Conseils pour votre réorganisation grâce à l’IAM
Les réorganisations existent sous de nombreuses formes. Parfois, elles se limitent à quelques ajustements au sein d’un seul service, mais le plus souvent, les changements sont plus profonds. Des services entiers sont supprimés ou fusionnés, la structure des fonctions est repensée ou les processus métier sont entièrement revus. Quels que soient l’objectif et l’ampleur d’une réorganisation, sa réussite dépend entièrement de la préparation. Il faut embarquer les collaborateurs dans les projets, un plan social peut être nécessaire en cas de changements importants, et un plan de mise en œuvre doit être élaboré. Et c’est précisément lors de cette mise en œuvre que votre service informatique joue un rôle clé et que la plateforme IAM peut constituer un outil précieux.
Qu’est-ce qu’une réorganisation du point de vue de l’IAM ?
C’est seulement lors de la mise en œuvre que l’on sait si un plan de réorganisation fonctionne réellement. C’est le moment où les collaborateurs commencent effectivement dans une nouvelle fonction, reçoivent d’autres tâches et changent éventuellement de service. Et là où les consultants en organisation travaillent sur les interactions complexes entre les personnes, les responsabilités, les processus et les services, votre équipe IT est confrontée à un défi comparable au sein du paysage informatique.
Jusqu’alors, l’équipe IT attribuait les licences, comptes et droits en fonction de l’organisation existante. Désormais, vous devez fournir aux utilisateurs, à partir d’une date convenue, d’autres droits d’accès, adaptés à leur nouvelle fonction, leur nouveau service ou leur nouveau site. Les collaborateurs attendent une transition transparente, et la plus grande crainte est une réorganisation qui se bloque sous un flot massif d’appels et de messages vers le service desk, parce que « plus rien ne fonctionne ».
Le défi est encore plus complexe, car une réorganisation ne peut généralement pas être planifiée comme un « big bang ». En pratique, les équipes et les services passeront progressivement à la nouvelle organisation, ce qui signifie que la conversion des comptes et des droits applicatifs doit suivre les mêmes calendriers. Vous souhaitez aussi parfois prévoir une période de transition, durant laquelle des collaborateurs qui ont déjà accès à de nouvelles applications et à de nouvelles données conservent temporairement l’accès à leurs anciens systèmes. Cela permet aux personnes de reprendre progressivement les activités de leurs collègues et de continuer à se soutenir mutuellement. Mais pas trop longtemps non plus, afin de limiter les risques liés à la sécurité.
Il est bien entendu impossible d’effectuer manuellement toutes ces modifications. Mais heureusement, une solution IAM comme HelloID peut grandement vous y aider.
Comment l’IAM vous aide-t-il pendant une réorganisation ?
HelloID automatise la gestion des comptes et des droits à l’aide du Role Based Access Control (RBAC)[1]. Cela signifie que vous ne déterminez pas séparément, pour chaque utilisateur individuel, quels comptes et droits sont nécessaires. À la place, vous automatisez cela à l’aide de ce que l’on appelle des « attributs utilisateur », qui sont gérés dans l’application RH ou dans un autre système source. Exemples de tels attributs : la fonction d’une personne, son service, son site ou les compétence spécifiques. Nous utilisons ensuite des business rules (règles métier) pour déduire, à partir de ces attributs, les comptes et droits qu’une personne doit recevoir.
Par Exemple :
Les utilisateurs ayant la fonction de « Responsable des ventes » reçoivent un compte sur le système CRM, avec le droit de créer et de modifier des dossiers clients.
Avec un ensemble limité de telles règles, vous pouvez donc automatiser en grande partie la gestion des droits. L’ensemble des business rules de l’organisation constitue ce que nous appelons le modèle de rôles.
Ce modèle de rôles est également très utile lorsque vous engagez une réorganisation. Nous n’avons alors pas besoin de déterminer, pour chaque utilisateur individuel, quels comptes et droits doivent être modifiés. Au contraire, nous pouvons effectuer automatiquement la plupart des changements en adaptant, supprimant ou créant de nouvelles business rules. Nous pouvons ainsi maintenir facilement à jour l’attribution des droits pendant la réorganisation.
