Gouvernance d’accès

Définition

La gouvernance d’accès, également appelée Gouvernance des identités ou Gouvernance et administration des identités (IGA), fait référence aux politiques, outils et services utilisés pour lutter contre les autorisations inutiles et imposer un accès approprié aux ressources numériques et aux informations sensibles. S’assurer que les utilisateurs n’ont que des droits d’accès absolument nécessaires à leur rôle (un concept également connu sous le nom de principe du moindre privilège ou POLP) réduit le risque de cyberattaques qui exploitent des privilèges excessifs et aide les organisations à respecter des normes de conformité de plus en plus strictes en matière de confidentialité et de protection des données.

Le terme Gouvernance ou Gestion des Accès est souvent utilisé de manière interchangeable avec la Gouvernance ou la Gestion des identités. Bien qu’il y ait un chevauchement important entre les deux concepts, nous pensons qu’il existe plusieurs différences clés qui distinguent la gestion des accès de la gestion des identités.

Composants

Différentes solutions de gouvernance d’accès suivent des approches légèrement différentes et offrent diverses fonctionnalités supplémentaires. Cependant, ce sont les éléments clés qui définissent la gouvernance des accès:

• Contrôle d’accès basé sur les rôles : La modélisation des droits d’accès en fonction des rôles métier est un élément essentiel de la mise en œuvre réussie du principe du moindre privilège. Dans ce cadre, les droits d’accès dont ont besoin les employés sont regroupés en rôles, par exemple des rôles pour différents ministères, directions générales ou postes. Au lieu d’attribuer des autorisations directement aux comptes d’utilisateurs, les utilisateurs sont ensuite affectés à ces rôles, ce qui leur donne accès à tout ce dont ils ont besoin. Cela empêche la copie d’autorisations inutiles grâce à la confiance accordée aux utilisateurs de référence et garantit que les autorisations sont révoquées lorsqu’un utilisateur est déplacé vers un autre rôle ou quitte l’organisation.
• Flux de travail d’approbation: Le but d’un flux de travail d’approbation est de permettre aux chefs de département d’accorder l’accès aux données et aux ressources qu’ils gèrent sans avoir besoin d’impliquer le personnel informatique. Les systèmes de gouvernance d’accès qui prennent en charge les flux de travail d’approbation doivent savoir qui est le décideur concerné (également connu sous le nom de propriétaire des données) pour une ressource donnée. L’attribution de propriétaires de données et de flux de travail personnalisés permet à une entreprise de rationaliser son processus d’approbation.
• Avis d’accès utilisateur : Les avis d’accès utilisateur périodiques empêchent l’accumulation d’autorisations inutiles au fil du temps. Alors que les employés sont prompts à signaler les autorisations manquantes, les autorisations inutilisées et obsolètes ont tendance à passer inaperçues. Le fluage des privilèges qui en résulte pose un risque de sécurité important. Les solutions de gouvernance d’accès aident à prévenir cette accumulation en envoyant des rappels automatiques aux propriétaires de données, qui doivent confirmer que les autorisations qu’ils ont attribuées sont toujours utilisées. Les privilèges qui ne sont plus requis sont supprimés au cours de ce processus.