Dossira
Créer
Menu
← Retour aux articles

Définition des rôles de gouvernance : Qui a besoin de quel accès ?

Published
By Marco R.
Gouvernance Accès Membres Revues de sécurité

La structure crée la sécurité

Un espace de travail sécurisé n’est pas seulement une question de chiffrement. C’est une question de personnes. Si tout le monde est administrateur, personne n’est responsable. Si tout le monde est invité, le travail s’arrête.

Dans la gouvernance à enjeux élevés, nous codons l’accès en fonction de la responsabilité. Nous suivons le principe du moindre privilège, mais nous le modérons par le besoin de fluidité. Un administrateur incapable de lire un document est un échec de gouvernance.

Le secrétaire du conseil : L’opérateur

Le secrétaire gère la salle. Dans Dossira, il est le Propriétaire de l’espace de travail.

Son devoir est de préparer le dossier. Il doit avoir la capacité de créer des dossiers, de télécharger des versions et de gérer la liste des membres. Il est responsable du cycle de vie de la réunion. Il est également le seul rôle qui devrait avoir le pouvoir de « Sceller » l’espace de travail.

[EDITOR: Check if we have a specific guide for ‘Workspace Owners’ vs ‘Admins’ and link it here.]

Le président et les administrateurs : Les membres

Les membres du conseil sont là pour examiner et décider. Ils n’ont pas besoin de gérer les paramètres ou d’inviter d’autres personnes.

Ils nécessitent un accès Membre axé sur la simplicité. Leur besoin principal est une entrée sans friction. Nous utilisons des clés d’accès (passkeys) pour garantir qu’un administrateur puisse entrer dans l’espace de travail d’un regard ou d’un toucher. Ils doivent avoir la possibilité de commenter les fichiers et d’approuver les livrables, mais ils ne devraient généralement pas déplacer ou supprimer des fichiers.

Nous traitons leur accès comme un modèle de « lecture et examen ». Cela protège la structure du dossier contre les erreurs accidentelles de glisser-déposer.

Observateurs et conseillers : Les invités

Des spécialistes assistent souvent pour des points spécifiques. Des conseillers juridiques, des auditeurs ou des experts du secteur peuvent avoir besoin de voir un seul rapport, mais pas le procès-verbal de la réunion précédente.

Ces utilisateurs sont des Invités. Nous recommandons de restreindre leur vue à des sections spécifiques. Un invité ne devrait jamais voir la liste complète des membres, sauf si cela est nécessaire. Leur accès est souvent temporaire.

Le protocole de sortie

Les rôles de gouvernance ne sont pas permanents. Les administrateurs prennent leur retraite ; les conseillers terminent leur mission.

La révocation des accès (offboarding) est aussi critique que l’intégration (onboarding). Lorsqu’un rôle prend fin, l’accès doit être révoqué immédiatement. Dans un modèle d’espace de travail, cela se fait en un seul clic. La force de cette action réside dans le Journal d’audit.

Lorsque vous supprimez un membre, le journal enregistre l’horodatage exact. Cela prouve qu’un ancien administrateur n’a pas eu accès à des informations sensibles après sa date de départ. C’est un petit détail qui compte énormément lors d’une revue de sécurité ou d’un processus de diligence raisonnable.