Comment utiliser les business rules dans vos plans de réorganisation ?
Comment cela fonctionne-t-il en pratique ?
Voici quelques exemples :
1. Changement de fonction, de service ou de site
Lorsque des collaborateurs évoluent, dans le cadre d’une réorganisation, vers une autre fonction, un autre service ou un autre site déjà existant, cela est traité automatiquement dans HelloID. Dans le système RH, le service d’une personne est par exemple modifié, après quoi HelloID adapte automatiquement les comptes et les droits sur la base de la ou des business rules correspondantes. Ce processus de mobilité interne fonctionne toujours de cette manière, qu’une personne obtienne individuellement un autre rôle ou que cela se produise dans le cadre d’une réorganisation. La différence est qu’en cas de réorganisation, il s’agit généralement d’un volume de changements plus important. HelloID détecte ce type de modifications en masse et demande alors à l’administrateur une confirmation supplémentaire afin d’éviter d’éventuelles erreurs.
2. Départ de l’organisation
À la suite de réorganisations, il peut aussi arriver que des collègues quittent l’organisation. Il s’agit bien sûr avant tout d’une situation humaine qui doit être accompagnée correctement par le management et l’équipe RH. Cependant, HelloID peut ensuite simplifier le traitement administratif. Avec un processus de sortie correctement configuré, vous veillez à ce que les comptes soient automatiquement bloqués à temps afin d’éviter les fuites de données. Si nécessaire, certains droits spécifiques peuvent toutefois rester temporairement actifs, afin que les anciens collègues puissent encore accéder, par exemple, à leurs fiches de paie et relevés annuels pendant cette période.
3. Tâches et responsabilités adaptées
Souvent, dans le cadre de réorganisations, des fonctions existantes sont redéfinies ou des services se voient attribuer d’autres tâches. Dans le système RH, rien ne change réellement, car administrativement, une personne conserve la même fonction, le même service, etc. En revanche, les activités changent et vous avez parfois besoin d’autres moyens informatiques. Pour cela, la business rule concernée doit être adaptée avec d’autres permissions. Ce type de modifications peut être configuré facilement dans HelloID. Vous pouvez aussi envisager, si besoin, une période transitoire pendant laquelle les utilisateurs reçoivent à la fois les anciens et les nouveaux droits, afin de rendre la transition aussi simple que possible.
4. Nouvelles fonctions, nouveaux services ou nouveaux sites
Dans le cadre de la réorganisation, la structure des fonctions peut être enrichie de nouvelles fonctions. De nouveaux services peuvent également être créés et des sites supplémentaires ouverts. Les collaborateurs peuvent alors être rattachés, dans le système RH, à cette nouvelle fonction, à ce nouveau service et/ou à ce nouveau site. Si des licences et des droits spécifiques y sont associés, vous pouvez créer à cet effet des business rules supplémentaires dans HelloID.
Combinaisons de changements
Il s’agissait de quelques exemples simples. En réalité, toutes sortes de combinaisons sont possibles. Des personnes ayant des fonctions identiques peuvent par exemple avoir besoin de droits légèrement différents selon le service spécifique dans lequel elles travaillent. Nous pouvons résoudre cela avec des business rules qui n’utilisent plus uniquement cette fonction comme condition, mais également le service de la personne. Ou bien une business rule distincte est nécessaire par site, car nous gérons aussi depuis HelloID les paramètres des badges d’accès. En résumé, le modèle de rôles HelloID nous permet d’accompagner au mieux la transition de l’ancienne organisation vers la nouvelle.
