La première question à se poser lors de la création d’un compte utilisateur est de savoir à qui revient l’initiative de l’action.
Il faut être clair, celle-ci est de toute évidence indispensable mais si elle implique trop d’allers/retours ou que des comptes inutiles sont créés, cela devient un enjeu majeur en termes de coûts et de sécurité.
Au commencement était le…
Le manager et les ressources humaines peuvent indistinctement être à l’origine de la demande. On observe que la tâche est souvent dévolue in fine aux RH mais je pense que c’est plus par stratégie politique ou par peur d’un excès de zèle du manager que pour des raisons objectives.
Examinons donc les cas de figure possibles. Le salarié CDI, CDD, stagiaire ou assimilé est recruté et connu par son manager. Certes les RH valident son embauche et possèdent les détails du contrat, de l’identité et de la date d’arrivée, mais normalement le manager détient aussi ces informations. Les externes et prestataires quant à eux ne passent pas par les RH, donc seul leur futur manager ou référent connaîtra ne serait que leur existence.
Dernière chose, si au final le nouvel arrivant ne prend pas son poste, c’est évidemment son manager qui en sera le premier informé, les RH le seront souvent bien après.
Alors manque de temps du manager, ou peur d’informations invalides opposés à des créations inutiles ou des oublis, en fait peu importe qui est l’initiateur du moment que les deux parties valident le processus avant que la DSI et/ou les moyens généraux ne soient mis dans la boucle.
Et à la fin…
C’est souvent la partie la plus pénible, il faut souvent un audit de sécurité ou pire, pour réaliser l’existence d’accès périmés mais valides.
Les managers ne se sentent pas forcément concernés, et les circuits de départ RH, quand ils sont respectés, sont évidemment focalisés sur les soldes et documents légaux, éventuellement les biens matériels à rendre…
Au final, la DSI n’est pas informée alors qu’elle devrait être partie prenante dans le circuit de départ, et sa validation requise pour finaliser le départ.
Pour éviter ce genre de situation il faut prendre 2 mesures :
- Dès la création des comptes, tous les comptes hormis les CDI ont une date de fin, il vaut mieux prolonger ou convertir un compte que risquer une faille.
- Obtenir des RH soit un accès à leur base de salariés actifs, soit une extraction de ceux-ci et de façon régulière, cette extraction permettra de confirmer tous les comptes et d’alerter sur toutes les situations anormales.
Le provisionnement
Excusez le terme barbare, le provisionnement (ou provisioning en anglais) est le terme consacré pour décrire ce processus de traitement dans le système d’information, que cela soit la création, la désactivation ou les changements, il est intimement lié à l’annuaire d’entreprise.
Les outils informatiques dédiés permettent son automatisation, et surtout ajoutent la rigueur et la traçabilité. Ils offrent une solution complète de l’émission de la demande jusqu’à un collaborateur enfin au travail…
Olivier Piochaud, PDG d’Apsynet
