Je n’ai pas besoin d’une solution de gestion des identités et des accès : je gère !

Mélanie Lebrun

|

Responsable marketing chez Youzer

09/2022

Articles
>
Automatisation ITSM
Souvent repoussé à plus tard, un projet de gestion des identités et des accès peut s'avérer néfaste. On pense qu'on peut gérer soit-même ses utilisateurs mais on rencontre vite des ralentissements, des petites erreurs qui font perdre un temps fou. Si on mettait dans une balance d'un côté, le coût et la mise en place d'un IAM et de l'autre le fait maison, qui serait le plus intéressant ?

Sommaire

Vous avez déjà entendu parler d’une solution d’IAM, Identity and Access Management, peut-être moins d’IGA Identity Governance and Administration qui est la partie administrative de l’IAM (contrairement à la partie technique).

La partie administrative comprend l’automatisation des créations et des suspensions de comptes et le paramétrage des workflows. L’IGA englobe aussi une partie légale et sécuritaire avec la revue des comptes, l'alignement des droits et les comptes orphelins.

Pour l’instant, vous gérez vous-même toutes ces parties et vous considérez que cela ne nécessite pas de passer par une solution payante. Alors, discutons 😏 !

💡 : il est possible d'écouter cet article ! Retrouvez l'audio en bas de page 🎧

Je n’ai pas besoin d’aide pour connaître le nombre de collaborateurs.

“J’ai Active Directory ! Enfin si on retire les comptes systèmes, et j’ai peut-être des doublons, des erreurs et des utilisateurs partis…”

Je suis au regret de vous annoncer qu’Active Directory n’est pas votre référentiel utilisateur. Active Directory comporte un certain nombre de comptes systèmes créés par des applications, qui ne sont plus forcément présents dans votre SI. L’AD mélange utilisateurs, systèmes et collaborateurs, vous retrouverez les comptes des utilisateurs, partis et présents et des comptes systèmes.

Comptabiliser ses collaborateurs est une opération très subtile, car les RH n’ont pas la totalité des personnes travaillant pour l’entreprise à un instant T (puisqu’elles ne comptabilisent que les personnes ayant une relation contractuelle directe avec elles, ce qui exclut les prestataires, intérimaires qui ont pourtant des comptes) et les IT ont une grande quantité de comptes.

Une solution d’IGA synchronise le SIRH et l’AD (ou votre annuaire utilisateurs), créant ainsi un référentiel unique d’utilisateurs. Cette opération ne nécessite aucune action de votre part, vous retrouvez votre liste puis vous voyez remonter, les doublons et les suggestions d'associations.

Je n’ai pas besoin d’aide pour gérer mes arrivées : les RH remplissent un fichier Excel.

“Les RH remplissent un fichier Excel, puis elles m’envoient un mail pour confirmer que j’ai bien vu le message. Parfois, il arrive que je manque d’informations, alors, on s’appelle ou on s’écrit. L’intitulé du poste n’est pas toujours très précis. Parfois, il y a un trou dans la raquette et le collaborateur arrive et rien n’est prêt mais franchement ça n’arrive pas souvent. Parfois, on n’a pas fait les bonnes demandes de logiciels.”

Alors oui Excel c’est le copain de toutes les situations mais parfois il faut reconnaître que l’outil sort de ses limites. Gérer des utilisateurs sur Excel n’est pas la manière la plus simple et la plus fiable pour gérer les arrivées et les départs.

Du moment, que vous impliquez l’humain sur toute la chaine, vous pouvez être sûr que vous allez avoir des erreurs. D’autant plus, que votre équipe et vous-même allez passer beaucoup de temps à regrouper les informations, à les unifier.

Là, vous pouvez m’opposer l’argument suivant : que risque mon entreprise s’il y a une erreur dans le processus ? Oui, ça fait perdre du temps, mais il n’y a aucun risque sur la sécurité de l’entreprise. À cela, je vous répondrai que certains secteurs sont tellement tendus que le recrutement est un sujet majeur au sein de l’entreprise. Faire mauvaise impression le premier jour n’est pas très stratégique.

