Connais tes utilisateurs !

Mélanie Lebrun

|

Responsable marketing chez Youzer

12/2022

| Mis à jour le

Articles
>
Gestion des utilisateurs
Know your customer dans le secteur bancaire pourrait totalement être appliqué à l'informatique avec Know your user. Pourquoi, est-ce si difficile de connaître ses utilisateurs et d'obtenir un fichier unique de l'ensemble des utilisateurs liés par un contrat à l'entreprise à un instant T ?

Sommaire

💡 : il est possible d'écouter cet article ! Retrouvez l'audio en bas de page 🎧

Cette injonction peut surprendre mais dans le domaine bancaire, elle est très connue :

“know your customer” ou son petit nom KYC.

C’est une procédure qui permet aux banques de connaître l’identité de leurs clients afin d’être conforme aux réglementations en vigueur.

En raison du contexte actuel, la banque doit limiter son exposition aux risques causés par ses clients.

Les banques doivent collecter des informations relatives à la personne morale et à la personne physique comme l’identité, la source des fonds, les liens politiques, etc.

Plus le risque est élevé, plus la surveillance et les vérifications seront poussées.

Une fois l’opération terminée, tout cela est conservé dans un dossier afin de prouver sa mise en conformité.

Jusque-là, tout le monde est d’accord pour dire qu’il est normal de connaître ses clients pour une banque, mais allons plus loin, KYC, oui et pourquoi ? Pourquoi faut-il connaître ses clients ?

Cette question peut faire sourire, mais pourtant vous allez voir qu’elle n’est pas si naïve que cela.

Know your customer dans le secteur bancaire

La procédure “Know your customer” vient de la directive Européenne dans la lutte contre le blanchiment d’argent et le financement du terrorisme.

Le KYC a été mis en place pour évaluer le risque d’une relation commerciale avec chaque client. Cette procédure est donc un incontournable dans le secteur bancaire et si les banques ne sont pas en accord avec la procédure, elles s’exposent à des sanctions.

Pour répondre à ma question, pourquoi faut-il connaître ses clients :

  • pour ne pas financer du terrorisme
  • pour ne pas participer à du blanchiment d’argent

indirectement :

  • pour être en conformité avec les États

Et si KYC était une procédure obligatoire au sein des entreprises ?

Oui, cela a beaucoup de sens quand on regarde l’application et les raisons de cette procédure dans le secteur bancaire et cela est tout à fait transposable à l’ensemble des entreprises.

Envie de voir une démo instantanée de Youzer ?  
Voir la démo

Know your user (KYU) en informatique

On transpose tout ce que l’on vient de dire, du secteur bancaire au service informatique :

  • En raison du contexte actuel de cyberattaque, les entreprises doivent limiter leur exposition aux risques causés par leurs utilisateurs. 💡
  • Les entreprises doivent collecter des informations relatives aux personnes physiques comme leur identité, les informations contractuelles.
  • Plus le risque est élevé, plus les vérifications doivent être importantes, comme les emplois passés si la personne travaille dans un secteur sensible ou si elle est dans un poste de direction ou avec des accès administrateurs.
  • Tout cela doit être révisé régulièrement.

Pourquoi connaître ses utilisateurs ?

  • pour éviter les risques de cyberattaque (de la part du collaborateur ou dans le cadre d’une attaque extérieure)
  • pour suivre le cycle de vie des utilisateurs
  • pour appliquer la règle du moindre privilège

À partir de là, nous sommes perplexes. C’est une obligation totalement justifiée dans la banque et absolument pas pour le monde des entreprises, pourtant les risques dans les deux cas sont énormes.

La banque a peu d’erreurs dues à cette procédure, pour les entreprises, c’est une autre histoire… les attaques utilisant les failles autour des utilisateurs sont extrêmement fréquentes.

Qu’est-ce qu’un utilisateur ?

Back to the basic : un utilisateur doit être vu comme une personne physique qui a un lien contractuel avec l’entreprise et non pas comme un compte informatique.

Une personne = un utilisateur

Un utilisateur peut avoir plusieurs comptes. Donc un compte ≠ un utilisateur.

