« Les risques cyber liés aux process d’onboarding et d’offboarding sont considérables s’ils ne sont pas maîtrisés au sein des organisations ».

‍

Contexte chez Adista

Le groupe Adista est passé en quelques années de 400 collaborateurs à près de 1 000. Pour accompagner cette croissance, les Ressources Humaines se sont équipées d’un SIRH, pour gérer les salariés et assurer les entrées/sorties de collaborateurs. Philippe De Guis, DSI du groupe, recevait ainsi l’information des nouveaux arrivants ou nouveaux départs et les questions suivantes se posaient à chaque mouvement de collaborateur :

• Que faut-il préparer pour chaque collaborateur ? matériel informatique, accès logiciels, cartes/badges, véhicules de fonction, etc.. Énormément d’échanges par mail, Teams, tickets ... avaient lieu avec les RH, les managers, les moyens généraux pour savoir précisément ce que les uns et les autres devaient préparer.
• Qui à quoi ? à la sortie d’un collaborateur, comment être certain que tous les actifs physiques du collaborateur sont rendus et que tous les accès soient désactivés ?

Ce manque de visibilité sur les ressources attribuées générait au sein du département IT :

• Beaucoup de temps perdu par les équipes informatiques pour savoir “qui à quoi”, pour récupérer le matériel et le faire rentrer dans un cercle vertueux de recyclage le cas échéant.
• De l’argent jeté par les fenêtres - des accès/licences restaient actifs ou du matériel n’était pas rendu par des collaborateurs ayant quitté l’entreprise depuis plusieurs mois.

Philippe De Guis a donc cherché une solution pour répondre à ces 3 enjeux et permettre une parfaite coordination entre les services lors de l’arrivée/départ de chaque collaborateur (matériel, logiciels, badges,voitures,...).  

“J’ai donc décidé de développer notre propre solution interne car nous avions une équipe de développeurs à disposition, ça m’a pris plusieurs années mais nous y sommes parvenus.”

3 étapes pour structurer les entrées sorties de collaborateurs

1. Organiser la décentralisation des ressources en travaillant main dans la main avec les métiers: 

Avec le Saas, l'IT a perdu la visibilité sur l'ensemble des applicatifs utilisés car les métiers peuvent avancer dans leur coin choix sans impliquer l'IT.

Philippe De Guis précise: “l'explosion du mode SaaS fait que s'il fallait tout contrôler, je passerais ma vie à faire le gendarme et ce n'est pas du tout ce que j'ai envie de faire. Je préfère, au travers d’une politique IT appliquée par tous, déléguer aux directions métiers une part de la responsabilité d’usage des applications, tout en y associant une gouvernance en donnant la visibilité nécessaire“.

L'IT doit donc être perçu par les métiers comme un facilitateur plutôt qu'un frein à l'achat de solutions Saas, afin d'être systématiquement impliqué dans les choix. Dès lors, les métiers peuvent assurer l'administration fonctionnelle de leurs applications (création d'utilisateur, etc.), mais l'IT doit rester l'administrateur technique (sécurité des systèmes).

“Plus la DSI déporte la responsabilité du choix au métier avec un minimum de pré-requis, plus les métiers auront envie de l'embarquer. Alors que si le DSI pose 50 000 questions et impose des conditions trop contraignantes... on passe en mode: “pour vivre heureux vivons cachés" !

“Je suis de plus en plus informé en amont des choix et dispositifs, car je ne suis pas dans un mode ou je veux tout contrôler, tout comprendre, etc. En revanche je mets des pré-requis (sécurité) mais je ne remets pas en question les besoins fonctionnels des métiers.”

En bref : s'aligner & s’organiser en accompagnant les managers selon Philippe. C’est en ce sens qu'il a pensé son approche.

“Le métier est responsable du traitement de l’applicatif, la DSI vérifie auprès de l’éditeur les aspects sécurité, le respect des réglementations (RGPD) et les intégrations dans le système d’information.”

2. Construire un Catalogue de Ressources et les règles d’attribution selon les Profils Employés

Cette collaboration entre les RH, les métiers, l'IT, les moyens généraux, les achats permet de dresser une liste exhaustive des ressources à attribuer à l'arrivée d'un collaborateur, et d'assurer une traçabilité jusqu'au départ du salarié.

“En connaissant ce qui est installé, je peux vérifier qu’on n'a pas 10 outils pour faire la même chose: réduction des coûts et économies d’échelle.” 

Ce référentiel de Ressources permet :

• D’identifier précisément qui sont les administrateurs internes devant recevoir les demandes pour l’arrivée/départ de chaque employé.
• De définir les différents profils de salariés afin de lister pour chacun les ressources nécessaires.

“Faire la cartographie des ressources / profils, c'est “une tannée”. Ce sont des heures de discussion avec chaque département pour initier le process. Maintenant que c'est fait nous avons juste à faire de la maintenance au fil de l’eau. [...] Aujourd'hui, seule la DSI peut effectuer des modifications étant donné les automatismes qui en découlent."

3. Matrice d’habilitations et automatisme

Après avoir dressé le Catalogue de Ressources et répondu à la question “qui doit avoir accès à quoi”, il fallut construire la matrice d’habilitation afin de faire le lien entre le catalogue de ressources, les profils employés et les droits à attribuer dans une logique LMA (Lecture, Modification, Administration).

Le tableau ainsi constitué des habilitations théoriques permet ensuite de déclencher :

• Créations automatiques dans l’AD avec les bons groupes de sécurité, 
• Automatismes dans des solutions logicielles tierces via API,
• Envois d’email aux différentes personnes de l’organisation pour assurer les attribution/desattribution nécessaires pour chaque collaborateur.

Le Catalogue de Ressources pouvait ainsi être connecté au SIRH pour que l’ensemble des dotations puissent être réalisées tout au long du cycle de vie de l’employé avec des phases régulières de revue de droits pour l’ensemble des collaborateurs afin de comparer la théorie (matrice LMA) et la réalité dans les solutions tierces.

Conséquences et ROI

Philippe De Guis est ainsi passé de 3h à moins de 10min aujourd’hui pour l’attribution des ressources lors des arrivées et départs.

"Échanges d'emails croisés, des relances et des Tchat Teams : tout ça c’est terminé”

La solution que Philippe a développée en interne est très efficace mais elle a aussi pris beaucoup d’énergie, de temps de développement pour aboutir…   

“Une solution packagée aurait été idéale, mais je n’avais rien trouvé de satisfaisant qui se connecte avec notre SIRH. A l’époque, j’aurais aimé avoir un parapluie comme Pyla, pour me protéger des risques cyber liés aux entrées/sorties et mieux maîtriser nos investissements concernant les mouvements de collabs. »

Les questions à se poser pour savoir si c’est le bon moment de mettre une solution comme Pyla en place :

• Si demain des collaborateurs partent et des nouveaux arrivent, suis-je en capacité de les accueillir convenablement pour les intégrer efficacement et pour préparer la croissance de ma société ? 
• Même si j’ai peu de turnover, ai-je structuré et documenté ces process pour ne pas être dépendant de l’expertise acquise au fil du temps ?

Pour Philippe, “Pouvoir anticiper est également une priorité absolue”.

‍