Ajustements ad hoc avec Service Automation
Après cela commence une période de suivi. En pratique, il arrivera régulièrement, après une réorganisation, que certains éléments manquent encore alors qu’une personne en a besoin dans la nouvelle situation. De toute façon, avec les business rules, vous ne pouvez généralement automatiser qu’environ 80 % de l’ensemble des droits. Les 20 % restants sont le plus souvent attribués individuellement. Ainsi, les collaborateurs ont régulièrement des tâches annexes, par exemple un rôle de secouriste en entreprise, qui ne peuvent pas être déduites des données RH. Et pour le personnel support, les besoins IT dépendent souvent moins de leur fonction ou de leur service que des projets spécifiques sur lesquels ils travaillent.
Avec la fonctionnalité HelloID Service Automation vous pouvez gérer ce type d’ajustements individuels et ad hoc. Grâce à ce module, vous pouvez créer des formulaires en ligne permettant, par exemple, aux collaborateurs du Service Desk de traiter facilement les demandes utilisateurs les plus courantes. Les collaborateurs peuvent aussi demander eux-mêmes certains services via un portail en libre-service, après quoi l’évaluation et le traitement ont lieu automatiquement. Vous vous assurez ainsi qu’après la réorganisation, les collaborateurs puissent rapidement disposer des éléments manquants.
Affiner la réorganisation avec des outils de gouvernance
Après un certain temps de fonctionnement dans la nouvelle organisation, il est probable que nous ayons résolu au fil de l’eau de nombreux paramètres manquants ou incorrects via le Service Desk ou le portail en libre-service. Il est alors temps de réévaluer la situation existante. Le modèle de rôles est-il encore à jour ? Faut-il adapter ou ajouter des business rules ? Une certaine dérive a aussi pu apparaître progressivement, car dans l’urgence de la réorganisation, des droits ont été attribués manuellement alors qu’ils ne sont pas structurellement nécessaires.
Pour évaluer la situation actuelle des droits, HelloID dispose désormais, en plus des fonctions de journalisation et de reporting, de fonctionnalités étendues de gouvernance. Avec Role Mining, vous pouvez identifier des corrélations logiques entre les utilisateurs, leur rôle et les droits attribués. Cela permet d’affiner et d’optimiser davantage le modèle de rôles. La solution Toxic Policies empêche l’attribution de droits d’accès conflictuels. Et avec la "Reconciliation", nous disposons d’un outil pratique pour détecter et corriger facilement toute dérive des droits dans les systèmes. Il existe également une fonction de "Recertification" permettant de faire réévaluer périodiquement les droits attribués individuellement. Nous évitons ainsi que des droits ad hoc restent actifs inutilement trop longtemps dans votre environnement IT.
Sujets de réorganisation par secteur
Une plateforme IAM comme HelloID constitue donc un outil d’aide lors des réorganisations. Grâce au provisioning automatisé, nous faisons en sorte que l’organisation adaptée, la répartition des rôles et les activités puissent être converties relativement facilement en nouveaux comptes et droits d’accès. Service Automation aide ensuite à « affiner » individuellement la gestion des droits, et les fonctions de gouvernance nous permettent de continuer à l’améliorer et à l’optimiser progressivement.
Il existe bien entendu des défis spécifiques selon les secteurs. Dans un établissement de santé, les priorités sont naturellement différentes de celles d’un distributeur, par exemple. C’est pourquoi nous avons rassemblé quelques exemples de points d’attention par secteur.
Établissements de santé
Dans les établissements de santé, l’Identity and Access Management (IAM) doit accorder une attention particulière à la sécurité d’accès granulaire aux données des patients dans les systèmes de santé (DPI). Le principe de base est le concept dit du « moindre privilège », selon lequel chacun n’a accès qu’aux données médicales à caractère personnel nécessaires à ses propres activités. La situation est rendue encore plus complexe par le recours fréquent à du personnel externe à forte mobilité, le fait que les personnes disposent souvent de plusieurs contrats et l’existence de plannings changeants. L’intégration de systèmes de planification, par exemple, demande donc une attention supplémentaire. La journalisation et l’audit des accès à ces systèmes médicaux sont également cruciaux.
