Vous venez de terminer le long et fastidieux travail d’analyse des habilitations des utilisateurs dans votre système d’information. Vous avez croisé les données, effectuez des regroupements, peut être même mis en œuvre des méthodes d’analyse habituellement dédiées aux processus de B.I. (Business Intelligence) et le résultat obtenu vous donne presque autant de rôles métiers que de personnes présentes dans votre société.
Le problème vient du fait que votre système d’information est en fait un écosystème vivant dans lequel l’entropie des habilitations ne fait que croître :
- Lorsque monsieur X est arrivé dans la société, ses habilitations ont été créées par analogie avec celles de Madame Z alors que sa fonction n’est pas tout à fait la même.
- Au moment du changement de service de Mademoiselle Y, de nouvelles habilitations lui ont été assignées pour son travail mais une partie ou la totalité de ses anciennes habilitations lui est restée affectée.
- Lors de la dernière réorganisation au sein du département DVO, les personnes ont changé d’affectation mais ont conservé les habilitations qu’ils avaient précédemment.
- Madame P a besoin d’une habilitation particulière pour effectuer son travail, or par défaut (ou pour aller plus vite) elle utilise les habilitations de sa collègue de bureau pour cela au lieu de posséder les siennes propres.
Cette liste pourrait très facilement être complétée par ne nombreuses autres raisons qui font que l’approche bottom-up pure ne peut donner de résultat satisfaisant pour un système d’information ayant quelques années de vie.