Le process d’onboarding IT est simple mais les frictions démarrent très tôt
Lorsqu’un nouveau collaborateur arrive dans une entreprise, le service IT est (généralement) informé par le service RH. Le service RH communique les informations concernant ce nouveau collaborateur, afin que le service IT puisse créer les différents comptes sur les outils internes, et fournir le bon pack de matériel au collaborateur.
Ça, c’est la théorie.
Dans la pratique, c’est un peu moins fluide.
Les frictions commencent dès le début du process : le vecteur d’information.
Le service IT doit être informé d’une nouvelle arrivée, car c’est lui qui prépare tous les outils nécessaires pour que le nouveau collaborateur soit opérationnel dès son arrivée dans l’entreprise. C’est justement sur cette phase que les problèmes commencent. Le service RH n’ayant généralement pas un système automatisé pour transmettre l’information, c’est un mail, un ticket ou même un document word qui est envoyé manuellement au service IT. Ces informations sont ensuite complétées par le service IT qui demande au manager, au service RH etc… des compléments d’information.
Par exemple, le service RH communique la date d’arrivée mais s’il y a une modification, le process ne suit pas. Le service IT se retrouve donc devant le fait accompli : le collaborateur qui devait arriver dans 2 semaines est déjà dans les murs et attend ses identifiants.
Autre exemple : le service RH n’a pas transmis l’information du service auquel le nouveau collaborateur appartient et le service IT ne peut donc pas créer les comptes correctement. Les comptes seront donc créés sans les bonnes habilitations, ou les comptes ne seront pas créés tant que le service IT n’aura pas obtenu de la part des RH la bonne information.
Dans tous les cas, ces frictions génèrent de la perte d’énergie, de la perte de temps, des insatisfactions (service RH sollicité, service IT débordé, utilisateur final partiellement opérationnel).
Les raisons des frictions
Les frictions que je viens d’évoquer sont très pernicieuses.
Ces frictions sont peu visibles : un utilisateur finira toujours par avoir accès aux outils dont il a besoin que ce soit dès le premier jour ou au bout d’une semaine ou d’un mois. Le service IT finira toujours par créer les comptes et fournir le matériel dont l’utilisateur a besoin. Ce n’est donc - en apparence - “pas si grave que ça”.
Sauf que…
Ces frictions sont récurrentes : à chaque nouvelle arrivée, c’est le même bazar.
Ces frictions touchent beaucoup de collaborateurs (service RH, service IT, utilisateur, manager).
Ces frictions peuvent entrainer la rupture de la période d'essai par le salarié. Dans des secteurs très tendus, cela peut être une catastrophe.
Ces frictions génèrent une mauvaise ambiance entre les services.
Ces frictions peuvent générer des failles de sécurité (groupes de sécurité mal configurés, accès ouverts laissés à l’abandon…)
Avant de pouvoir corriger et éliminer ces frictions, il est indispensable d’en comprendre les raisons.
Dans un fonctionnement classique, si le service IT veut savoir quelle est la liste des personnes arrivant prochainement, il est obligé de reconstituer les informations envoyées de manière unitaire par le service RH : récupérer tous les mails, prendre les dernières informations s’il y a eu des modifications… Cette friction est générée par le mode de transmission dit “différentiel“.
Dans ce mode de transmission “différentiel”, les informations sont envoyées de manière ponctuelle directement au service IT :
- 1er mail : “un nouvel utilisateur nommé Eric Boutier arrive le 1er septembre”
- 2ème mail : “sa fonction sera ‘Chef de service’”
- 3ème mail : “cet utilisateur arrive en fait le 31 août”
Ces informations envoyées de manière séquentielle demandent un effort de reconstitution au service IT pour arriver à reconstituer l’information finale “Un nouvel utilisateur, Eric Boutier, Chef de service, arrive le 31 août”.
La seconde raison de friction est ce qu’on appelle communément la “chasse aux infos” (ou la “pêche aux infos”). Le service RH délivre une information partielle parce qu’il n’a pas les informations ou tout simplement parce qu’il ne sait pas quelles sont les informations dont le service IT a besoin pour la création des comptes sur les différents outils (Active Directory, Office 365, Google Workspace …).
Vous souhaitez recevoir notre livre blanc sur la gestion des identités et des accès ?
Comment corriger ces frictions ?
Pour corriger les frictions générées par ce process chaotique, il y a 2 choses à faire.
