Les entreprises et organisations qui sont dans la phase d’implémentation d’une plateforme ECM en arrivent toujours à se poser bon nombre de questions sur la gestion de la sécurité et de la confidentialité des données. Il n’y a pas une seule question mais plusieurs, qui émergent au fur et à mesure du projet.  GDExpert vous accompagne pour vous aider à faire les bons choix.

Avec une solution ECM, la publication, la diffusion et la consultation des documents et des informations ont lieu exclusivement dans la plateforme. C’est elle ensuite, qui se charge d’apporter la couche de sécurité nécessaire pour contrôler l’accès et les habilitations, tout en permettant à l’administrateur de le faire facilement et rapidement.

Composante essentielle dans la politique de sécurité, la gestion des habilitations ne peut être improvisée et doit même être anticipée par la définition d’une matrice, qui sera appliquée à travers la plateforme ECM.

• Comment définir une politique de sécurité qui reflète les habilitations actuelles tout en apportant une meilleure gouvernance ?
• En quoi la modélisation d’une matrice de sécurité peut aider l’organisation à matérialiser ses besoins et préoccupations en termes d’accès ?
• Existe-t-il un modèle de sécurité idéal, applicable à toutes les organisations ? 

Les organisations ont besoin d’une granularité fine des habilitations dans leur ECM

Dans la majeure partie des logiciels ECM du marché, les droits et privilèges sont accordés au niveau des groupes d’utilisateurs. Cela assure ainsi un premier niveau de quadrillage des accès, bien que certains privilèges peuvent être définis au niveau des utilisateurs eux-mêmes. Mais il est nécessaire de bien comprendre qu’il existe plusieurs types et niveaux d’habilitations possibles. Vérifiez que la solution choisie les propose pour une sécurité sur-mesure.

• Droits d’accès aux fonctionnalités : « Qui peut faire quoi ? »

Aussi appelés « droit des produits », ils permettent d’identifier les utilisateurs habilités à accéder à certaines fonctionnalités avancées du système : le workflow, la numérisation, le reporting par exemple. Cela permet notamment de verticaliser les accès utilisateurs en créant des groupes par métier, par service, par entité, par niveau hierarchique… Par exemple, seuls les managers peuvent effectuer des rapports sur la base documentaire ou seul les services Contrats, Courrier et Administratif peuvent numériser.

• Droits d’accès aux documents : « Qui accède à quoi ? »

Tout le cœur de la problématique de sécurité réside dans leur définition et c’est le niveau de droits indispensable à tout outil ECM. Selon la hiérarchie de l’organisation, mais aussi la confidentialité des documents traités au cas par cas, les droits d’accès aux documents peuvent varier. Si certaines entités ouvrent le corpus documentaire à tout leur personnel, les documents et informations sont généralement cloisonnés par service (ex : compta, RH, contrats & juridique…). Ensuite, il existe très souvent une fonctionnalité pour affiner les droits, document par document.

• Droits d’action sur les documents : « Que puis-je faire du document ? »

  Parfois négligés, ces privilèges concernent toutes les actions effectuées sur un document en cours de visualisation comme : la modification des mots clés, l’impression, l’envoi par mail, le téléchargement du document sur sa machine ou sa suppression de la base documentaire… Ceux-ci doivent être pris très au sérieux pour éviter que certains documents soient supprimés par erreur, transmis sans autorisation à des personnes extérieures, modifiés à tort via leur indexation et impossible à retrouver… Accordez une attention particulière sur ce type de droits avant de bien choisir votre solution, ainsi qu’au moment de la définition.

L’outil ECM choisi doit donc être suffisamment souple pour proposer l’ensemble de ces fonctionnalités. Les droits et privilèges seront collectés au sein d’une matrice de sécurité affinée tout au long de l’implémentation.

La matrice : l’outil essentiel pour une politique de sécurité efficace

Une matrice de sécurité est un fichier qui résume l’ensemble des habilitations à définir dans le système ECM pour s’assurer que les utilisateurs accèdent aux fonctionnalités et aux informations qui les concernent, et à rien d’autre.  Il s’agit d’un livrable sur lequel s’appuyer lors de la configuration du système, qui permet aussi de contrôler et auditer l’installation, lorsque des failles de sécurité d’accès sont suspectées par exemple.

La matrice de sécurité offre une visibilité inédite au chef de projet, mais aussi aux administrateurs qui peuvent rapidement vérifier la pertinence des droits accordés aux utilisateurs. Cette matrice pensée en amont, à travers une réflexion dédiée, garantit aussi le temps de mise en place. Si les organisations se posent les questions au « moment de faire », les décisions sont prises de manière isolée et prennent plus de temps…

Comment faire ? 3 conseils GDExpert :

• Associez les utilisateurs à des groupes. La multiplication des groupes n’est pas nécessaire. Trois groupes peuvent parfois être suffisants : lecture, modification, administration. Puis, les trois groupes sont répétés par service ou par entité. Des groupes plus spécifiques sont créés pour des fonctions verticales, comme la numérisation où vous mettrez bien souvent les utilisateurs du service Secrétariat, Courrier, Administratif…

• Chaque onglet du fichier de votre matrice doit représenter une facette de votre politique de sécurité : droits d’accès, droits d’action, droits des produits, types de documents, mots clés de sécurité, …

• Une fois le fichier rempli, celui-ci doit être testé pour chaque groupe avant la mise en production, afin de s’assurer que toutes les fonctionnalités sont accessibles aux utilisateurs concernés et qu’aucun utilisateur n’a plus de droit qu’il n’en faut.

La matrice n’est pas rigide et peut (doit) évoluer en ajoutant des types de documents, des utilisateurs ou en modifiant les accès et privilèges. Il est judicieux de mettre à jour le document, au fur et à mesure du développement de l’Organisation.

Il parait impossible de définir une matrice idéale, applicable à tous les modèles d’Entreprises et d’Organisations. La meilleure sécurité sera celle qui colle aux métiers, aux contenus, aux équipes et à l’organisation interne de la structure. D’où l’intérêt de prendre le temps de construire et rédiger une matrice précise, challengée avant la mise en production, afin que la solution ECM offre le niveau de confidentialité et de pérennité des documents dont la structure a besoin.

Pour résumer :

Une politique de sécurité doit permettre exclusivement le travail de chacun, sans compromettre celui des autres et l’avenir de la structure. Quand une organisation se dote d’un bel outil ECM, elle doit vérifier le niveau des droits offert, la facilité d’administration de ces droits et la robustesse du produit.

Beaucoup de paramètres sont à prendre en compte avant le lancement de l’outil en interne et la matrice de sécurité aidera à les matérialiser, tout en gagnant du temps lors de l’implémentation.

Pour finir, c’est l’outil ECM qui doit s’adapter à la politique de gestion des habilitations de l’organisation et non l’inverse ! Ce qui fait qu’aucun logiciel ne peut proposer une configuration sécurité idéale, prête à l’emploi. L’équipe projet doit être en mesure d’apporter des préconisations grâce à son expertise et sa connaissance des bonnes pratiques en matière de sécurité.

GDExpert peut vous accompagner dans le choix de la solution ECM et la mise en place si vous le souhaitez.