- La gestion des accès est souvent perçue comme une responsabilité IT — alors que les décisions de qui doit accéder à quoi sont des décisions métier, et que les conséquences d'une défaillance engagent la responsabilité des dirigeants.
- Equifax (2017) : l'amende de 700 millions de dollars et la démission du PDG illustrent comment une défaillance de gestion des accès et de gouvernance de la sécurité remonte jusqu'à la responsabilité de la direction exécutive.
- Twitter/X (2020) : l'accès d'un trop grand nombre d'employés aux outils d'administration est une décision de gouvernance organisationnelle — qui doit avoir accès à ces outils ? — avant d'être une configuration technique.
- Le propriétaire de données (data owner) est responsable de valider qui doit accéder aux données dont il est responsable — pas l'équipe IT. Cette séparation de responsabilités est au cœur des frameworks de gouvernance IAM matures.
- ISO 27001 (A.9.1.1) impose que les politiques de contrôle d'accès soient approuvées par la direction — signal que la gestion des accès est une responsabilité de gouvernance, pas uniquement opérationnelle.
La gestion des accès porte une dimension organisationnelle souvent sous-estimée. Dans la plupart des organisations, les droits d'accès sont gérés par les équipes IT : elles créent les comptes, attribuent les rôles, traitent les demandes d'accès. Mais la question fondamentale — qui doit avoir accès à quoi, et pourquoi — est une question métier et de gouvernance, pas une question technique. Cette confusion de responsabilités est l'une des causes profondes des défaillances de gouvernance des accès.
La transition vers une gestion des accès mature implique de reconnaître que la responsabilité est partagée : les équipes IT fournissent les outils et les processus, mais les décisions d'attribution appartiennent aux propriétaires de données et aux gestionnaires métier, et la gouvernance d'ensemble appartient à la direction. Cette redistribution des responsabilités est un changement culturel autant qu'organisationnel.
Le modèle des propriétaires de données
Le concept de propriétaire de données (data owner) est central dans les frameworks de gouvernance de l'accès. Le data owner est le responsable métier (directeur de service, manager) qui est redevable de la protection et de l'utilisation appropriée des données dont son service est responsable. À ce titre, il est responsable de valider qui dans son équipe a besoin d'accéder à quelles données, de recertifier périodiquement les droits de ses équipes lors des access reviews, et de notifier l'IT lors de changements dans les besoins d'accès (mobilités, départs, changements de mission).
Cette responsabilité est souvent nouvelle pour les managers métier, habitués à déléguer entièrement les questions d'accès à l'IT. La mise en place du modèle data owner nécessite une phase d'accompagnement : clarification des responsabilités, formation aux enjeux de la gestion des accès, et outillage permettant aux data owners d'exercer leur responsabilité sans charge administrative excessive.
La violation Marriott — 500 millions de personnes affectées, présence de l'attaquant depuis 2014 — a illustré l'absence de propriétaires de données clairement désignés pour les systèmes de réservation hérités de Starwood. Lors de l'acquisition, personne n'avait été formellement nommé responsable de la gouvernance des accès aux systèmes Starwood intégrés. L'IT de Marriott ne savait pas qui dans l'organisation était redevable de la gestion des droits sur ces systèmes, et les managers métier ne se considéraient pas responsables d'une infrastructure qu'ils n'avaient pas construite. Cette zone grise de responsabilité a permis à des comptes d'accès non gouvernés de persister pendant quatre ans dans un système contenant des données de 500 millions de personnes.
La responsabilité des dirigeants
Les régulateurs ont progressivement clarifiés que la gouvernance de la sécurité des systèmes d'information — incluant la gestion des accès — engage la responsabilité personnelle des dirigeants. Le RGPD impose au Délégué à la Protection des Données (DPO) et au responsable de traitement de démontrer la conformité des mesures de protection, incluant les contrôles d'accès. La directive NIS2 engage la responsabilité des organes de direction des entités essentielles et importantes sur l'adoption et la supervision des mesures de cybersécurité. En Algérie, la loi 18-07 et la loi 25-11 établissent des obligations de moyens pour les responsables de traitement, dont la responsabilité peut être engagée en cas de violation résultant d'un défaut de mesures de protection.
Gouvernance et comitologie des accès
Les organisations ayant atteint un niveau de maturité élevé en gestion des accès ont généralement instauré des instances de gouvernance dédiées : un comité de gestion des accès (Access Governance Committee) ou une fonction IAM Governance intégrée au programme de gouvernance de la sécurité. Ces instances ont pour rôle d'approuver les politiques d'accès, de valider les exceptions, de traiter les escalades lors des access reviews, et de piloter les indicateurs de gouvernance des accès. Leur composition inclut représentants IT, sécurité, RH, juridique et directions métier représentatives — reflétant la nature transversale de la responsabilité en gestion des accès.
La violation Target a entraîné la démission du PDG et du DSI dans les mois suivant la révélation publique. L'enquête du Sénat américain a établi que des signaux d'alerte de l'outil de sécurité FireEye avaient été ignorés, et que l'absence de segmentation réseau entre les accès prestataires et les systèmes de paiement résultait d'une décision d'architecture sans évaluation de risque formelle. Ces deux éléments — ignorance des alertes et décision d'architecture non gouvernée — illustrent des défaillances de gouvernance organisationnelle, pas seulement technique. Le coût total pour Target a dépassé 200 millions de dollars.
La résilience remarquable de Maersk lors de la reconstruction post-NotPetya — 45 000 postes réinstallés en dix jours — a contrasté avec la défaillance de gouvernance qui avait rendu l'attaque aussi dévastatrice. L'absence de séparation des droits d'administration locale entre les systèmes globaux résultait d'une décision d'architecture IT centralisée sans évaluation des implications de sécurité. Le PDG de Maersk a depuis affirmé publiquement que NotPetya a transformé la gouvernance de la cybersécurité au niveau du conseil d'administration du groupe — passant d'un sujet IT à un sujet stratégique de premier rang.
La violation Air India via SITA a mis en évidence l'absence de gouvernance organisationnelle de la relation prestataire au niveau des données passagers. Air India n'avait pas de data owner formellement désigné pour les données passagers confiées à SITA, ni de processus d'évaluation périodique de la posture de sécurité de ce prestataire critique. La Direction Générale Civile d'Aviation indienne a depuis imposé des exigences de gouvernance de la sécurité des données plus strictes pour les compagnies opérant en Inde, incluant la désignation formelle de propriétaires de données pour les données passagers.