Le role management suscite l'intérêt des RSSI

La quatrième édition des Rencontres de l'Identity and Access Management  (RIAM), organisée par Atheos, a rappelé l'importance de la gestion des rôles (Role Management en anglais). Cette brique de la gestion des identités est un processus de définition et d'assignation de rôles aux utilisateurs, basés sur leur métier au sein de l'entreprise. Elle permet ensuite la gestion de l'accès aux ressources en fonction des rôles de chacun, et non plus simplement de droits individuels.

Les nombreux RSSI ont longuement débattu de cette étape d'un projet de gestion des identités et des accès. Une étape jugée importante ne serait-ce que par l'ampleur de la tâche: "Nous avons tracé un périmètre très large pour la gestion des rôles, en allant du purement fonctionnel jusqu'à la gestion des droits fins, c'est-à-dire ceux définis au sein des applications" rappelle un intervenant. Car trois niveaux de droits sont à traiter. Le premier regroupe les droits inhérents aux applications (la gestion des droits fins évoquée ci-dessus). Le second concerne les rôles IT au sens RBAC (Role-Based Access Control) du terme, c'est à dire selon une vision purement systèmes informatiques . Enfin le dernier niveau recouvre les rôles dits "métiers", qui collent cette fois non plus à l'informatique mais à l'activité de l'entreprise. La plupart des solutions du marché gère surtout des rôles IT, en permettant de décrire le modèle déjà en place. Un outil de Role Management définit, lui, les rôles métiers et s'assure que du côté de la technique le provisioning puisse intervenir convenablement.

L'une des tables rondes a insisté sur le moteur qu'est le Role Management en matière de traçabilité. "La traçabilité relève de deux aspects, l'un technique qui fait la part belle à l'analyse des logs produits par les équipements, l'autre métier qui garantit que l'on maîtrise le comportement de l'utilisateur" explique un RSSI avant de poursuivre "J'ai pu pousser la traçabilité en m'appuyant sur le Role Management".  Un consultant renchérit: "La traçabilité est nécessaire au niveau des applications pour une cohérence de la démarche d’administration des droits fins".

Les éditeurs, Sun en tête (présent lors des RIAM) affirment la maturité du marché et des offres. Sun a d'ailleurs eu l'occasion d'exprimer son opinion sur la question des rôles. "Après la gestion du cycle de vie des identités, leur fédération et la traçabilité, le défi des années à venir est la gestion des rôles. Ces derniers permettent des notamment de prouver plus facilement le respect des règlementations par l'entreprise que si elle ne s'attache qu'aux individus", expliquait Dominique Perrin, de Sun, à l'assemblée des RSSI réunis par Atheos. Bien entendu, le sujet n'était guère abordé par Sun avant son rachat de l'éditeur Vauu, développeur justement d'un logiciel de... gestion des rôles. Toutefois laisser entendre que la gestion du cycle de vie des identités s'est banalisée et que la gestion des rôle est le prochain défi à relever est peut-être un peu hâtif, et n'aura probablement pas manqué de faire tiquer Microsoft (également présent), dont l'offre phare en la matière est aujourd'hui, justement, la gestion du cycle de vie.