Gestion des identités et des accès – nouveaux défis pour la banque

La Gestion des Identités et des Accès permet une maîtrise fine des processus de gestion des utilisateurs. Cela est particulièrement critique dans le monde bancaire car une gestion non rationalisée des accès à l'informatique est source de risques opérationnels, et donc de pertes financières directes.

Le nouvel accord de Bâle a introduit la prise en compte de ces risques opérationnels dans l'évaluation des exigences minimales de fonds propres des banques. Parmi les méthodes d'évaluation de ces risques proposées par les accords, les Approches de Mesure Complexes (AMC) autorisent l'établissement financier à évaluer lui-même les risques opérationnels liés à son activité.

Pour cela, la banque doit mettre en place un dispositif de gestion du risque opérationnel et une entité chargée de sa mise en place et de sa gestion. Le système de mesure interne du risque opérationnel s'appuie notamment sur les données suivantes :

• Données sur les pertes réellement subies
• Données sur les incidents opérationnels susceptibles d'être générateurs de coûts ( " loss data " )

La corrélation de ces informations donne lieu à des rapports réguliers, qui contribuent à l'évaluation des exigences minimales de fonds propres. Plus qu'une obligation de régulation, ce nouvel accord doit être vécu comme une opportunité de refondre la gestion des identités et des accès. Une telle refonte peut être une source importante de retour sur investissement en termes de productivité. Elle permet également de mettre en oeuvre facilement des procédures critiques en milieu bancaire, telles que le 'déprovisionnement' ou la gestion basée sur les rôles.

Apport d'une solution de Gestion des Identités et des Accès

Dans le contexte de la mise en place d'une AMC, une solution de Gestion des Identités et des Accès peut apporter des avantages importants :

• Réduction immédiate des risques opérationnels, en réduisant les possibilités de failles d'accès aux données informatiques
• Information accessible et auditable sur (a) les accès autorisés ou illicites et (b) l'attribution des droits d'accès par les administrateurs. Cette information facilite la mesure du risque opérationnel par l'entité concernée et peut être directement utilisée par les outils de reporting déjà en place
• Possibilité de réaction immédiate sur détection d'une source de risque opérationnel. En effet, ces outils disposent d'une console centralisée de gestion de tous les droits d'accès. Après diagnostic d'un indicateur de risque, la faille détectée (politique de droits d'accès trop large, erreur d'attribution de droits etc.) peut donc être immédiatement comblée
• Simplification des concepts techniques. Dans une solution de Gestion des Identités et des Accès, les aspects techniques informatiques sont masqués pour permettre aux administrateurs de se concentrer sur l'attribution des droits d'accès. Le processus d'attribution de ces droits est donc simplifié et auditable

Le tableau ci-dessous résume, de façon non limitative, l'apport possible de plusieurs modules d'une telle solution à la maîtrise de risques opérationnels. Dans le cadre d'un projet, le déploiement de ces modules peut se faire de façon progressive