User Provisioning : Manuel versus Automatisé
Chaque service informatique rencontre le problème de l’effet de porte tournante à un moment donné dans la gestion du cycle de vie des utilisateurs. Les comptes utilisateurs doivent être créés, modifiés et supprimés sans cesse. Il en va de même pour les autorisations associées pour une grande variété d’applications dans un environnement informatique hybride. Enfin, toutes ces actions doivent être réalisées court délais lorsque quelque chose change dans l’organisation.
Ce processus est connu sous le nom de provisionnement (ou provisioning) utilisateur, et il existe deux manières de le gérer : Manuellement ou via une solution de provisionnement automatisée.
In this article
Le mode Manuel
Le provisionnement manuel est souvent ponctuel et non structuré. Le service RH envoie une demande de nouveau compte employé au service informatique, généralement par ticket ou par e-mail. Un administrateur informatique attribue ensuite les autorisations requises manuellement.
Pour chaque utilisateur, le service IT doit donc créer des comptes et attribuer des autorisations sur chaque ressource informatique contrôlée en interne :
- Active-Directory et/ou Azure AD
- Comptes de Messagerie
- Dossiers réseau et partages de fichiers
- Appartenances aux groupes
- Affectation de Licences logicielles (Salesforce, Office 365, SAP, etc.)
Provisionnement des utilisateurs avec HelloID
Mais ce n’est que la première étape. Des mises à jour sont nécessaires lors de promotions, mobilités internes, collaboration transverse sur de nouveaux projets, licenciements, etc. Si un collaborateur quitte l’entreprise, le service informatique doit absolument révoquer ses autorisations dans les meilleurs délais. De plus, l’informatique peut être chargée d’audits cycliques au cours desquels les autorisations sont inventoriées et vérifiées au regard des exigences de conformité et des mécanismes de contrôle.
Pour les équipes informatiques déjà occupées par les incidents, le dépannage et la prise en charge du travail à distance – sans parler des innovations – cela signifie un travail de routine supplémentaire qui peut être évité (ou réduit).
Chacune de ces étapes est également une source potentielle d’erreur. Par exemple, le service RH ne parvient pas à communiquer une sortie à au service informatique. Ou le service informatique n’accorde pas toutes les autorisations nécessaires pour un nouvel employé en raison d’un manque d’informations. De telles défaillances ne sont pas rares sans un processus automatisé et frustrantes pour toutes les personnes impliquées, car les employés sans accès adéquat restent improductifs et les services RH et informatique travaillent en double.
Mais des effets encore plus dommageables résultent du dé-provisionnement ignoré. L’exemple le plus courant est l’accumulation progressive d’autorisations. Les anciennes autorisations ne sont pas retirées et s’accumulent sur les comptes des salariés. Pire encore : les anciens employés ont toujours accès aux resources informatiques des semaines, des mois ou plus après leur départ parce que le départ n’a pas été traité rapidement et complètement. Un énorme risque de conformité et de sécurité si cette accumulation n’est pas contrôlée.
Le mode Automatisé
Le provisionnement automatisé résout tous ces problèmes. Une solution spéciale de provisionnement automatisé (aujourd’hui généralement un logiciel SaaS en raison de sa viabilité future) surveille en permanence le système RH de l’entreprise. Il accorde, modifie et révoque automatiquement les autorisations en fonction des modifications apportées dans le système du personnel. Les interventions manuelles du service informatique sont évitées dans la mesure du possible.
Le processus fonctionne comme ceci :
- La solution d’approvisionnement est connectée à un système source qui contient des données des salariés. Il s’agit généralement du système RH principal de l’entreprise. Mais cela peut aussi être n’importe quoi d’autre, même un simple fichier CSV.
- La solution d’approvisionnement est liée à plusieurs systèmes cibles. Les systèmes cibles sont les systèmes dans lesquels les utilisateurs ont besoin d’autorisations. Par exemple : Active Directory, Salesforce, Office 365, Google G Suite, SAP etc.
- Dans l’étape suivante (qui est la plus importante), les règles métier sont configurées. Cette logique indique à la solution d’approvisionnement comment combiner et traiter les données des salariés importées. Elle détermine quelles autorisations sont accordées dans les systèmes cibles connectés.
- Une fois configurée, la solution de provisionnement surveille le système source et si besoin, met à jour automatiquement les acomptes et les droits dans les systèmes cibles.
