Création simple et rapide d’une matrice d’autorisation

Une matrice d’autorisation permet de réglementer les droits d’accès. En d’autres termes : quel employé peut accéder à quelle information dans l’entreprise et à partir de quel appareil ? À quoi sert une matrice d’autorisation et comment la mettre en place ? Découvrez-le ici.

Traiter les données personnelles

Depuis le 25 mai 2018, avec la mise en place du RGPD, il est important que les organisations rendent compte des données personnelles qu’elles traitent. De plus, elles doivent indiquer pourquoi elles le font et comment les données sont sécurisées.

Presque toutes les organisations travaillent avec des données personnelles, par exemple les dossiers du personnel ou les fichiers clients. Ces données contiennent des noms, des adresses (électroniques) et des numéros de téléphone, par exemple.

Obligation de documentation

Une partie importante du RGPD est la nécessité de documentation. Cela signifie que les organisations doivent être en mesure de démontrer, par exemple, que :

  • Comment les données sont-elles collectées.
  • À quelles fins cela est-il fait.
  • Quelles sont les personnes impliquées à l’intérieur et à l’extérieur de l’organisation.
  • Quels sont les droits des travailleurs concernés.

La gestion des autorisations est indispensable. Une bonne matrice d’autorisation permet de garder une vue d’ensemble et d’éviter les fuites de données et les éventuelles amendes. Mais qu’est-ce qu’une telle matrice et comment la mettre en place ?

La matrice d’autorisation donne un aperçu

Une matrice des autorisations est un outil utile pour mieux comprendre la situation. En bref, une matrice d’autorisation permet de voir qui, au sein de l’organisation, dispose de quels droits d’accès (consultation de données, modification, etc.). On peut aussi voir immédiatement à quelles données à caractère personnel ces droits s’appliquent. La matrice indique donc qui peut accéder à quelles données et pourquoi.

Attention ! Suivez également la fréquence à laquelle les autorisations sont vérifiées pour s’assurer qu’elles sont correctes. Une mauvaise attribution des droits d’accès peut entraîner des risques pour la sécurité. Par exemple, il n’est pas judicieux qu’une réceptionniste ait accès aux mêmes données clients qu’un gestionnaire de comptes ou un directeur.

Vérification des droits d’accès

Il est important que la matrice d’autorisation soit correctement tenue à jour. Un employé change-t-il de poste ? Dans ce cas, il se peut que l’accès aux données personnelles ne soit plus nécessaire. Il en va de même si une personne quitte son emploi.

Il faut donc choisir des moments fixes (par exemple, une fois par mois) pour vérifier la matrice. Désignez également les personnes chargées d’effectuer les contrôles.

Le travail du responsable

Souvent, les responsables savent le mieux qui travaille au sein du service, quelle est sa fonction et quels sont les droits d’accès dont il a besoin. Si nécessaire, il est possible de vérifier cela après coup à l’aide de journaux d’accès. Il est ainsi possible de vérifier si une personne a un accès légitime (qui lui a été accordé) et si elle n’en abuse pas.

Les droits d’accès visible

Une matrice d’autorisation indique clairement à chacun quels sont ses droits d’accès. Cet accès peut concerner :

  • applications,
  • fichiers et
  • parfois même des lieux physiques au bureau.

Les autorisations sont souvent accordées par personne sur la base d’une demande, plutôt que par équipe ou par rôle. Cela rend la gestion des autorisations compliquée et désordonnée. Pour éviter de devoir gérer chaque autorisation individuelle, on peut assigner des droits à des groupes. De cette manière, on évite l’accumulation de droits lorsque les employés changent de rôle.

Exemple d’une matrice d’autorisation

Voici un exemple simple de matrice d’autorisation basée sur cinq rôles généraux. Les cases indiquent si un rôle a accès aux données et quels sont les droits qui y sont associés.

Légende :

R = Lire (Read)
W = Écrire (Write)
E = Modifier (Edit)
A = Créer (Create)
D = Supprimer (Delete)
X = Accès refusé

Système 1Système 2Système 3Source des données 1Source des données 2
AdminRWEADRWEADRWEADRWEADRWEAD
FinancesRWERWERWRX
RHRWERERWEADRX
VenteRWERWERXX
ITRWEADRWEADRWEADRWEADRWEAD
Télécharger le modèle complet de matrice d’autorisation ici

Besoin d’en connaître vs accessible, sauf

En général, une matrice d’autorisation fonctionne selon le principe du besoin d’en connaître (« need to know »). Cela signifie que les employés ne peuvent accéder qu’aux données dont ils ont besoin pour leur travail.

Un autre principe est « accessible, sauf ». Dans ce cas, les permissions ne sont limitées qu’aux éléments contenant des informations très sensibles. Le choix du principe dépend de l’organisation, mais le principe du « besoin d’en connaître » est souvent le plus approprié.

Fixer le nombre de rôles

Ne créez pas trop de rôles avec des accès différents afin que la matrice d’autorisation ne devienne pas trop compliquée. Désignez ensuite un service au sein de l’organisation pour s’occuper de la matrice d’autorisation.

Seul ce département se charge ensuite de l’application et du traitement des questions et demandes liées à l’autorisation. Cela permet de clarifier les choses, d’éviter les erreurs et d’accélérer le processus d’attribution des droits.