Che cos'è l'onboarding dell'utente?
Le terme, “Onboarding” est un jargon managérial utilisé pour la première fois dans les années 1970 qui fait référence au processus de mise à jour d’une nouvelle embauche sur les processus organisationnels, les politiques, les ressources positionnelles et la culture. Une intégration réussie vise à aider les nouveaux employés à devenir rapidement efficaces au sein de l’organisation.
On peut écrire des livres entiers sur toute l’étendue de l’intégration. Tools4ever se focalise sur le côté informatique de ce processus. Nous nous spécialisons dans l’optimisation des processus informatiques qui garantissent l’accès des utilisateurs aux ressources réseau telles que les applications et les partages de fichiers.
Lorsqu’un nouvel employé commence un travail qui nécessite l’accès à un ordinateur ou à un e-mail, il a besoin d’un compte, probablement dans Active Directory ou Google G Suite. Certaines organisations réalisent tout cela à la main, ce qui prend beaucoup de temps. Ceux qui travaillent avec Tools4ever automatisent ce processus et tout est créé en un clin d’œil. Une fois les nouveaux comptes d’utilisateur et mots de passe configurés, il est temps de passer à la partie la plus risquée de tout plan d’intégration : Le transfert.
Le transfert du nouvel identifiant utilisateur est l’une des plus grandes vulnérabilités qui existe dans la sécurité d’une organisation. Les entreprises dotées de politiques de sécurité et de mot de passe les plus sophistiquées sont susceptibles de ce risque souvent ignoré, malgré le fait que Gartner rapporte que les dépenses de sécurité des informations dépasseront 124 milliards de dollars cette année [1].
De nombreuses organisations utilisent une formule de mot de passe par défaut facilement déchiffrable lors de la création de nouveaux comptes. Par exemple, les deux premières lettres de votre prénom, de votre année de naissance et de votre nom de famille peuvent générer «St1986Smith». Si quelqu’un peut reconnaître la formule, il peut deviner le mot de passe d’un nouveau compte avant que cet utilisateur ne se connecte pour la toute première fois. Si une ingénierie sociale ou une recherche rapide sur Google et Facebook peuvent vous donner tous les détails pertinents pour une formule de mot de passe facilement piratée, pouvez-vous vraiment appeler cela sécurisé ?
Certaines organisations utilisent même le même mot de passe par défaut pour chaque compte unique généré pour un nouvel utilisateur (par exemple, «Passw0rd123»). Avec cette pratique, peu importe si une personne malveillante peut déchiffrer votre formule de mot de passe ou rechercher des informations génériques. Si tout le monde a exactement le même mot de passe pour sa connexion initiale, tout le monde dans votre organisation sait quel est le mot de passe de Bob avant d’avoir la possibilité de se présenter au travail et d’en créer un nouveau.
Malgré la mise en place d’une “passe phrase” à 18 caractères et d’une expiration de 30 jours, l’étape d’initialisation du compte est souvent le moment le plus vulnérable pour tout compte d’utilisateur. Afin d’atténuer ce risque, Tools4ever a développé le module SSRPM On Boarding pour protéger le processus d’intégration sans refonte majeure de l’informatique.
Avec le système d’activation de compte, les nouveaux comptes sont créés dans un état désactivé et sont associés à un “ID d’activation” unique. Cet ID d’activation peut être quelque chose que l’employé connaît déjà ou peut trouver dans ses docuemnts d’intégration (par exemple, son numéro d’employé).
Vous pouvez désormais vous sentir en sécurité en fournissant cet identifiant d’activation unique au nouvel utilisateur via un intermédiaire ou un e-mail le moment venu. Le module d’activation de compte et son portail Web offrent une sécurité suffisante pour que la seule connaissance de l’ID d’activation soit suffisante pour accéder au nouveau compte. S’il s’agit d’une valeur que le nouvel utilisateur connaît, vous n’avez même pas besoin de transférer l’ID de d’activation lui-même. Au lieu de cela, vous pouvez expliquer l’endroit où trouver la valeur au moment approprié (par exemple, «entrez votre numéro d’employé, qui se trouve dans votre dossier de bienvenue sur le côté gauche»).
Le nouvel utilisateur saisit simplement l’ID d’activation dans le portail d’activation de compte, accessible via le Web ou l’écran de connexion Windows, et il lui est ensuite demandé de s’identifier davantage. Le nouvel utilisateur fournit des informations spécifiques, mais non sensibles, en répondant aux questions défies que votre organisation a configurées pour lui. Le module d’activation de compte vérifie si les informations correspondent. Si l’utilisateur est vérifié, son compte est activé et il peut définir son propre mot de passe. Il a maintenant tout ce dont il a besoin pour se connecter et commencer son travail dès le premier jour. Votre organisation a corrigé ainis une faille de sécurité importante.
Glossario Identity Management