Comment une solution de Service Automation peut aider votre organisation
Dans notre blog « Pourquoi vous avez besoin d’une solution de gestion des identités et des accès (IAM) », nous avons identifié trois catégories de défis : l’efficacité et la réduction des coûts, les exigences de conformité aux lois et réglementations, et la protection contre les violations de données. Dans notre blog précédent, nous avons expliqué comment la technologie de provisionnement de comptes d’utilisateurs (User Provisioning) est capable d’automatiser plus de 80 % des tâches de gestion des comptes utilisateurs et des autorisations. Mais comment gérer les exceptions à la règle ? Ou comment gérer les utilisateurs externes qui n’existent pas du tout dans un système source (SIRH) ? Dans ce blog, nous décrivons comment la technologie IAM Service Automation aide les organisations dans ces domaines et bien d’autres encore.
In this article
Service Automation
Le Service Automation, ou automatisation des services, vient compléter le module User Provisioning, qui, bien qu’efficace, ne peut couvrir la totalité de la gestion des utilisateurs et des autorisations. Des changements de rôle peuvent être enregistrés dans le système RH, mais la participation temporaire à un projet transverse, par exemple, ne l’est souvent pas. Ce type de situation nécessite un accès temporaire à un dossier de projet, une application ou une boîte mail partagée. Sans parler des événements ponctuels comme l’oubli d’un mot de passe. Sans une solution de Service Automation, ces ajustements seraient traités manuellement par des équipes du Helpdesk ou des gestionnaires fonctionnels, engendrant des coûts élevés et une perte de temps pour les collaborateurs en attente de résolution.
Le Service Automation propose une solution pour automatiser ces 20% restants de tâches de gestion qui ne peuvent être efficacement traitées par un système source. Elle fusionne l’humain et la technologie pour exécuter ces tâches de manière simple, contrôlée et uniforme, améliorant ainsi l’expérience utilisateur, la productivité et la précision, tout en réduisant les erreurs et les coûts superflus. Le self-service est un composant bien connu du Service Automation, mais la délégation à l’assistance technique (helpdesk) en fait également partie intégrante. Bien que le terme puisse sembler obscur, il représente souvent le premier pas vers l’adoption de cette technologie au sein d’une organisation.
Délégation au Helpdesk
Traditionnellement, les techniciens de helpdesk disposent de privilèges d’administration étendus sur des applications comme Active Directory, ce qui représente un risque de sécurité considérable. Vous souhaiteriez permettre à un technicien de réinitialiser le mot de passe d’un employé, mais cette autorisation lui donne également la capacité de modifier le mot de passe du directeur, de créer de nouveaux comptes ou même de supprimer l’ensemble des comptes de l’Active Directory. Nos clients attestent que ce scénario est loin d’être improbable. Il est également crucial d’enregistrer chaque modification pour pouvoir tracer ce qui a été modifié, pourquoi et par qui, un enregistrement que les systèmes ne conservent pas toujours de manière standard et qui pourrait être omis, volontairement ou non, par le technicien.
Le module de Délégation au Helpdesk permet de fournir des formulaires délégués aux techniciens (peu importe leur niveau de compétence) et aux utilisateurs clés, comme des collègues qui reçoivent les droits nécessaires pour gérer le service de support. Ces formulaires peuvent couvrir des tâches de gestion IT telles que la création de comptes utilisateurs, l’attribution ou la révocation de droits d’accès, ou la réinitialisation de mots de passe. Ainsi, les collaborateurs peuvent effectuer des tâches de support technique spécifiques sans nécessiter de droits d’administrateurs dans les systèmes sous-jacents. Les formulaires différencient également les droits selon le profil de l’utilisateur, empêchant par exemple un « Junior IT » de réinitialiser les mots de passe de la direction. En plus de l’intuitivité de son interface graphique et des capacités étendues de gestion des droits, le module de Délégation au Helpdesk assure une uniformité dans l’exécution des modifications et garantit la disponibilité d’un audit trail, facilitant la conformité et la traçabilité.
Self-service
Le self-service, phénomène bien établi et en croissance, est devenu incontournable dans notre vie quotidienne, que ce soit pour gérer nos comptes bancaires, soumettre des ordonnances médicales en ligne, ou scanner et payer nos courses au supermarché. Si cette technologie est pleinement adoptée en tant que consommateur, elle reste souvent hors de portée pour les employés dans leur environnement professionnel. Bien qu’il soit possible de demander des congés en ligne, obtenir une augmentation temporaire de droits d’accès est une tout autre demande dans de nombreuses organisations. Là où souscrire à une assurance voyage prend quelques minutes, accéder à un dossier réseau nécessaire au travail peut s’avérer compliqué et long.
