Il y a quelques mois de cela, j'ai animé un atelier de travail aux Pays-Bas sur la gestion des identités et des accès. La première partie de l'atelier était centrée sur une étude de cas sur 'l'identity management" pour une organisation appartenant au secteur de la santé, présentée par un de nos clients.

La deuxième partie de l'atelier consistait en une session interactive dans laquelle je répondais à différentes questions concernant la gestion d'identités. Dans cet article j'aimerais revenir sur un des sujets traités car il y a suscité un vif intérêt de la part de l'auditoire.

La question qui revenait souvent était : "Quelles sont les conditions à remplir avant d'implémenter un dispositif d'auto-provisioning à partir d'un SIRH ?", comme par exemple SAP HR, Peoplesoft, Sage, HR Access, Sigma-RH ou Cegid, etc..

Qu'est-ce qu'un connecteur d'auto-provisioning avec un SIRH ?

Il s'agit d'un connecteur qui détecte automatiquement chaque changement effectué au niveau du système RH, puis qui répercute ensuite ces modifications sur l'ensemble du réseau informatique de l'entreprise. Par exemple, lorqu'un nouveau collaborateur intègre l'entreprise, le service RH l'enregistre dans le système RH (ex : Peoplesoft). Le système RH contient les coordonnées de l'employé, mais également sa date d'embauche, son type de contrat de travail, son service d'affectation, son salaire, etc. Lorsque la connexion avec le Système RH détecte le changement, le compte utilisateur est créé automatiquement dans le réseau informatique. Ainsi, le nouveau collaborateur peut se connecter au réseau, envoyer des emails et accéder aux répertoires et applications de son service dès le premier jour de son arrivée dans l'entreprise. Le même type de modification peut être effectué pour un changement de service, de poste ou de lieu de travail.

Enfin, un compte utilisateur peut également être désactivé (ou mis hors service), c'est ce qu'on appelle 'dé-provisioning'.

Les exigences du système RH

Quelles sont les impératifs pour pouvoir intégrer avec succès un outil de provisioning avec un système RH ? - Il est plus qu'évident que le dispositif d'auto-provisioning présente un grand nombre d'avantages pour le service informatique : l'ensemble du processus de gestion des comptes utilisateurs peut être effectué à partir d'une source sûre, la base de données RH. Cette dernière contient en effet des informations essentielles et critiques, notamment le salaire, de sorte qu'elle doit être gérée de façon extrêmememnt rigoureuse par le service RH, d'où la nécessité de disposer pour cela d'outils de gestion performants et fiables.

Compte tenu des retombées positives et immédiates pour le service informatique, notamment en termes de sécurité (les comptes des utilisateurs quittant l'entreprise sont automatiquement désactivés), on oublie souvent de mettre l'accent sur les aspects suivants :

L'étape de création du compte

Un compte utilisateur doit pouvoir être créé et mis en service dès le premier jour de travail du collaborateur, sachant qu'il s'agit généralement du premier jour du mois, force est de constater que le système RH enregistre les nouveaux collaborateurs bien plus tard, le 15 du mois en général, juste avant la procédure d'édition des salaires. Dans ce cas bien précis, il est important que les procédures et modes de travail en vigueur au sein du service RH soient mis en conformité avant qu'un lien automatique de provisioning ne soit mis en place.

Il va sans dire que cela peut poser toutes sortes de problèmes, voire susciter un certain nombre de réticences de la part de la Direction des ressources humaines.

Exhaustivité

Tous les comptes utilisateurs présents dans le réseau doivent être associés à un contrat de tavail dans le SIRH. Or dans les faits, cela n'est souvent pas systématique, surtout s'il s'agit de collaborateurs extérieurs (freelance, agences d'intérim, etc. Ce type de collaborateur n'est souvent pas géré dans le SIRH, car il n'y a pas d'obligation légale de le faire pour l'entreprise, d'autant plus que le salaire associé à ce collaborateur occasionnel n'est ni acquitté ni géré de la même manière que pour un collaborateur interne.

Fait d'autant plus intéressant que ce type de collaborateurs fait très souvent l'objet de mouvements de personnel/mutations/changements enregistrés au sein du réseau de l'entreprise.

On ne peut que déplorer que ce type de collaborateurs ne soit pas enregistré dans le SIRH, car l'entreprise ne réalise pas les risques qu'elle encourt tant sur les plans matériel que immatériel en n'enregistrant pas ces ressources qu'elle considère comme 'temporaires'.

Pour ces collaborateurs temporaires, une autre alternative doit alors être envisagée. On conseille souvent de créer un formulaire électronique ou un portail web permettant aux chefs de service ou à leurs assistants de gérer eux-mêmes les comptes de ces collaborateurs spécifques.

Au--delà de la problématique des collaborateurs temporaires, l'exhaustivité spécifique du système SIRH se joue aussi par rapport au/à :

1) champ numéro de sécurité sociale. Ce champ est le plus pratique pour permettre l'identification unique entre le collaborateur dans le SIRH et le système de gestion de comptes utilisateurs dans le réseau (par exemple Active Directory, E-Directory, LDAP, etc.). Si le numéro de sécurité social n'est pas disponible pour tous les collaborateurs dans le système RH, l'identification devient  dès lors plus difficile.

2) la relation collaborateur / service / chef de service est importante aussi. Souvent la relation entre le collaborateur et  le service est présente mais la relation entre le 'service' et le 'chef de ce service' n'est pas toujours gérée dans le SIRH.

Par le biais de la relation collaborateur / service / chef de service, il est possible d'automatiser un grand nombre de tâches/activités dans le cadre de la gestion de comptes utilisateurs, par exemple :

Notification d'un nouveau collaborateur à son chef, notification et traitement du départ d'un collaborateur (désactivation du compte en plusieurs étapes dans le temps), informer le manager sur les droits/applications des personnes travaillent dans son service, etc.

Pertinence

En général, les collaborateurs se font moins de soucis pour une erreur sur leur nom sur leur fiche de paie, que sur une erreur touchant à leur nom dans l'intitulé d'un email. Un nom incorrect (par exemple nom de jeune fille au lieu de nom d'époux) dans une liste de diffusion de emails, génère médiatement une demande de changement par l'employée. La pertinence des données dans la base RH devient donc primordial.


Volonté
Mettre en œuvre d'un lien/connexion avec le SIRH ne requiert plus de saisies répétitives dans le système. Souvent le service RH ne se rend pas tout de suite compte de ce changement et une minorité des appels au helpdesk se retrouve dès lors transférée au service RH. La raison d'une adresse email erronée ne relève dès lors plus d'une mauvaise saisie de la part du service informatique, mais d'une erreur de frappe du service RH. Grace au lien automatique, le collaborateur doit alors contacter le Service RH au lieu du support informatique s'il veut que le changement soit effectué. Le système RH étant désormais 'la source' principale des informations saisies dans le système.

Peut être faut-il prendre en compte ces différents points dans le processus de mise en œuvre d'un tel lien. Mais attention, il s'agit-là uniquement d'une liste non exhaustive et il peut y avoir beaucoup de situations spécifiques nécessitant une prise en charge différente.

N'hésitez pas à revenir vers moi si vous désirez en savoir plus sur ce sujet. Je suis joignable par téléphone chez Tools4ever au 01 810 89 47 37 ou par email à p.baas@tools4ever.com