Toute personne au service informatique a déjà réalisé un provisioning ou provisionnement (en français) un peu comme dans le Bourgeois Gentilhomme, Monsieur Jourdain qui fait de la prose sans le savoir.
Oups, je vous parle de lointains souvenirs ? La prose, tout le monde en fait, c’est juste une forme ordinaire de discours 🤭.
Le provisionnement, c’est pareil ! Ce sont toutes les actions sur un compte applicatif. Cela passe par la création, la suspension, la modification et la suppression d’un compte.
Point.
Pourquoi point ? Parce que de nombreux sites induisent que le provisionnement serait l’action de faciliter la gestion du cycle de vie des utilisateurs en automatisant notamment les processus de provisionnement, hors, un provisioning n’est pas forcément automatisé, pourtant, il reste toujours un provisioning.
Partons sur des bases saines et claires : un provisionnement est simplement un processus de création, suppression, modification, suspension d’un compte applicatif.
⚠️ Attention, la création d’un utilisateur, c’est-à-dire, l’ajout d’un collaborateur dans le SI ou dans la source RH, n’est pas un provisionnement.
Pourquoi réalise-t-on des processus de provisionnement informatique ?
Un provisionnement a toujours une origine dans le cycle de vie d’un utilisateur, je m’explique.
Une création de compte ne se réalise que si un collaborateur vient de rejoindre une entreprise ou qu’il a besoin d’un nouvel accès, spécifiquement, dans le cadre d’une évolution de son poste ou de ses missions.
Une suspension d’un compte a lieu si le collaborateur quitte temporairement l’entreprise.
Une modification se réalise si celui-ci évolue dans l’entreprise et une suppression s’il quitte définitivement l’entreprise. À ce moment, on parle de déprovisionnement ou unprovisioning.
Le provisionnement et le cycle de vie sont très liés et le tout s’intégrant dans une logique d’IAM, de gestion des identités et des accès. En effet, lorsque vous créez un provisioning, vous avez forcément la réflexion suivante : j’attribue ce compte utilisateur à telle personne avec tels types de droits, car elle a ce poste et ces responsabilités. Ce qui est le principe de l’Identity and Access Management.
Comment avoir des provisionings à jour ?
Maintenant que l’on sait ce qu’est un processus de provisionnement, on comprend qu’il est facile d’en réaliser un mais que la difficulté ne réside pas là, mais bien dans la gestion globale des provisionings de l’entreprise.
Pour créer un compte applicatif, un administrateur système et réseau ou un technicien auront besoin de certaines informations prérequises qui varient en fonction du type de compte à créer, on retrouve souvent, le mail ou le groupe de sécurité, etc.
Il existe trois sources d’informations pour créer un compte applicatif :
- la fiche utilisateur,
- la création d’un champ par une nomenclature spécifique à l’entreprise (par exemple, le mail),
- une autre application.
Mais si une de ces informations change, le provisionnement n’est plus à jour.
C’est pour cela qu’il faut introduire une autre donnée : la synchronisation.
La synchronisation dans ce contexte, c’est l’action de mettre à jour le compte applicatif tout en le conservant. Ce qui est recherché, c'est que l'information administrative soit propagée vers les comptes techniques.
En action :
Un collaborateur arrive dans votre entreprise, il est saisi dans la source RH, par exemple dans un SIRH.
Que ce soit de manière manuelle ou automatisée, il faut prélever le nom, le prénom, la date d’arrivée et éventuellement de départ pour lui créer son compte Active Directory ou Microsoft 365 ou Google Workspace.
Pour répondre à la question initiale, comment avoir des provisionnements à jour, il faut donc en permanence scanner la source initiale pour la synchroniser avec l’application et avoir des comptes à jour. Cependant, cette action ne peut pas se réaliser à la main.
Il existe alors deux solutions :
- les RH préviennent le service informatique de chaque modification
- une synchronisation automatique est mise en place
Vous vous doutez que l’une des méthodes est moins fiable que l’autre 😅
Pourquoi automatiser son user provisioning ?
Sans automatisation, chaque nouvelle embauche nécessite un nombre croissant de copier/coller avec son lot d’erreurs pour les créations des 10 / 15 comptes applicatifs dont le futur collaborateur aura besoin.
Cela nécessite le temps de travail d’une personne qui va consacrer environ 30 mn à 1h en fonction du nombre d’accès à créer.
Si toutes les informations sont rapides à trouver, tout va bien, s’il en manque, cela aggrave la situation.
Si le provisionnement n’est pas réalisé dans les temps, c’est le collaborateur qui va en pâtir car il arrive dans une entreprise où il ne peut pas être opérationnel, sans parler de l’image que cela donne de l’entreprise.
À ce stade, on accumule un coût humain côté IT et collaborateur et un coût d’image.