Un compte est une représentation digitale de l’utilisateur dans le système d’information.

⚠️ Pas d’amalgame : l’Active Directory n’est pas une source de vérité RH !

Ce sont les contrats qui rattachent un utilisateur à l’entreprise.

⚠️ si un utilisateur n’a pas de relation contractuelle, alors il n’a pas à avoir d’accès au SI de l’entreprise.

Maintenant que ces précisions ont été faites, voyons ce qui est complexe dans l’application du KYU dans l’IT.

Pourquoi est-il si compliqué de connaître ses utilisateurs ?

Pour bien connaître vos utilisateurs, vous avez besoin de plusieurs informations comme :

  • les informations contractuelles
  • la date de début et de fin de contrat (la date de fin est liée au contrat et donc souvent inconnue au moment de l’arrivée du collaborateur)
  • les informations opérationnelles comme les comptes nécessaires, les accès que l’utilisateur doit avoir

Ces données sont impératives pour créer les comptes à ce nouvel utilisateur. Les paramétrages de chaque compte ne peuvent se faire que si l’on a affiné les informations précédentes.

Ainsi, une matrice de conversion de collaborateur en comptes, peut être vue comme ceci :

Matrice conversion utilisateur - comptes

L’inconvénient, c'est que dans la réalité les choses se corsent.

Vous souhaitez recevoir notre livre blanc sur la gestion des identités et des accès ?

Nous n'avons pas pu confirmer votre demande.
Votre demande de livre blanc est bien prise en compte.

L’information est dispersée sur plusieurs sources

Où chercher l’information administrative des collaborateurs ?

L’outil de paie est une bonne source d’information pour retrouver les collaborateurs sauf pour les stagiaires par exemple qui sont de moins de 2 mois car ils ne figurent pas dans l’outil. Idem pour les prestataires externes qui ne sont pas dans l’outil de paie.

Parfois, l’ERP métier permet de lister les prestataires et les intérimaires.

Sinon, on peut retrouver un fichier géré par le ou les managers, mais encore faut-il que ce fichier soit bien à jour.

On peut aussi retrouver les collaborateurs sur une base de suivi de congés mais là encore, cela ne concerne que les CDI et les CDD.

Le SIRH est (toujours) souvent en retard 🫣

Le SIRH est toujours en retard et pour une bonne raison : la paie arrive en fin de mois, l’utilisateur n’est saisi que le 20 du mois !

L’utilisateur n’a pas d’existence avant. Donc, on ne peut pas anticiper sur l’arrivée. Pour parer à ce problème, les RH ont souvent un fichier Excel pour les nouveaux arrivants.

En rassemblant l’outil de paie + le fichier, on arrive à avoir un référentiel plutôt correct.

Un utilisateur à plusieurs contrats

Il arrive qu’un utilisateur puisse cumuler plusieurs contrats au sein d’une entreprise. Cela peut être le cas par exemple chez les pompiers qui peuvent être pompiers volontaires et secrétaires. On se retrouve alors avec deux contrats mais une personne. Un utilisateur mais plusieurs accès.

On retrouve aussi une autre situation avec un utilisateur qui cumule différents contrats. Il arrive en tant que stagiaire puis il finit son stage avec une proposition d’un CDD. Le budget est là et les compétences aussi, on le convertit en CDI.

On a ainsi une personne et trois contrats. Un utilisateur, mais des accès qui peuvent devenir de plus en plus élevés et nombreux.

Et dernier cas, notre héros, qui cumule plusieurs contrats en même temps et qui a des contrats contigus. 💪

Différents types de contrats

Des mouvements d’utilisateurs chaque jour

On va faire un fichier Excel pour suivre l’ensemble de ces mouvements (arrivée, mobilité interne et départ).

Comment procède-t-on ? On prend l’ensemble des informations disponibles (fichier Excel des RH, des managers, le SIRH et l’annuaire utilisateur) on se fait un bon casse temps pour tirer un référentiel unique d’utilisateur et connaître qui est présent, avec quel contrat, quelles applications et quels accès.

