Le départ des employés n’est la tâche préférée de personne, mais il s’agit d’un processus informatique critique qui doit être exécuté avec diligence et efficacité. C’est plus facile à dire qu’à faire, d’autant plus que les services informatiques ont moins de visibilité et de contrôle que jamais sur l’utilisation de l’informatique par leurs employés. Aujourd’hui, les employés peuvent facilement adopter de nouvelles applications cloud et SaaS quand et où ils le souhaitent, et l’ancien manuel de désintégration informatique consistant à « désactiver le compte AD, transférer les e-mails, récupérer et effacer l’appareil, et mettre un terme à cela » ne suffit plus.
Ici, nous aborderons cinq des pièges les plus courants de Délocalisation informatique dans un monde axé sur le SaaS, ainsi que des conseils sur la manière de s’y retrouver.
Piège n°1 : suspendre ou supprimer le compte de messagerie avant d’effectuer d’autres étapes critiques
Il peut sembler logique de suspendre ou de supprimer le compte Google Workspace ou Microsoft 365 des employés comme première étape du processus de départ. Cependant, cela rendra le compte inaccessible à tout le monde, même aux administrateurs, ce qui pourrait interférer avec votre capacité à effectuer d’autres tâches de déconnexion telles que le transfert de fichiers et de données.
Au lieu de suspendre ou de supprimer le compte, vous souhaiterez révoquer l’accès de l’ancien employé à son compte de messagerie en réinitialisant ses mots de passe et en désactivant toutes les méthodes de récupération que l’employé a mises en place, telles qu’une adresse e-mail personnelle secondaire ou un numéro de mobile.
Déterminer quand suspendre ou supprimer le compte de messagerie des employés dépendra du protocole interne et ne devra être soigneusement effectué qu’après avoir confirmé que l’accès à toutes les autres ressources, systèmes et données critiques a été révoqué ou transféré à d’autres employés. Il s’agira généralement de la dernière étape du processus de délocalisation informatique.
Piège n°2 : Considérer uniquement ce qu’il y a dans l’IdP ou le SSO
L’un des pièges les plus courants en matière de désintégration consiste à limiter la portée aux seules applications cloud et SaaS sanctionnées qui sont gérées au sein de votre fournisseur d’identité (IdP) ou du système d’authentification unique (SSO) d’entreprise. Bien qu’il semble logique de concevoir un processus de désintégration avec un seul kill-switch d’identité, la réalité avec laquelle nous vivons tous est que tout n’est pas derrière le SSO, et en limitant votre portée, vous risquez de négliger tous les actifs SaaS non autorisés ou « fantômes » qu’un employé a introduits au cours de son mandat. De tels comptes SaaS non autorisés sont souvent créés avec un nom d’utilisateur et un mot de passe, qui peuvent facilement disparaître sur un Post-it ou être abandonnés puis compromis par un acteur malveillant. Pour éviter cet écueil, commencez par ouvrir l’ouverture de votre délocalisation informatique pour englober tous les éléments gérés. et accès cloud et SaaS non géré.
Alors, comment créer une liste des comptes cloud et SaaS non gérés pour un employé qui part ? Cela peut se transformer en la pire chasse au trésor au monde, dans laquelle vous devrez croiser les informations provenant des systèmes financiers, de votre plateforme de ticket d’assistance, des demandes adressées aux propriétaires d’applications en dehors du service informatique, aux coéquipiers de l’employé qui part, et bien plus encore.
Mais ne vous lancez pas encore dans cette chasse, de nouvelles solutions pour Gestion SaaS émergent pour rendre ce processus beaucoup plus facile.
Piège n°3 : négliger les ressources cloud et SaaS critiques pour l’entreprise
Il est facile d’oublier de transférer la propriété de ressources critiques telles que les comptes de réseaux sociaux d’entreprise, la propriété du compte racine et les domaines enregistrés. Cette erreur peut entraîner une interruption des activités ou laisser des comptes orphelins et inaccessibles. Pour éviter que cela ne se produise, les services informatiques doivent s’assurer d’identifier et de transférer la propriété de toutes les ressources, automatisations ou intégrations critiques pour l’entreprise dès le début du processus de départ.
Piège n°4 : Ne pas impliquer les propriétaires métier de chaque application SaaS
L’essor rapide de l’informatique orientée entreprise signifie que l’administration informatique se fait davantage en dehors de l’informatique centrale. Cela signifie que davantage de personnes seront impliquées dans le processus de départ, y compris les propriétaires d’entreprises d’applications et les technologues d’entreprise qui gèrent les budgets et les licences de leurs applications SaaS.
Il y a deux étapes clés pour simplifier ce processus : premièrement, vous devez savoir qui sont les bonnes personnes à engager, ce qui nécessite une solide Plateforme de gestion SaaS. Deuxièmement, vous avez besoin d’un moyen de rationaliser, voire d’automatiser, l’engagement de toutes les parties prenantes afin d’orchestrer efficacement la multitude de tâches de délocalisation que les administrateurs non informatiques doivent effectuer.
Par exemple, avant la fermeture du compte de l’employé qui quitte une application particulière, le propriétaire de l’entreprise d’application peut devoir transférer la propriété des données, des intégrations ou des flux de travail pour éviter de perturber l’activité. De plus, le propriétaire de l’application devra peut-être transférer les autorisations élevées à un nouvel utilisateur.
Piège n°5 : négliger les intégrations OAuth d’application à application
Aujourd’hui, dans la plupart des organisations, il existe un réseau d’intégrations OAuth d’application à application afin d’automatiser les mises à jour de données et les tâches entre les applications. Lorsque des employés quittent l’organisation, la révocation des subventions sans examen minutieux peut entraîner une interruption des activités, et le fait de ne pas révoquer les subventions peut entraîner un risque accru.
Par conséquent, il est important d’examiner les subventions OAuth, de travailler avec les propriétaires d’applications pour identifier celles qui doivent être rétablies via un autre compte, puis de révoquer les subventions émises par les comptes de l’employé qui quitte l’entreprise.
Automatisez le retrait du SaaS avec Nudge Security
La délocalisation informatique est fastidieuse, prend du temps et est souvent incomplète. Mais Nudge Security peut rendre ce processus beaucoup plus facile.
Nudge Security découvre et inventorie en permanence toutes les applications SaaS et cloud utilisées par vos employés, y compris le shadow IT, vous offrant ainsi une source unique de vérité pour les comptes d’utilisateurs sortants, les subventions OAuth et d’autres ressources critiques. De plus, le playbook de désintégration intégré automatise jusqu’à 90 % des tâches manuelles telles que la réinitialisation des mots de passe, la révocation des autorisations OAuth, la messagerie des propriétaires d’applications pour transférer des données et des autorisations, et bien plus encore.
Voyez comment vous pouvez automatiser la délocalisation informatique avec Nudge Sécurité.