Avec une automatisation, on souhaite :
- réduire la charge de travail côté RH pour la double saisie des informations du collaborateur sur le fichier RH + le fichier commun avec l’informatique
- réduire la charge de travail côté informatique pour les nombreux copiers/collers, la pêche aux informations et le traitement des nombreux tickets inhérents au cycle de vie des utilisateurs
- réduire le risque d’erreur de saisie mais aussi de doublons non supprimés, de comptes non synchronisés et donc en désaccords
Cela résout ces problématiques suivantes :
- un accueil simplifié pour le nouveau collaborateur : un onboarding réussi, des accès disponibles et une rapidité de réalisation des provisionings
- une économie de coûts : productivité et efficacité
- une justesse dans le SI et des audits plus simples à réaliser avec une traçabilité des actions
Vous souhaitez recevoir notre livre blanc sur la gestion des identités et des accès ?
Provisionnement manuel VS provisionnement automatisé
Peut-on gérer ses provisionnements à la main ?
Cela dépendant complètement de la taille de votre entreprise et du turn over que vous avez.
Si vous n’avez pas une grosse entreprise et que vous avez 10 entrées/sorties par an, la question de l’automatisation ne se pose pas : vous perdriez du temps à paramétrer un outil de gestion des Identités et des Accès pour quelques provisionings.
Posez-vous les questions :
- combien de temps je passe (ou mes équipes passent) à réaliser des provisionnements de comptes applicatifs ?
- Est-ce que j’arrive à maintenir un SI à jour entre les informations des RH et l’ensemble des comptes présents dans le SI ?
- Est-ce que je maîtrise les profils utilisateurs de l’ensemble des comptes présents ?
- Est-ce que j’arrive à réaliser des audits facilement pour le rapprochement des mes comptes notamment ?
Si vous commencez à avoir de grosses difficultés sur chaque question, il est grand temps de penser automatisation. Pas de panique, une solution d’IAM ne rime pas toujours avec gestion de projet de 6 mois, une interface horrible et un intégrateur à 1500€ la journée ! Heureusement, il existe au moins une solution qui vous aide vraiment sans vous plomber ni le moral, ni le budget → voir nos tarifs.
Comment automatiser un provisionnement de compte ?
L’automatisation rentre dans un contexte assez large, oui je digresse mais c’est important ! Ne regarder que l’automatisation des provisionnements ne nous permet pas de comprendre ce qu’il faut prendre en compte pour les réaliser.
Les provisionnements s’intègrent dans la GIA (Gestion des Identités et des Accès) et se décident à travers la gestion des habilitations.
Ils sont réalisés avec des règles définies par le service informatique et plus précisément par la DSI dans une gestion de profil utilisateur.
Celle-ci fixe des profils avec des droits qui correspondent à la politique de sécurité du moindre privilège. Ces droits seront surveiller notamment dans le cadre d’audit et sont là dans le but de réduire le risque cyber.
On attribue un profil à un utilisateur avec des droits et des accès que l’on suit durant toute son évolution dans l’entreprise et qu’on réajuste en fonction des besoins et de l’évolution, puis on retire les droits et les accès au moment du départ de l’utilisateur.
Il ne suffit pas d’automatiser simplement une source RH à un compte applicatif, il faut aussi réfléchir à une stratégie de droits et d’accès.
Si vous automatisez vos provisionnements mais que vous attribuez des accès administrateur à n’importe qui, vous risquez d’avoir de gros ennuis…
Les solutions d’IAM comme Youzer permettent de créer des profils de droits dans lequel l’ensemble des applications sont paramétrées pour un certain type d’utilisateur. L’automatisation prend ainsi tout son sens.
L’automatisation se fait tout en respectant la sécurité de l’entreprise.
Quels sont les différents types de provisionnements ?
Les provisionnements s’effectuent sous deux angles : RH et IT.
Les provisionnements RH :
- l’embauche : un utilisateur arrive, il faut lui créer un compte,
- mise à jour : un utilisateur vient d’avoir une modification dans ses informations personnelles, il faut mettre le compte applicatif à jour,
- fin de contrat : un utilisateur part, il faut suspendre ses comptes puis les supprimer,
- suspension → réactivation : un utilisateur revient, il faut lui réactiver ses comptes.
Les provisionnements IT :
- changement de droits : temporairement ou définitivement les droits peuvent évoluer sur une application
- nouveau besoin : un utilisateur a besoin d’une nouvelle application, il faut lui créer un compte et lui attribuer des droits,
- évolution : un utilisateur change de poste, il reçoit de nouveaux accès et ses droits changent
- changement de nomenclature : l’entreprise vient de changer de nom ou a fait un rachat et veut unifier ses mails par exemple, il faut revoir la nomenclature des paramétrages de mails.
En conclusion
Le provisionnement informatique joue un rôle essentiel dans la gestion des comptes applicatifs et le cycle de vie des utilisateurs. Il permet la création, la modification, la suspension et la suppression de comptes, en garantissant un accès approprié aux ressources informatiques.
L'automatisation du provisionnement présente de nombreux avantages, tels que la réduction des erreurs, la rapidité d'exécution et la conformité aux politiques de sécurité. En intégrant des solutions d'IAM et en adoptant des processus automatisés, les entreprises peuvent simplifier la gestion des provisionnements, améliorer l'efficacité opérationnelle et renforcer la sécurité de leur environnement informatique.
L'automatisation du provisionnement est donc une approche à privilégier pour assurer une gestion fluide et à jour des comptes applicatifs, tout en optimisant les ressources et en préservant la conformité réglementaire.