Selon une étude de ManPower, HR Voice et Opensourcing, une erreur de recrutement a un coût très élevé entre 30 000€ et 150 000€. L’impact se faire sentir sur l’image de l’entreprise, le moral des collaborateurs, le manque à gagner du poste vacant, le coût du recrutement et de la formation, etc…

Lorsque les RH entrent un nouveau collaborateur dans le SIRH, la solution d’IAM le repère dans les 30 mn maximum et lui applique le package de logiciels que vous aurez paramétré. Les comptes se créent automatiquement. L’informatique n’a plus qu’à valider les comptes.

Je n’ai pas besoin d’aide pour créer les comptes de mes utilisateurs : j’ai une équipe qui s’occupe de ça.

“Dès fois, il y a des erreurs dans la nomenclature des comptes ou il y a des erreurs dans l’écriture des noms. Mes équipes mettent quand même beaucoup de temps à créer les comptes et ne peuvent pas se concentrer sur des tâches à fortes valeurs ajoutées.”

Allez voir vos équipes et demandez-leur combien de temps, elles mettent pour la création et pour la suspension des comptes, si ce dernier est mis en place dans votre entreprise.

La création des comptes nécessite plusieurs étapes :

  • la réception des informations (on part du principe que toutes les infos sont correctement arrivées 😉 on n’abordera donc pas les allers-retours avec les RH)
  • l’équipe va créer le compte AD (si l'entreprise l'utilise),
  • puis un compte 365 (qui peut être créé directement dans Azure/365 via l'AD Connect,)
  • après, au fur et à mesure, on va lui attribuer des licences sur les différents logiciels métiers utilisés.

Le processus étant un peu laborieux, souvent, on fournit les liens au salarié et on l'invite à faire ses comptes, puis le manager ou l'IT a juste besoin de valider les demandes de créations entrantes, mais ça reste fastidieux.

D'ailleurs souvent, à l'arrivée d'un nouveau salarié, on dédie la première journée à s'assurer que tout est bien en place.

Et si votre équipe ne passait plus autant de temps sur les créations et suspensions de comptes, sur quels projets aimeriez-vous les consacrer ?

Et si vous n’aviez plus de frictions à l’arrivée des collaborateurs, quel serait le ressentit des nouvelles recrues et le retour des managers et l’image du service IT ?

Avec une solution d’IGA vous avez paramétré vos différentes applications et vous n’avez que peu d’actions à réaliser (principalement des validations), voir aucune si vous avez mis des workflows en place. Côté collaborateur, aucune action de leur part n’est requise, il dispose de leurs accès dès leur arrivée.
Envie de voir une démo instantanée de Youzer ?  
Voir la démo

Je n’ai pas besoin d’aide pour effectuer ma revue des comptes : on la fait une fois par an.

“Enfin, ça me prend du temps et c’est vraiment ce que j’aime le moins. Il me faut compter, une ressource à temps plein pendant plusieurs semaines. Je ne fais pas ça très fréquemment, une ou deux fois par an (c’est vrai qu’il faudrait que je fasse ça plus souvent).”

Petit rappel, pourquoi faire une revue des comptes ? Nous parlons de vérification de comptes lorsque nous voulons nous assurer qu'un compte actif dans diverses applications est un compte légitime. La vérification de ce compte est souvent fastidieuse car elle nécessite de traiter manuellement une liste RH d'employés et de la comparer à une liste d'accès ouverts à toutes les applications de l'entreprise.

Faire une revue des comptes, manuelle, est donc très très chronophage. Vous n’avez pas d’autres choix que d’exporter vos collaborateurs, vos comptes et de les recouper manuellement et avec validation auprès des services.

Cette opération est nécessaire d’un point de vue légal et d’un point de vue sécuritaire.

Une solution d’IAM recoupe toutes les informations en permanence, vous n’avez donc pas d’action à effectuer pour retrouver votre revue des comptes. Vous aurez alors le récapitulatif des utilisateurs qui nécessitent une action de votre part.

Je n’ai pas besoin d’aide pour gérer mes licences : je suis sûre que tout est bon (à 99% !).

