Lorsqu’un employé quitte son entreprise, il rend le matériel qui était mis à sa disposition dans le cadre de son travail.
En est-il de même pour "l'immatériel" ?
C'est-à-dire l'ensemble des accès aux logiciels professionnels. Autant de licences ou d'abonnements à des apps en ligne qu'il est beaucoup moins évident de recenser.
Moins évident car maintenant l'outil de travail est digitalisé. Tous les employés utilisent de nombreuses applications en ligne, chacune avec ses propres accès.
Il y en a de plusieurs sortes :
- Accès via un gestionnaire de mots de passe
- Le Google Sign In
- L'utilisation d'une solution Single Sign On (SSO) dédiée
- Des comptes communs dont les mots de passe sont partagés sur un spreadsheet
La première étape sera d'identifier toutes les apps utilisées au sein de votre entreprise. Mais ce n'est que le début.
Il faudra ensuite cartographier les accès pour les employés qui vous intéressent, et enfin supprimer leurs comptes et/ou leurs accès.
Alors comment s'en sortir à cette étape où vous vous trouvez certainement si vous lisez ce guide ?
Avant d'explorer le vaste monde des logiciels IAM pour Identity Access Management (Gestion des identités clients en bon français), voici 3 informations critiques que nous allons détailler :
1/ Il n'existe pas de plateforme pour supprimer les licences ou accès à d'autres logiciels à moins d'avoir souscrit au plan "premium" ou "enterprise" pour chacun d'entre eux.
2/ Soyez certains que toutes les apps utilisées proposent l'option de "déprovisionnement", c'est à dire de désinscriptions des utilisateurs (SCIM pour les profils techniques). Là aussi, la probabilité est proche de zéro.
3/ Si votre PME ne valide pas ces deux premiers points, chercher à le faire augmentera significativement votre budget logiciel. Pas forcément ce que l'on recherche en gérant précisément les accès aux licences...
On vous donne les explications en détail.
Bonne lecture.
Mais c'est pourtant bien possible techniquement (?)
Oui, c'est d'ailleurs utilisé par toutes les équipes IT des grands groupes. Leurs exigences en matière de sécurité sont élevées. Les logiciels utilisés en interne sont d'ailleurs retenus seulement s'ils proposent le SCIM.
Le SCIM ou en anglais "System for Cross-domain Identity Management" est une méthode standard sécurisée pour permettre une action sur un profil utilisateur depuis un outil tierce.
Il est alors possible de connecter ces logiciels (via API) à une plateforme de SaaS Management et de créer ou de supprimer les utilisateurs en quelques clics.
Une solution évidente pour les grandes entreprises qui gèrent au quotidien de nombreuses arrivées et départ. Les (gros) budgets associés sont alors à la hauteur du temps passé, des enjeux de sécurité et des économies réalisées.
C'est en suivant cette logique que les logiciels réservent cette compatibilité à leurs offres premium. En d'autres termes, une entreprise qui a ce type de requête est prête à payer le prix pour y répondre.
Voilà déjà quelques exemples 👇
Ces offres "Enterprise" ne sont pas destinées aux PME.
La conséquence ? Vous devez gérer la suppression des licences / accès manuellement.
Mais attention...
Attention aux plateformes de SaaS Management qui proposent l'offboarding utilisateur automatique
Certes, la fonctionnalité est bien présente, mais le problème n’est pas pour autant résolu.
Pour désinscrire les utilisateurs, il sera nécessaire d’avoir une intégration native pour toutes apps utilisées dans votre entreprise. Un point crucial à vérifier en amont de l’achat.
Et sans grande surprise, les logiciels de SaaS Management qui comptent un grand nombre d’intégrations natives sont aussi les plus chères.
Un pricing cohérent avec une cible “grandes entreprises”, mais décorrélé des besoins et moyens des PME.
Mais le SSO permet de gérer les accès des utilisateurs, et donc leur désinscription (?)
Les mises en garde seront les mêmes que celles développées plus haut. Mais nous distinguerons 2 aspects :
1/ Le SSO n’est pas une solution technique au deprovisioning
Sans jargon technique : les solutions de Single-Sign-On ne gèrent que les accès utilisateurs. Ce n’est pas parce qu’un utilisateur ne peut plus accéder à une application qu’il en est pour autant désinscrit.