Sauf qu’entre temps y a eu des changements, des nouveaux utilisateurs, des modifications de date de départs ou d’arrivées, des modifications de service 🤯

Toutes les informations ne sont pas disponibles

Même si on essaye parfois, l’information n’existe nulle part et il n’est donc pas possible de l’inventer.

S’il n’y a aucun suivi pour les prestataires, les stagiaires, il ne sera pas possible d’avoir un référentiel centralisé.

Les contrats de prestation sont souvent gérés directement par les managers et souvent en flux tendu, ce qui rend la possibilité d’un fichier commun et correctement tenu très difficile.

Quelle solution pour mieux connaître ses utilisateurs ?

À ce stade, on arrive à la conclusion que pour mieux connaître ses utilisateurs, il nous faut deux choses :

  • de la rigueur
  • un référentiel unique d’utilisateur

Listez

Listons les différents types de collaborateurs qui peuvent être présents dans une entreprise et où pouvons-nous trouver une information fiable pour les recenser :

  • les collaborateurs internes : service RH (SIRH ou fichier Excel)
  • les stagiaires : service RH (hors SIRH donc probablement fichier Excel)
  • les intérimaires : managers

Répertoriez

Ensuite, revenons à notre demande de base KYU, de quelles informations ai-je besoin pour les identifier proprement dans mon SI ?

Soyez méticuleux dans cette démarche. Si vous visez large ‘on n’est jamais trop prudent’, vous risquez de faire perdre du temps à tout le monde. Catégoriser chaque élément, retrouver toutes les informations, le risque de démotivation s’il y a trop d’informations à remplir va compromettre votre travail et votre référentiel risque de tomber à l’eau rapidement.

Pas assez d’éléments et vous voilà partis à la chasse aux informations et donc là, encore une fois, personne n’est gagnant.

Automatisez

Vous le savez autant que moi, toute action manuelle est couplée à un risque d'erreur, d'oubli et de flemme. Elle est une charge mentale, un effort et un risque important d’erreur.

Vous devez, une fois que vous avez identifié toutes vos sources, automatiser leur import pour n’en n’avoir qu’un seul fichier.

Traitez

À ce moment-là, vous avez un fichier brut non traité avec des doublons, des homonymes, des spécificités.

Bonne nouvelle, il existe bien une solution qui vous permet de réaliser toutes ces actions, c’est une solution d’IAM, Identity and Access Management. Comme son nom l’indique, elle gère les identités et les accès des utilisateurs.

Chez Youzer, nous avons pris en compte toutes ces spécificités de contrats, de sources différentes et même d’absence de source pour vous aider dans vos démarches afin que vous n’ayez qu’un seul fichier propre qui sera votre référentiel unique d’utilisateurs.

Comment cela fonctionne ? Youzer récupère des informations dans votre SIRH et les retranscrits pour la création des comptes. Un formulaire ultra personnalisable vous permet de centraliser et de normaliser les informations d'arrivées des collaborateurs ne figurants pas dans le SIRH. L'ensemble de ces informations sont centralisées au sein de Youzer, vous pouvez travailler sur une base fiable d'utilisateur en temps réel.

Youzer est votre know your user !

En conclusion, il est possible de connaître ses utilisateurs et d’avoir un fichier propre de façon manuelle mais cela implique beaucoup de rigueur et malgré tout de risques d’erreurs.

Ce n’est pas une action que vous pourrez réaliser quand bon vous semble car elle vous prendra un bon nombre de ressources humaines.

L’intérêt de l’automatisation de cette action permet une fiabilité de vos résultats et une économie considérable de temps. Votre fichier utilisateurs est toujours à jour.

Récap'IT la newsletter de la DSI

Recevez le meilleur des actus IT du mois.
Évolution du marché, tendances IT, les cyberattaques en France ... un condensé de l'actualité informatique du mois.

Recevoir l'actu IT

Articles recommandés

Découvrez Youzer, la première plateforme
pour gérer simplement vos utilisateurs et leurs accès

Hey ! Vous connaissez la chanson :) Nous utilisons des cookies d'analyse de données anonymes. En “Acceptant tous les cookies”, vous nous aidez à comprendre les pages vues (anonymes). En savoir plus sur notre politique de confidentialité.