La première étape consiste à définir les processus que l’on souhaite mettre en œuvre car comme dans le cas de la gestion des identités il peut en exister
de très nombreux, tous n’étant pas forcément utiles dans le cadre de l’entreprise. Les plus courants sont :
- Habilitation
- Demande d’habilitation
- Modification d’habilitation
- Suspension d’urgence
- Gouvernance des rôles métiers
- Création d’un rôle métier
- Modification d’un rôle métier
- Suppression d’un rôle métier
Il faut prendre en compte que même si vos rôles métiers sont les mieux définis au monde, il existera toujours des exceptions qui devront être prises en compte et il faut donc permettre d’attribuer un rôle métier aux utilisateurs ainsi que des habilitations unitaires en dehors de leur rôle métier, charge à vous de vous assurer que la personne qui demande et/ou qui valide cet écart le fait en toute connaissance de cause et qu’elle en mesure la portée ainsi que la responsabilité afférente.
Pour définir ces processus, il est souvent nécessaire d’impliquer l’ensemble des futurs acteurs des processus, ou du moins de chacune des tâches du futur processus. Cela permet de s’assurer dès la définition du processus, que chacun aura les bonnes informations pour effectuer sa tâche, que l’on utilisera les termes qu’il a l’habitude d’employer dans le cadre de son activité et qu’il aura les moyens de fournir ou de valider les informations du processus.
Dans ce contexte il est souvent utile de mettre en place des séries d’entretiens individuels avec les personnes, le plus aisé étant de les faire organiser par des personnes externes à l’entreprise pour éviter que des conflits de personne ou d’organisation ne viennent entacher la définition des processus.
Il ne faut pas non plus perdre de vue la raison de la mise en place de tels processus et s’assurer qu’ils répondront bien à ce besoin que ce soit pour des raisons de sécurité du Système d’Information, de règles de conformité ou de choix d’entreprise.
La personne extérieure peut après ces entretiens proposer un ensemble de processus répondant aux besoins émis par les interviewés et l’entreprise. La discussion peut alors s’établir sur la base de ces propositions. Il faut éviter de chambouler complètement les habitudes de travail en imaginant que l’organisation ou les personnes s’adapteront au processus. Le processus est la pour faciliter l’activité transverse des personnes et non pour la compliquer, il se doit donc d’être pragmatique et efficace. Il pourra toujours être adapté après sa mise en œuvre pour corriger de légers défauts.