Les collaborateurs savent généralement ce dont ils ont besoin pour être efficaces, souvent mieux que leurs managers et certainement mieux que le département IT. Les managers peuvent jouer un rôle dans l’évaluation des demandes, mais la décision finale repose souvent sur les gestionnaires fonctionnels et les responsables des licences. Le département IT, quant à lui, sait comment effectuer les changements. La majorité des demandes reçues par le helpdesk sont répétitives : réinitialisations de mot de passe, déblocage de comptes, modifications de droits. Ce sont des tâches peu stimulantes pour un technicien IT mais qui consomment une quantité significative de ressources précieuses. La Délégation au Helpdesk allège la charge de l’équipe d’assistance, tandis que le self-service offre à chaque utilisateur une interface simple pour gérer de manière autonome les besoins IT pour eux-mêmes, leur équipe ou leurs ressources.
Gestion fonctionnelle du self-service
Le self-service vise à déléguer des tâches traditionnellement gérées par le département IT à d’autres niveaux de l’organisation. Suite au helpdesk, l’étape logique suivante est de fournir un accès IT aux propriétaires de ressources. Ces derniers, souvent des administrateurs fonctionnels ou des gestionnaires de licences, sont responsables de systèmes, d’applications ou de dossiers spécifiques. Le self-service leur offre une vue claire sur les utilisateurs ayant accès à leurs ressources et une manière simple d’accorder ou de retirer des accès. Ils peuvent ainsi facilement surveiller l’utilisation des licences et s’assurer qu’elles ne sont pas surutilisées, tout en ayant une idée précise des licences disponibles.
Self-service pour les managers
La délégation aux managers constitue l’étape suivante. Sur le plan technique, c’est une progression simple car les formulaires et les actions sont déjà définis pour le personnel du helpdesk et les propriétaires de ressources. Pour l’organisation, c’est cependant un grand pas en avant car un plus grand nombre de collaborateurs interagiront directement avec la solution de self-service. Une fois cette couche implémentée, les managers ont un aperçu direct des droits d’accès de leurs collaborateurs et donc des licences utilisées. Cela augmente la conscience des managers quant à l’empreinte IT de leur département et contribue à réduire les coûts inutiles. De plus, le manager peut lui-même ajouter ou retirer des droits pour un utilisateur, évitant ainsi un processus fastidieux de gestions des tickets et d’opérations manuelles à effectuer.
Self-service pour les collaborateurs
Le niveau ultime de self-service est la délégation aux utilisateurs finaux. À travers un catalogue de self-service, les collaborateurs peuvent facilement demander des droits supplémentaires pour des applications, des dossiers ou des boîtes mail. Un processus d’approbation, où par exemple un manager évalue la demande avant son exécution, empêche les utilisateurs d’obtenir des ressources non nécessaires pour leur travail. Cette vérification est beaucoup plus simple pour un manager ou un gestionnaire de licences que pour un membre du personnel IT. Une fois approuvée, la solution de Service Automation applique les modifications de manière automatisée.
Le self-service est particulièrement adapté pour gérer les demandes d’accès aux systèmes, applications et dossiers. Mais la fonctionnalité de GIA offre également la possibilité de personnaliser des actions complexes et spécifiques à l’organisation pour automatiser des processus. Des exemples incluent la création et l’extension de comptes invités, la nécessité pour les utilisateurs d’accepter des conditions de confidentialité avant l’activation de leur compte, et même la gestion complète des demandes de ressources incluant la signature numérique des contrats. Comme pour les connecteurs Provisioning, la seule limitation est la présence d’une interface avec le système où vous souhaitez apporter des modifications, et bien sûr, votre créativité.
Workflows
En matière de self-service, nous passons d’un modèle de Role Based Access Control (RBAC) à un modèle de Claim Based Access Control (CBAC). Cela ne signifie pas pour autant que chaque utilisateur peut réclamer tous les droits à volonté. Certaines applications comme Microsoft Visio ou Adobe Photoshop sont attribuées de manière sélective en raison de leur coût élevé et de leur nature spécialisée. L’accès à un dossier réseau du département RH concerne principalement la confidentialité et les risques de sécurité. Différentes demandes nécessitent différentes évaluations/validations par différentes personnes. Une solution de Service Automation doit pouvoir gérer tous ces différents processus de demande et d’approbation.
Processus manuel de demande et d’approbation
Sans solution de Service Automation, les demandes d’accès sont souvent faites par téléphone, e-mail ou ticket. Le helpdesk doit ensuite obtenir l’approbation par divers moyens. Une fois la demande évaluée, la modification est appliquée manuellement dans les systèmes et applications concernés, et les actions entreprises doivent être enregistrées.