Tout d’abord, il faut constituer un référentiel unique qui répertorie les utilisateurs aussi bien pour le service RH que pour le service IT. Ce référentiel est alimenté par le service RH et consulté par le service IT. Ce référentiel d’utilisateur sert de “tampon” et permet au service IT de consulter une information la plus à jour qui existe.
Ce référentiel unique doit avoir plusieurs caractéristiques :
- Générer des notifications 🔔 : pour informer le service IT dès qu’il y a une modification (nouvelle arrivée, modification d’une date ou d’une fonction d’un collaborateur arrivant prochainement…)
- Se connecter automatiquement aux outils RH ⚙ : cette caractéristique est facultative mais permet de fluidifier les échanges en limitant la double saisie par le service RH. La plupart des SIRH (Lucca, Eurecia, …) permettent une intégration simple.
- Avoir des champs évolutifs 📈 : au fur et à mesure de l’automatisation du process, il sera nécessaire de rajouter de nouveaux champs dans ce référentiel (matricule, business unit, code analytique…) qui seront en lien avec les outils métier comme Salesforce par exemple.
- Être collaboratif 🤝 : afin de permettre à chacun de saisir les informations nécessaires (RH, manager…)
Dans un second temps, il faut définir le “mapping” des informations RH avec les informations techniques qui permettent de créer les comptes.
Pour prendre un exemple simple, pour créer le champ “UPN” (User Principal Name) qui sera le login de l’utilisateur sur l’Active Directory, il faut son nom, son prénom ainsi que le domaine de l’entreprise. Avec ces 3 informations, et la “formule” de calcul (1ère lettre du prénom, suivi d’un point, suivi du nom et du domaine), on peut calculer le login.
Donc Franck Baritiu deviendra f.baritiu@domain.com par exemple.
La méthodologie pour construire ce mapping est simple : il faut partir des informations que vous souhaitez avoir dans les comptes des applications que vous voulez créer. Ensuite, il suffit de se poser la question “comment cette information est-elle construite” pour en déduire la formule de calcul à définir.
Cette méthode inversée et un peu contre-intuitive, permet de définir la matrice de transformation la plus efficace possible puisqu’elle part du résultat souhaité pour remonter aux informations nécessaires et aux formules de calcul à définir.
Prenons un exemple d’un compte active directory. Lorsque l’on veut créer un compte AD pour un nouvel arrivant, il faut définir l’Unité d’Organisation (Organisational Unit ou OU) dans laquelle le compte doit être créé. Comment choisir l’OU ? Chaque entreprise a sa stratégie mais dans notre cas, l’OU doit être définie en fonction du service d’appartenance de l’utilisateur ainsi que de son rattachement géographique. On peut donc en déduire que les informations RH dont on aura besoin seront le site géographique et le service. La formule de calcul sera par exemple une table de correspondance qui associera à chaque service/site une OU spécifique.
Ainsi, avec un référentiel unique et un mapping correctement défini, il est relativement simple de fluidifier puis d’automatiser la création des comptes dans les outils de votre entreprise.
Comment automatiser le remplissage des informations techniques à partir des informations RH ?
Pour chaque champ d’un compte à créer, il faut ainsi récupérer l’information de l’utilisateur et transformer ce champ en fonction d’une formule ou de tables de correspondances.
Un compte AD peut contenir plusieurs dizaines de champs, la plupart des comptes “classiques” (office 365, Gsuite…) en compte au moins une dizaine.
Ces manipulations sont rapidement très chronophages, il faut essayer de les automatiser au maximum.
De nombreuses possibilités s’offrent à vous. L’idée ici n’est pas d’en faire une liste exhaustive mais de vous donner quelques clés pour que vous puissiez choisir la méthode qui vous convient le mieux.
La plus basique : le bon vieux fichier Excel. Dans une des feuilles, vous saisissez les informations administratives de votre utilisateur, et dans une seconde feuille, vous affichez grâce à des formules (RECHERCHEV, GAUCHE, DROITE…) les informations à remplir dans les bons champs de chaque compte.
Vous pouvez également utiliser des scripts si vous savez coder ou scripter : powershell, batsh, you name it :)
Enfin, le plus pratique reste quand même d’utiliser un outil de gestion des identités (ou gestion de la gouvernance des identités). Ces outils IAM permettent de centraliser et de simplifier la création des comptes sur les différents systèmes à partir des informations obtenues auprès du SIRH.