“Enfin, je crois ? (Selon notre expérience, il y a toujours de grandes surprises !). Si je pouvais récupérer quelques licences, ça me ferait bien plaisir question budget quand même.”

Avec l'ensemble des processus à prendre en compte, les services IT manquent d'outils permettant de suivre les ressources utilisées par l'entreprise. L'humain ne peut pas se souvenir de chaque élément de ressources utilisées pour chaque utilisateur présent ou non. Il est souvent plus facile de réaffecter une nouvelle ressource puis d'aller supprimer les anciennes plus tard que de réaffecter une licence. Seulement, comme les services IT sont de plus en plus surchargés, il est complexe de trouver du temps pour s'y remettre plus tard.

Avec une solution d’IGA vous pouvez retrouver pour chaque logiciel ou pour l’ensemble de vos logiciels la liste de vos unités non associées à un utilisateur et donc avec une licence active.

Je n’ai pas besoin d’aide pour gérer mes habilitations : les droits et les accès sont copiés à partir d’un collaborateur similaire.

“C’est vrai, qu’on n’a jamais regardé si les applications que chacun avait correspondaient bien à son poste mais comme on prend les droits d’un collaborateur similaire et qu’on les colle sur un autre, globalement, ça va.”

Est-ce que le collaborateur qui vient d’arriver est strictement semblable à un autre ? Il est très fréquent qu’en entreprise un collaborateur ait besoin de droits spécifiques sur une application impliquant des droits administrateurs. On les lui applique car on le connait, qu’on a confiance en lui et que l'on a mis des éléments de sécurité en adéquation avec ses accès, mais est-ce que ces droits seront corrects pour un nouveau collaborateur ?

Un collaborateur qui change de poste peut aussi changer de droits et d’accès, est-il suivi ?

En termes de sécurité, il est préférable d’appliquer le principe de moindre privilège. Du coup, répéter indéfiniment un profil dont les droits et accès n’ont pas été revus depuis plusieurs années peut largement poser problème.

Avec une solution d’IGA, vous pouvez retrouver dans chaque fiche utilisateur les logiciels et les droits, qui le collaborateur manage et qui est son manager.
Vous appliquez aussi le bon profil à la bonne personne et vous pouvez réviser les profils de droits accordés.

Je n’ai pas besoin d’aide pour gérer mes suspensions de comptes : on vérifie tous les 6 mois quels sont les comptes inutilisés.

“Quand quelqu’un part, c’est plus flou que pour les arrivées, des fois, je suis informé en croisant les RH à la machine à café, des fois, non. On regarde les comptes non utilisés après 6 mois et on vérifie avec les RH. Et puis 2 fois par an, on fait une revue des comptes avec un fichier CSV. Il n’y a pas de process très défini pour les départs.”

La suspension de compte, c’est le parent pauvre de la gestion des comptes.

Quand quelqu’un part, c’est plus flou quand pour les arrivées, l'information passe beaucoup moins bien. Elle n'est pas cruciale comme celle des arrivées, oui un utilisateur qui n'a pas de comptes, c'est bloquant et ça se voit. Un utilisateur qui part avec des comptes toujours actifs ça ne se voit pas, ça ne gêne personne et du coup, on laisse faire.

Si on fait l'effort de mettre la suspension des comptes dans le processus d'offboarding, on se heurte à un nouvel inconvénient. Pour suspendre un compte, rdv sur la console d'admin à la recherche de la licence en question (souvent son nom c'est 11112847393738). Surtout ne pas se tromper avec la licence 11112847383736 parce que c'est celle du manager 😣. Puis, on recommence sur chaque console d'admin, de chaque logiciel, que le collaborateur avait. Au programme : du temps, de la patience et du self control. Pour des équipes déjà trop chargées, cette étape est fastidieuse.

Une solution d’IAM permet d’être informé en temps réel des départs. On peut mettre un workflow de suspension automatique des comptes suite au départ du collaborateur. Il est très facile de trouver les comptes actifs d’utilisateurs partis, ce qu’on appelle les comptes fantômes.

