Qui fait quoi

astrolabeIl est temps de mettre les utilisateurs devant la machine et pour cela définir leurs habilitations.
Définir des rôles
La première tache est la définition des rôles. Qui doit faire quoi dans le système. Cette définition a déjà été pensée dans la construction de l’algorithme, il reste cependant à mettre en place les barrières, les limites qui empêcheront qu’une personne puisse faire autre chose que ce à quoi elle a droit.
Trois éléments permettent de définir le rôle :
• La compétence : certains projets ne distribuent pas les habilitations tant que la formation ne sont pas effectuée. Il faut éviter que des incompétents fasse des erreurs avec le système (voir la chronique les joueurs) ; puis il y a la compétence au deuxième sens du mot : le rôle doit circonscrire ce que chacun doit faire en fonction de son domaine de compétence : cadre, ouvrier, assistant, d’un service, d’un établissement, d’une entreprise ;
• La sécurité « la femme de César ne doit pas être soupçonnée » ; aucun acte essentiel ne peut être fait sans validation par un tiers ; paiement, encaissement, à aucun moment il ne faut être seul sur la Toile ce qui évite tout soupçon ; il s’agit d’un problème d’honnêteté, mais aussi de qualité ; personne n’est à l’abri des tentations mais aussi de l’erreur ; toute transaction importante doit être accompagnée d’une autre qui permet à quelqu’un de vérifier ce qui a été fait
• La redondance : le processus doit pouvoir fonctionner malgré les congés, les remplacements, départs à la retraite, maladie, décès. Donc autant que possible un rôle ne doit pas être tenu par une seule personne.
Une fois l’analyse selon ces trois axes faite, pour peu que le maître d’ouvrage soit une personne à tendance paranoïaque, vous avez une grille mélangeant métiers, structures organisationnelles et outils, dont la complexité fait de l’algorithme de l’application un jeu d’enfant.
Il vous reste alors trois choses à faire :
• Trouver un pigeon dans le service client qui sera chargé de faire vivre cette grille, d’attribuer les rôles à chaque départ, remplacement ou changement d’affectation, et faire évoluer les rôles en fonction des changements de l’entreprise ;
• Mettre un cierge à Saint Eloi, patron des serruriers, pour lui demander que l’organisation ne change pas trop vite, car il faudrait tout refaire ;
• Générer les habilitations avec leur mot de passe.
Les habilitations
Voila un domaine inconnu. Le temps où vous pouviez prendre comme mot de passe l’âge de la grand-mère ou le prénom du petit dernier est passé depuis longtemps. Les responsables de la sécurité ne cessent de faire preuve d’imagination, pour compliquer les mots de passe. Ils mélangent avec l’imagination d’un tortionnaire chinois, lettres, chiffres, signes typographiques, majuscules et minuscules. En plus ils vous demandent de changer régulièrement (à pas mensuel ou hebdomadaire). Selon les responsables de la sécurité dans l’entreprise ou les éditeurs de progiciels, les règles sont différentes, et vous vous trouvez rapidement à la tète d’une liste invraisemblable de mots de passe. Vous la gardez dans un petit carnet que vous avez toujours sur vous au risque de vous le faire voler.
Pour vous aider à gérer le tout, les responsables sécurité rivalisent encore d’imagination pour vous permettre de synchroniser tous ces mots de passe, grâce au Single Sign-One (authentification unique). Ils vous proposent une nouvelle méthode d’identification : nouveau mot de passe, empreinte digitale ou iris de l’œil, badge numérique. Autant de méthodes dont vous pensiez qu’elles ne concernaient que les films de science fiction et le président des Etats-Unis, et dont vous découvrez qu’elles arrivent dans votre vie quotidienne.
Ne vous y fiez pas ! Pour peu qu’il y ait une panne de courant, une anomalie informatique, et vous êtes bon pour tout réinitialiser. Si vous avez perdu votre petit carnet, vous avez du boulot devant vous.
Entre raffinement des rôles et complexité des procédures d’authentification, vous pouvez aboutir à un dispositif parfaitement ingérable pour une entreprise. Pour le concepteur-développeur qui a créé une de ces architectures sophistiquées, il est déconseillé de revenir quelques années après dans l’entreprise où il a sévi.
Il risque de s’apercevoir, qu’il n’y a plus qu’une personne qui connaît l’application dans le service, que tous les autres agents lui ont délégué la saisie et la validation (elle a scotché, sur le bord de son écran, un papier avec la liste des codes utilisateurs et des mots de passe). Si cette personne part à la plage, tout s’arrête jusqu’à son retour.
Si le visiteur se permet une remarque sur le respect des règles de sécurité et de redondance, on lui rétorquera que tout cela a été revu avec les responsables du contrôle interne financier (nid de comptables placardisés et restés à l’âge de la lettre de cachet). Que des procédures papier rigoureuses ont remplacés les procédures informatiques. S’il se permet à nouveau de signaler que seul ce qui est saisie dans le système numérique combine traçabilité et contrôle à distance, il est prié de sortir de l’établissement.
Vitesse des affaires, évolution des carrières, changement des organisations, et sécurité informatique ne font pas bon mén

Cet article, publié dans developpement, système d'information, est tagué , . Ajoutez ce permalien à vos favoris.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s