The Walking Dead of Least Privilège

Les commandements du Least Privilege ont toujours été simples, intemporels et clairs : 1. exactement ce dont vous avez besoin. 2. uniquement ce dont vous avez besoin. 3. accordé et retiré au moment prévu. Dans SAP, ils se retrouvent codés sous forme d'objets d'autorisation, de rôles et de règles de séparation des tâches. Mais dans de nombreuses entreprises, ces principes sont désormais ignorés et leur autorité s'érode. Les autorisations se propagent de manière incontrôlée, des comptes oubliés depuis longtemps restent actifs, les droits d'administration flottent comme des fantômes dans tous les domaines de l'entreprise. Le principe n'a pas disparu, mais il est trop souvent négligé et subit ainsi une mutation.

L'ère des livres papier : les origines du Least Privilege remontent bien avant l'ère de l'informatique, lorsque des employés méticuleux notaient à la main dans le „grand livre“ qui avait reçu quoi et quand. Les pages étaient numérotées afin d'éviter les „ajouts créatifs“. Les contrôles étaient simples, physiques et efficaces : lecture sous surveillance, comptabilisation uniquement avec contresignature, fermeture du grand livre la nuit, séparation entre le créateur et l'approbateur - une attribution des droits selon le principe des quatre yeux, bien avant l'apparition du terme „Segregation of Duties“.

L'ère industrielle, les droits sur la chaîne de production : dans les années 1970/80, les grands livres ont été remplacés par des terminaux et des jobs par lots. SAP R/2 est né à l'ère du mainframe, développé pour les entreprises qui attachent de l'importance à l'efficacité, à la répétabilité et au contrôle. Ici, le moindre privilège ne déterminait pas qui pouvait ouvrir le livre, mais quel employé pouvait effectuer quelle transaction sur la chaîne de production. C'est ainsi que se présentait l'accès au dernier privilège aux débuts de SAP : Les autorisations étaient étroitement liées aux transactions, aux processus de traitement par lots et aux rôles prévisibles. Les accès étaient définis exclusivement par le processus - une règle gravée dans la machine elle-même.

Le tournant du millénaire : L'âge d'or du contrôle commence : Dans le bureau du début des années 2000, le moindre privilège est omniprésent, pour des raisons de conception autant que de nécessité. Un assistant très occupé gère la machine à écrire et le flux d'informations. Parallèlement, l'accès à R/3, ECC, CRM, SRM, BW ou HR est lié à l'architecture basée sur SID de SAP. Les données sont disponibles pour ceux qui s'y connaissent, l'accès est strictement réglementé par le concept d'autorisation Abap dans la couche application.

Aujourd'hui, il faut comprendre le jargon du cloud (BTP, Rise, Grow), à l'époque, le moindre privilège était basé sur des systèmes prévisibles et spécifiques à chaque tâche. Rétrospectivement, c'était un âge d'or pour ce principe désormais si moribond : ordonné, fiable et intégré dans le rythme de la vie professionnelle. Résurrection numérique : dans le monde hybride d'aujourd'hui, l'ancien et le nouveau mode d'attribution des droits fusionnent également. La tablette en pierre avec les trois principes d'or existe toujours, mais elle brille désormais sur un tableau de bord numérique.

Les droits d'accès ne sont plus accordés par un être humain, mais par une intelligence mécanique ou un modèle d'IA génératif. L'accent s'est déplacé : la restriction par „au moins“ et „seulement“ passe à l'arrière-plan, les commandements 1 et 3 deviennent plus importants. Least Privilege se concentre donc aujourd'hui moins sur le refus que sur la précision, la rapidité et la pertinence.
Dans l'architecture moderne basée sur le cloud, les anciens SID disparaissent progressivement et sont remplacés par des services BTP et des abonnements. Le principe du moindre privilège n'est pas mort à l'ère de l'IA.

Il a simplement été ressuscité sous forme numérique, mais il brille plus que jamais. Les privilèges minimes ne s'éteignent jamais vraiment. On peut enterrer le terme, le renommer ou prétendre l'avoir laissé derrière soi, il reviendra toujours, comme un Walking Dead.