Vous souhaitez recevoir notre livre blanc sur la gestion des identités et des accès ?

Nous n'avons pas pu confirmer votre demande.
Votre demande de livre blanc est bien prise en compte.

Je n’ai pas besoin d’aide pour gérer le reset des mots de passe des utilisateurs : ils envoient un mail à l’informatique.

“C’est vrai que ça prend du temps pour rien à mes équipes.”

Vous le savez, le lundi vous aurez votre lot de mots de passe oubliés et pire, au retour des congés, le helpdesk sera sur-sollicité. À chaque fois, c'est pareil, vos équipes passent un petit peu de temps pour réinitialiser et renvoyer le mot de passe. Ce n’est pas grand-chose, mais si l’administrateur système était en train de faire autre chose, ça le coupe dans son travail et il perd du temps à réaliser l’action puis à se remettre à son travail.

La réinitialisation des mots de passe, on ne va pas se le cacher, c’est vraiment la tâche avec la plus faible valeur ajoutée du service IT mais aussi celle qui va devoir passer sur le haut de liste à chaque fois.

Avec une solution d’IGA, vous pouvez utiliser un appcenter pour proposer un self-reset des mots de passe. Vos utilisateurs seront beaucoup plus indépendants et vous ne serez plus sollicités sur ce genre de tâches. Bien sûr, c’est à vous de définir quels sont les logiciels en self-reset.

Je n’ai pas besoin d’aide pour donner les premiers identifiants à mes collaborateurs : on met ça dans une enveloppe qu’on donne au manager.

“Je l’écris sur un post-it que je donne au manager du nouveau collaborateur, puis on lui pose sur le bureau 🤡 la veille au soir ou le matin de son arrivée.”

Bien sûr, en termes de sécurité, on a vu mieux, la CNIL donne d'ailleurs des conseils concernant la gestion des mots de passe. La question est toujours et sans cesse : comment communiquer sur la transmission du premier mot de passe de manière sécurisée ?

On peut l’envoyer sur le mail personnel du collaborateur ou par SMS, ce qui est déjà très bien en termes de best practice. Seulement, pour certaines entreprises, ne pas s’immiscer dans la vie des collaborateurs est important et donc limiter le nombre d’interactions dans les accès personnels des collaborateurs est une nécessité.

Pour d’autres, il s’agit d’une question de sécurité, un SMS ou un mail laissent des traces.

Une solution de gestion des identités et des accès permet via une plateforme sécurisée de recevoir son premier mot de passe, il n’y a aucune trace en dehors de cette plateforme.

Que feriez-vous de tout ce temps économisé ?

Gérer les comptes et les utilisateurs en interne c’est faisable mais cela entraine des failles de sécurité non négligeables. Le travail à fournir en interne est important et sans apporter de la plus-value pour la DSI qui ne peut pas se concentrer sur d’autres projets.

La création et la suspension des comptes devront se faire de toute façon, que vous les automatisiez ou non. Maintenant la question est : combien de temps voulez-vous y passer ?

Vous pourriez m’opposer le coût, mais là encore, vous serez gagnant en prenant une solution comme Youzer 😇. Les coûts étant faibles, vous êtes rentable au moment même de la mise en place. Vous récupérez des licences et du temps immédiatement.

Envie de tester ? Nous proposons des essais sans engagements sur quelques mois, comme ça vous vous ferez votre avis !

Récap'IT la newsletter de la DSI

Recevez le meilleur des actus IT du mois.
Évolution du marché, tendances IT, les cyberattaques en France ... un condensé de l'actualité informatique du mois.

Nous n'avons pas pu confirmer votre inscription.
Votre inscription est confirmée ! Vous recevrez votre prochain Récap'IT à la fin du mois 😊

Articles recommandés

Découvrez Youzer, la première plateforme
pour gérer simplement vos utilisateurs et leurs accès

Hey ! Vous connaissez la chanson :) Nous utilisons des cookies d'analyse de données anonymes. En “Acceptant tous les cookies”, vous nous aidez à comprendre les pages vues (anonymes). En savoir plus sur notre politique de confidentialité.