La gestion des habilitations est une démarche qualité en entreprise. Concrètement, cela consiste à certifier et à accorder aux utilisateurs le bon droit à réaliser une tâche en fonction de leurs rôles et de leurs compétences. Dans un système d’information, il s’agit de limiter les droits à réaliser des actions, notamment en limitant l’accès aux données dont les utilisateurs ont besoin. Ainsi, l’entreprise permet de réduire le nombre d’erreurs et de limiter les risques de sécurité en empêchant les actions non maîtrisées.
Cependant, si la démarche peut sembler simple aux premiers abords, les industriels disposent aujourd’hui de systèmes d’information ouverts et hétérogènes, pour plusieurs centaines voire milliers d’utilisateurs, rendant la gestion de toutes les habilitations une tâche complexe. De plus, un contexte réglementaire vient compléter ce domaine, en demandant aux entreprises de disposer d’une matrice de compétences à jour. D’un point de vue global, cette réglementation se base sur l’ISO 9001 et l’ISO 14001, mais on peut retrouver un référentiel normatif à l’échelle de parties de l’entreprise comme l’ISO 17025 pour la gestion du laboratoire, audités par le COFRAC.
L’objectif de cet article est de présenter les bonnes pratiques afin de tendre vers une gestion des habilitations sans failles.
Les compétences, qui constituent la base de l’attribution des habilitations, dépendent de la complexité des tâches. Que ce soit des connaissances théoriques ou des connaissances pratiques, celles-ci peuvent être de trois types :
Ces compétences doivent être maintenues dans le temps, en les confirmant périodiquement sur des critères de maintien des compétences. Dans un besoin de réhabilitation, il est nécessaire de prévoir un parcours de formation et des critères de réhabilitation.
La gestion des habilitations est un domaine basé sur le modèle du contrôle d’accès à base de rôles (RBAC ou Role-Based Access Control). Dans ce modèle, chaque décision d’accès est basée sur le rôle auquel l’utilisateur est associé. Un ensemble d’accès sur une partie du système d’information est attribué à chaque rôle.
Que ce soit dans la volonté de réhabiliter les collaborateurs ou de leur fournir de nouvelles compétences, la formation est un levier performant dans la gestion des habilitations. Le parcours de formation peut être formalisé comme suit :
1 : Identification des compétences requises pour la réalisation d’une tâche : connaissances pratiques ou théoriques.
2 : Définition des critères d’habilitation : Ce sont des critères objectifs pour évaluer la capacité d’une personne à réaliser une ou des tâches.
3 : Formation pour l’acquisition de la compétence, généralement dans une logique de compagnonnage dans des domaines techniques.
4 : Validation de l’habilitation par une personne disposant de l’autorité requise au travers de preuves (diplômes, attestations, etc… qui peuvent être formalisée par une habilitation de niveau supérieur)
A l’ère de l’industrie 4.0 et des enjeux de transformation numérique, la digitalisation de la gestion des habilitations apporte de nombreux avantages pour les entreprises. Voici les bonnes pratiques logicielles afin de rendre la gestion de ces habilitations plus performante.
Pour plus d’informations sur le sujet, nous vous invitons à prendre contact avec la société BASSETTI, experte du management de l’expertise technique. Nos experts sauront répondre à votre besoin.