Côté sécurité, aucun problème, mais pour les souscriptions avec un tarif basé sur le nombre d’utilisateurs, vous continuerez de payer à moins de désinscrire manuellement les employés pour chaque app.
2/ Les intégrations SSO impliquent également des coûts masqués
Le premier coût, c’est celui de la solution SSO que vous avez choisie. Un abonnement logiciel de plus !
Le coût principal réside - comme dans le cas du SCIM développé plus haut - dans l’augmentation des coûts pour chaque logiciel existant. Car la plupart des éditeurs de logiciel réservent également les intégrations SSO à leurs plans premium.
Cet écart a été documenté par le mini-site au titre éloquent de “mur de la honte du SSO” (The SSO Wall of Shame) → https://sso.tax/
Toujours d’actualité : ses dernières mises à jour datent de juin 2024.
Alors... Comment gérer les licences logiciel dans une PME ?
Un compromis côté fonctionnalité est nécessaire. À moins que vous ne soyez prêt à surpayer pour gérer cet aspect de votre entreprise.
Sécurité des accès
Nous vous recommandons d’utiliser un gestionnaire de mots de passe. Assurez-vous que les employés respectent les bonnes pratiques élémentaires. Dans cette optique, nous vous recommandons les directives sur les mots de passe du service d’assistance et de prévention du risque numérique : cybermalveillance.gouv.fr/tous-nos-contenus/actualites/comment-choisir-un-bon-mot-de-passe
Si les apps que vous utilisez le permettent, encouragez les employés à se connecter uniquement via les boutons « Se connecter avec Google » / « Se connecter avec Office 365 ». Vous serez alors en mesure de bloquer tous ces accès via votre portail d'administration Google ou Microsoft.
Onboarding et Offboarding des utilisateurs
Mettre en place un processus unique et partagé à toutes les équipes sera déjà une excellente chose.
Pas besoin d’un modèle trop élaboré. Le simple fait qu’il existe est déjà une victoire. Les informations nécessaires seraient :
Définir les responsables d’applications (souvent celui qui a le statut d’ administrateur)
Suivre les tâches à effectuer (inscription ou désinscription)
Vérifier les dépenses et renouvellements
Un exemple de procédure :
Claire est responsable marketing, elle est administratrice des réseaux sociaux. Lorsque la community manager quitte l’entreprise, Claire doit s’assurer de bien supprimer ses accès aux comptes de l’entreprise, ainsi qu’aux outils utilisés pour publier, analyser, ou éditer les contenus.
Et pour optimiser ces actions, il faut idéalement avoir une liste à jour de tous les logiciels utilisés par chaque employé.
L’importance de centraliser les abonnements logiciel :
La plupart des PME recensent les applications payantes dans un tableur ou un outil de gestion de projet dédié (Notion, Asana, Trello, etc.)
Nous vous proposons d’ailleurs un template gratuit, fruit de notre expérience “sur le terrain”.
Cette option n’est cependant pas idéale. Elle implique que tout le monde déclare chaque logiciel utilisé, et recense les accès. Ce n’est pas du tout évident que ce document reste à jour dans l’entreprise.
Un peu d’auto-promotion : c’est à ce moment que LicenceOne est pertinent. Nous avons automatisé cet inventaire pour les PME.
Et pour faciliter les procédures, la plateforme envoie des notifications aux responsables d’applications pour les différentes actions qu’ils doivent réaliser (négocier un renouvellement de contrat, désinscrire un employé, supprimer l’application…)
En résumé :
Pour vous assurer d’onboarder ou de désinscrire les employés de votre PME :
- Une plateforme de SaaS Management avec offboarding automatiqueAttention : les options de gestion des accès (SCIM) ou d’identification (SSO) sont nécessaires et augmentent les budgets associés
- Spreadsheet / outil de gestion de projetAttention : l’enjeu sera de le maintenir à jour
- LicenceOne, pour automatiser le suivi des outils utilisés en interneAttention : il faudra tout de même que les responsables d’application désinscrivent les employés manuellement
Si vous avez des questions après avoir lu cet article, n'hésitez pas à nous envoyer un message via notre outil de chat sur cette page. Nous avons à cœur de vendre le bon outil au bon acheteur, et non de sur-vendre des fonctionnalités inutilisables et d'engager les entreprises dans des contrats de 12 mois.