La flexibilité est une priorité absolue. De nombreuses entreprises utilisent un grand plusieurs systèmes source et cible hérités et/ou propriétaires. Par conséquent, toute bonne solution de provisionnement prend en charge le développement de connecteurs personnalisés et le mappage complexes d’attributs.
Par rapport au provisionnement manuel, les solutions automatisées sont rapides, efficaces, sans erreur et peu coûteuses. Ils libèrent le personnel informatique des tâches routinières et lui permettent ainsi de travailler sur des projets à plus forte valeur ajoutée.
Le provisionnement automatisé augmente considérablement le niveau de sécurité. En minimisant l’interaction humaine, le taux d’erreur se rapproche de zéro car toutes les modifications sont effectuées automatiquement sur la base d’un système garantissant ainsi qu’aucune information n’est oubliée lors de sa transmission.
Élaboration de règles métier
La mise en place de règles métier, un modèle d’accès basé sur les rôles pour l’organisation, est l’étape la plus importante du provisionnement automatisé et mérite un examen plus approfondi. L’objectif ici est de développer une matrice qui « map » les rôles commerciaux aux autorisations. De cette manière, les autorisations peuvent être déterminées et attribuées de manière structurée.
La plus courante est la méthodologie de contrôle d’accès basé sur les rôles (RBAC). La première étape du RBAC consiste à identifier les rôles et les responsabilités de base de l’entreprise. Ceux-ci peuvent être basés sur :
- Le service et/ou le département
- La fonction
- Le métier
- L’emplacement géographique
- Le centre de coûts
- Etc.
Les règles métier au sein d’un hôpital peuvent inclure par exemple, infirmière, médecin, chirurgie, radiologie, comptabilité, service de sécurité, UF, etc.
Chaque rôle est alors lié aux autorisations requises. Par exemple, « Infirmière » et « Médecin » peuvent avoir besoin d’accéder aux dossiers des patients. Le « service de sécurité », cependant, ne devrait pas avoir cet accès. Ou « Radiologie » a besoin d’une puce d’accès pour les salles correspondantes, qui ne sont bien sûr pas accessibles à quelqu’un de la « Comptabilité ».
Enfin, ces rôles peuvent se superposer selon les besoins. Par exemple, une infirmière du service de chirurgie reçoit à la fois le rôle d’« infirmière » et le rôle de « chirurgie » et reçoit les deux autorisations..
Dans la plupart des organisations, 80% de la matrice RBAC peut être définie avec les 50 combinaisons de rôles les plus importantes. Il s’agit d’un effort de configuration unique qui porte ses fruits sur l’ensemble du cycle de vie de la solution d’approvisionnement. Les 20% restants des autorisations détaillées sont déterminés individuellement par les gestionnaires sur place.
De cette façon, la matrice RBAC est progressivement construite en forme de pyramide et finalement complètement remplie. À ce stade, la solution de provisionnement automatisé fonctionne de manière optimale.
Mettre la transition en ordre de marche
Comme tout projet informatique de cette taille, une solution de provisionnement automatisé est bien entendu une dépense supplémentaire pour le service informatique déjà surchargé. Néanmoins, l’effort se rentabilise très rapidement et peut être structuré en phases.
Avec une solution IDaaS prête à l’emploi pour le provisionnement des utilisateurs, vous n’avez besoin que de quelques heures avec un consultant qualifié qui relie le logiciel SaaS à vos systèmes source et cible, qu’ils soient sur site ou déjà dans le cloud. Le mappage des attributs et la définition des rôles peuvent être saisis par le service informatique et adaptés selon les besoins.
La mise en service peut avoir lieu en plusieurs phases après la configuration. Par exemple, pensez à une mise en service par département ou domaine en utilisant les règles métier qui ont été complétées à ce moment-là. Vous n’avez pas à craindre que vos employés ne puissent plus effectuer leur travail après la mise en service. Il est plus probable que le service informatique se sente immédiatement soulagé et puisse encore mieux prendre en charge les étapes suivantes.
Et même si vous ne vous occupez au départ que des 80 % de la matrice RBAC, le gain en coûts, en temps, en efficacité et en sécurité pour votre organisation est significatif. Ensuite, chaque partie de la gestion des utilisateurs et des autorisations peut théoriquement être automatisée avec des workflows en libre-service et une authentification unique. Ensemble, ces fonctions offrent à votre organisation une solution d’approvisionnement automatisée complète, tournée vers l’avenir pour votre gestion des identités dans un environnement informatique hybride.