Améliorons auprès de nos PDG leurs connaissances en informatique et attirons leur attention sur les évolutions envisageables permises par l’apparition du numérique et la survenance de l’intelligence artificielle.
Ne tombons pas dans les suspicions systématiques de fraude, ne pratiquons pas une communication interne ne favorisant pas, auprès des collaborateurs, la connaissance réelle et la déclinaison de la stratégie retenue et, surtout, favorisons l’éclosion de véritables cultures d’entreprise et du risque.
Ne nous voilons pas la face, en période de crise des arbitrages budgétaires et de financement sont réalisés. La priorité est souvent donnée à la partie commerciale et à la rentabilité. L’organisation opérationnelle et les fonctions supports s’adapteront. Point de vue que je ne partage pas.
J’ai personnellement travaillé sur les habilitations, de manière opérationnelle au sein d’une banque (1990 – création et gestion), et lors d’une mission de conseil (2004 – étude et mise en place). La difficulté première consiste à choisir la bonne « cartographie », la mieux adaptée à l’organisation et à son évolution prévisible. Une autre complication survient lors de la gestion des habilitations : les demandes d’accès, adressées par les managers de proximité et les autres échelons du management, sont souvent mal rédigées (malgré un formulaire type) et elles comportent des incohérences en termes de sécurité. Une autre complication survenait lors du départ d’un collaborateur : le management et les RH n’informent pas systématiquement le service en charge des habilitations.
En dehors de ces « soucis » pratiques, il est parfois difficile d’avoir une seule vision de la gestion des habilitations : quid des applications spécifiques, propres à certains services, non reliées directement à l’informatique centrale?
Enfin, lors de conduite du changement, il convient de ne pas se préoccuper seulement des implications organisationnelles (au sens large), mais d’inclure également les nécessités intrinsèques au contrôle interne et à la protection des données.
Le véritable challenge est de transformer des obligations contraignantes par la mise en oeuvre de processus de sécurisation permettant aux collaborateurs d’exploiter des outils qui les rendent plus agiles et productifs. Soit dit en passant, le même commentaire peut s’appliquer à l’accomplissement de certaines parties d’un système de contrôle interne (obligations contraignantes contre agilité et productivité).
Pour tout dire, il faut passer de la simple sécurité à la gestion des risques.
Une majorité de directeurs informatiques et de responsables de la sécurité n’arrivent pas à convaincre leurs PDG de financer leurs projets de gestion automatisée des accès et des identités. Dès lors, la productivité et l’agilité de leur entreprise s’en trouve réduite.
Lire la suite →