Identity-Management.fr

J’ai animé un atelier de travail au Pays-Bas il y a quelques mois par rapport à la gestion des identités et des accès. La première partie de l’atelier était centrée sur une étude de cas d’identity management pour une organisation dans le secteur de la santé, présentée par un de nos clients...

La deuxième partie de l’atelier consistait en une session interactive dans laquelle je répondais à différentes questions par rapport à la gestion d’identités. Dans cet article j’aimerais revenir sur un des sujets traités car, il y’eu un grand intérêt de la part de l’auditorium pour ce thème.

La question redondante était ‘Quels sont les conditions à remplir avant d’implémenter un auto-provisioning à partir d’un SIRH ?’ comme par exemple SAP HR, Peoplesoft, Sage, HR Access, Sigma-RH, Cegid etc.

Qu’est-ce qu’un connecteur d'auto-provisioning avec un SIRH ?
Il s’agit d’un connecteur qui détecte chaque changement dans le système RH, et gère ensuite les impacts de ces modifications dans le réseau informatique. Par exemple : un nouveau collaborateur intègre l’organisation et le service RH le saisit dans le système RH (par exemple Peoplesoft). Le système RH contient les noms et l’adresse de l’employée, mais aussi la date d’embauche, le type de contrat, le service ou il va travailler, le salaire etc. Quand le lien avec le Système RH détecte le changement, le compte utilisateur est créé dans le réseau informatique. Ainsi, le nouveau collaborateur peut dès son premier jour de travail se connecter au réseau, envoyer des emails, et accéder aux répertoires et applications de son service. Le même type de modification peut être effectué par rapport au changement de service, de poste, ou de lieu de travail.

Enfin, un compte utilisateur peut aussi être désactivé (ou démonter) ce qu’on appelle ‘de-provisioning’.

Les exigences du système RH
Quels sont maintenant les exigences pour intégrer avec succès un outil de provisioning avec un système RH? Il est clair que l'auto-provisioning a beaucoup d’avantages pour le service informatique : tout le processus de gestion de compte utilisateur peut quasiment être effectué automatiquement sur la base d’une source de confiance. C’est cette dernière qui contient les informations essentielles comme le salaire et, est gérée avec beaucoup de précision par le service RH, qui doit être bien organisé au niveau administratif.

A cause de ces avantages immédiats pour le service informatique et par rapport à la sécurité (les comptes des utilisateurs qui partent sont automatiquement désactivés) on oublie souvent les conditions suivantes :

Le moment de création
Un compte utilisateur doit être créé et être disponible des le premier jour de travail du collaborateur. C’est souvent le premier jour du mois. Bien que pour un système RH, les nouveaux collaborateurs soient souvent saisis dans le système plus tard, par exemple au 15 du mois, juste avant la production des salaires. Si c’est le cas, il est important que les procédures/façon de travailler du service des Ressources Humaines soient adaptées avant qu’un lien automatique de provisioning soit mis en place.

Il va sans dire que cela peut poser toute sortes de problèmes voir réticences du service DRH…

Exhaustivité:
Pour tous les comptes utilisateurs dans le réseau, un contrat doit être présent dans le SIRH. Ceci n’est souvent pas le cas, surtout s’il s’agit de gens de l’extérieur (freelance, agences d’emploi etc. Ce type de collaborateur n’est souvent pas géré dans le SIRH car il n’y a pas d’obligation légale de le faire, et le salaire n’est pas payé et géré de la même manière que pour un collaborateur régulier.

Un détail intéressant est que ce groupe de personnes est souvent la cause de la plus grande parti des mutations/changements dans le réseau.

Il est rare qu’après avoir établi un lien avec le SIRH ce genre de personnes soit saisit dans le SIRH. L’investissement en temps et en effort pour enregistrer ces personnes comme des collaborateurs ne vaut souvent pas la peine pour des ‘temporaires’.

Pour des collaborateurs temporaires il faut alors une alternative. On conseille souvent de créer un formulaire électronique ou portail web qui permet au chef de service ou leurs assistants de gérer eux-mêmes les comptes de ces collaborateurs.

Hors du problème des collaborateurs temporaires l’exhaustivité au niveau du SIRH se joue aussi par rapport à :

1) champ numéro de sécurité sociale. Ce champ est le plus pratique pour l’identification unique entre le collaborateur dans le SIRH et le système de gestion de comptes utilisateurs dans le réseau (par exemple Active Directory, E Directory, LDAP etc.). Si le numéro de sécurité social n’est pas disponible pour tous les collaborateurs dans le système RH, l’identification devient plus difficile…

2) la relation collaborateur :: service :: chef de service, est importante aussi. Souvent la relation entre collaborateur et service est présente mais la relation entre ‘service’ et le chef de ce service n’est pas toujours gérée dans le SIRH.

Avec la relation collaborateur :: service :: chef de service il est possible d’automatiser beaucoup de tâches/activités par rapport à la gestion de comptes utilisateurs, par exemple :

Notification d’un nouveau collaborateur à son chef, notification et traitement du départ d’un collaborateur (désactivation de compte en plusieurs étapes dans le temps…) informer le manager sur les droits/applications des gens qui travaillent dans son service, etc.

Pertinence
En général les collaborateurs se font moins de soucis pour une erreur sur leur nom sur leur fiche de paie, que sur un nom incorrect dans le nom affiché dans un email. Un nom incorrect (par exemple nom de jeune fille au lieu de nom de partenaire) dans la liste des emails provoque immédiatement une demande de changement par l’employée. La pertinence des données dans la base RH devient donc primordial...
Volonté
Mettre en œuvre un lien avec le SIRH demande plus de la saissi des collaborateurs dans le système. Souvent le service RH ne se rend pas toute de suite compte de ce changement, mais une (petite) partie des appels au helpdesk se transfère maintenant au service RH. La raison d’un adresse email avec une faute d’orthographe n’est plus le résultat d’une mauvaise saisie de la part du service informatique mais d’une erreur de frappe du service RH. Grace au lien automatique le collaborateur doit alors contacter le Service RH au lieu du service informatique s’il veut que le changement soit fait. Puisque le système RH est maintenant ‘la source’ des informations correctes ou incorrectes…

Peut être ces différents points doivent être considérés dans le processus de mise en œuvre d’un tel lien. Faites attention, il s’agit juste d’une liste non exhaustive et il peut y avoir beaucoup de situations spécifiques pour l’organisation en question, pouvant être résolu de manières différentes.

N’hésitez pas à revenir vers moi si vous désirez en savoir plus sur ce sujet. Je suis joignable par téléphone chez Tools4ever au 01 53 43 29 55 ou par email à Cette adresse email est protégée contre les robots des spammeurs, vous devez activer Javascript pour la voir.