La gouvernance d’accès (AG) est un aspect de la gestion de la sécurité des technologies de l’information (TI) qui vise à réduire les risques associés aux utilisateurs finaux qui ont des privilèges d’accès inutiles. Le besoin de gouvernance de l’accès a pris de l’importance à mesure que les organisations cherchent à se conformer aux mandats de conformité réglementaire et à gérer les risques de manière plus stratégique.
Un objectif important de la gouvernance de l’accès est de réduire les coûts et les efforts liés à la supervision et à l’application des politiques d’accès et des procédures de gestion, y compris la recertification. À cet effet, les outils logiciels de gouvernance d’accès peuvent aider à suivre les accès, valider les demandes de modification, automatiser l’application des stratégies de contrôle d’accès basé sur les rôles (RBAC) ou de contrôle d’accès basé sur les attributs (ABAC) et simplifier les rapports.
De nombreuses applications logicielles de gouvernance d’accès combinent le contrôle d’accès (AC) avec des fonctionnalités de gestion des identités, appliquant un ensemble standard de droits d’accès pour les rôles métier tout en restant suffisamment flexibles pour répondre aux besoins des super utilisateurs. Parce que le logiciel offre une transparence, il devient plus facile pour les gestionnaires de repérer le fluage des privilèges et d’appliquer le principe du moindre privilège (POLP).
Dans certaines organisations, la responsabilité de la gouvernance de l’accès est partagée par les membres de la direction des équipes informatiques, commerciales et juridiques de l’organisation. Étant donné que les utilisateurs privilégiés continuent de servir de vecteur principal pour les failles de sécurité, il est important que les gestionnaires aient une visibilité sur les accès et travaillent ensemble pour atténuer les risques et réduire la surface d’attaque de l’organisation. Lorsque la gouvernance de l’accès devient un effort interministériel, l’organisation devient mieux à même de rester au fait de l’évolution des exigences réglementaires, de respecter les politiques internes et de procéder régulièrement à des examens de l’accès.