validations.
Cela évite les relances manuelles, réduit les erreurs et simplifie les audits. En 3 mots, c’est plus fluide, plus rapide, plus sûr.
Faire sa revue d’accès n’est pas si compliqué quand les informations sont à disposition et la méthode de revue claire. C’est un petit effort qui apporte beaucoup en retour : sécurité, conformité et tranquillité d’esprit. Ajoutez la simplicité et la visibilité SaaS et vous obtenez un outil qui s'appelle MIA.