Établissements d’enseignement
Les établissements d’enseignement combinent souvent plusieurs types d’enseignement, cursus ou facultés. Cela implique différents groupes de collaborateurs, d’étudiants, d’élèves et de processus pédagogiques, pour lesquels des systèmes spécifiques et des « identity lifecycles » sont gérés. Dans le même temps, il faut disposer de la flexibilité nécessaire pour fournir rapidement les bonnes données aux enseignants temporaires et aux remplaçants, et comme les étudiants et surtout les élèves mineurs constituent un groupe vulnérable, leur vie privée doit faire l’objet d’une protection renforcée. Comme, dans l’enseignement, de nombreuses modifications doivent être mises en œuvre en même temps chaque année, voire chaque semestre, cela constitue un point d’attention supplémentaire.
Organisations publiques
Dans les organisations publiques, il est crucial que la conformité, l’intégrité et la séparation des fonctions restent garanties, même après des réorganisations. La gestion des droits au sein des systèmes de gestion des dossiers requiert tout particulièrement une grande attention, afin que les collaborateurs ne conservent l’accès qu’aux dossiers dont ils sont eux-mêmes responsables. C’est d’autant plus important que ces systèmes collectent et traitent souvent des données à caractère personnel sensibles concernant les citoyens. Pour pouvoir agir avec intégrité, une séparation claire des fonctions est essentielle et l’organisation doit jouer un rôle d’exemple en matière de protection de la vie privée et de normes de sécurité de l’information.
Retail
Le retail est par nature orienté vers la rapidité et la dynamique dans un marché aux marges souvent relativement faibles. La gestion du personnel est également dynamique, avec de nombreux collaborateurs temporaires et à temps partiel, votre IAM doit donc être configuré de manière à permettre des modifications rapides et simples. De nombreux collaborateurs doivent avoir accès aux systèmes de caisse, à la gestion des stocks et aux applications logistiques, et il est donc important de prévenir les erreurs et les abus. Comme l’intégration dans la chaîne de valeur devient de plus en plus courante, l’accès des partenaires et des fournisseurs aux applications et aux données doit être correctement géré et surveillé. La gestion sécurisée des données à caractère personnel des consommateurs demande également une attention particulière.
Organisations à but non lucratif
Dans les organisations à but non lucratif, il est très important que les données à caractère personnel et les données financières contenues notamment dans les systèmes CRM et de gestion des donateurs soient particulièrement bien protégées. Une attention importante doit également être portée au provisioning et à la gestion des différents types d’utilisateurs. Outre les collaborateurs réguliers, de nombreux bénévoles et parties externes sont généralement impliqués, et de nombreux comptes temporaires liés à des projets sont souvent en usage. L’externalisation des processus IAM vers le cloud est ici particulièrement importante afin de limiter les coûts IT.
En savoir plus sur HelloID ?
Dans ce blog, nous avons donné quelques exemples de la manière dont vous pouvez utiliser HelloID pour transférer, dans le cadre d’une réorganisation, les comptes et droits d’accès existants vers la nouvelle situation. Il existe toutefois encore de nombreux autres scénarios. Vous pouvez par exemple connecter relativement facilement de nouvelles applications via l’un des connecteurs. Différents scénarios de fusion sont également possibles, dans lesquels vous pouvez par exemple combiner les données RH de deux organisations. Et si, jusqu’à présent, vous gériez les droits manuellement, alors une réorganisation est peut-être le moment idéal pour introduire une solution IAM.
Vous souhaitez découvrir ce que HelloID peut apporter à votre organisation ? Visitez la page HelloID ou demandez directement une démo
Écrit par :
Arnout van der Vorst
IAM Architect
Arnout van der Vorst est architecte en gestion d'identité chez Tools4ever et travaille dans l'entreprise depuis plus de 20ans. En tant qu'architecte, Arnout se concentre sur la conception et le développement de nouvelles fonctionnalités, solutions et services de la société. Arnout a étudié les sciences informatiques supérieures à la Hogeschool d'Utrecht.