Demande et approbation via le Service Automation
Comme vous pouvez le constater, de nombreuses étapes et un travail manuel interviennent entre la demande et l’octroi effectif de l’accès aux ressources souhaitées. Avec le Service Automation, ce processus est beaucoup plus rapide et efficace, et ces processus sont définis dans ce que l’on appelle des workflows. Dans un workflow, vous déterminez si une demande peut être automatiquement approuvée ou si elle doit d’abord être évaluée/approuvée et par qui. Par exemple, vous pourriez décider d’approuver automatiquement l’accès à Microsoft Visio, mais exiger que le manager et le responsable du département donnent leur approbation pour accéder à un dossier contenant des données RH. Lorsqu’un collaborateur fait une demande d’accès à une ressource, les approbateurs reçoivent une notification avec des boutons d’approbation et de refus. Si la demande est approuvée par toutes les parties prenantes, la solution traite automatiquement cette demande.
Révocation automatique des droits
Et cela ne s’arrête pas là ! Que se passe-t-il si la personne n’a plus besoin des droits ? Si cela faisait vraiment partie de son rôle, elle l’aurait obtenu via le modèle de rôles dans le processus de provisioning. Les droits d’accès optionnels ont souvent un caractère temporaire. Mais alors que Visio peut coûter cher à l’organisation, l’utilisateur n’a pas grand-chose à perdre. En fait, il pourrait trouver pratique de le conserver pour une utilisation future.
Il est peu probable que les collaborateurs restituent d’eux-mêmes leurs droits. Les demandes peuvent être faciles, mais les retours, beaucoup moins. Ce comportement naturel va à l’encontre du principe du « moindre privilège » en sécurité informatique, où l’utilisateur ne dispose que du niveau minimal d’accès ou de permissions nécessaire pour ses fonctions. Un élément crucial d’une solution de Service Automation est donc la capacité à imposer la temporalité des accès. Un workflow comprend souvent une durée maximale. Les collaborateurs peuvent alors choisir la durée pendant laquelle ils souhaitent disposer du produit en self-service. Cela garantit une situation toujours contrôlée et la révocation automatique des droits optionnels à terme. L’accumulation de droits, identifiée comme un défi, appartient ainsi au passé.
Auditabilité et conformité
Les organisations doivent prouver que leurs processus sont conformes à la législation et capables de tracer les actions des utilisateurs. L’enregistrement et le reporting sont donc essentiels dans la gestion des comptes d’utilisateurs, des autorisations et des accès. Sans solution de Service Automation, il est difficile de garantir la conformité pour les autorisations optionnelles accordées au cours d’un emploi. Avec une telle solution, tout devient beaucoup plus simple, que la demande soit faite par un correspondant du helpdesk ou directement par un utilisateur via le self-service. Toutes les demandes, approbations, actions effectuées, etc., sont automatiquement exécutées et centralisées dans les logs. Cela contraste fortement avec l’exécution manuelle dans des systèmes comme ADUC (console d’administration de l’Active Directory), où le suivi est souvent absent, ou la gestion manuelle dans différents systèmes et applications avec des logs dispersés, voire pire, lorsque l’enregistrement des logs est une action manuelle dans des applications ITSM comme EasyVista, GLPI ou ServiceNow. Après tout, les violations de données proviennent souvent (consciemment ou non) de l’intérieur, et qui a intérêt à ne pas enregistrer ses actions ?
Ceci n’est pas un plaidoyer contre les solutions ITSM comme EasyVista, GLPI, Zendesk ou ServiceNow. Bien au contraire. Ce qui était auparavant le point de départ des demandes d’accès ou d’autorisations devient désormais le point final. Le workflow est géré via le Service Automation, tout comme son exécution. Si une intervention manuelle est nécessaire, par exemple pour attribuer des droits dans une application sans interface de connexion ou pour gérer un token, cela déclenche simplement une demande de modification dans l’ITSM. Chaque workflow génère un ticket pour les rapports de gestion, permettant à des applications comme EasyVista de continuer à fournir des informations stratégiques sur le fonctionnement du helpdesk et de mettre en évidence les avantages en termes de productivité. Avant de commencer, nous recommandons de regarder les 10 tâches principales de votre application helpdesk pour identifier les opportunités d’automatisation via l’automatisation des services.
Conclusion
Une solution de Service Automation garantit le suivi rigoureux des processus de demande et d’approbation, enregistre toutes les activités et les participants impliqués, fournissant ainsi la preuve de la conformité aux normes de sécurité de l’information en vigueur. Mais elle offre aussi une interface utilisateur simple permettant aux collaborateurs de gérer eux-mêmes leurs besoins informatiques. Les managers, les gestionnaires d’applications et les autres propriétaires de ressources peuvent facilement approuver ou rejeter les demandes d’un simple clic. Ce faisant, le volume de tickets est considérablement réduit, libérant ainsi l’équipe informatique pour qu’elle se consacre à des défis plus complexes. La technologie de Service Automation sécurise le processus de demande et d’approbation tel qu’il est défini au sein de l’organisation, mais de manière plus efficace et plus sûre, vous êtes donc gagnants à tous les niveaux.
Dans notre prochain article, nous expliquerons comment une solution d’Access Management peut aider votre organisation. Vous souhaitez en savoir plus sur notre module HelloID Service Automation ?