A quoi bon garder un service support ?
Dans la plus part des entreprises de taille moyenne à grande, un service support est mis en place pour prendre en compte, entre autres, les demandes de renouvellement des mots de passe des utilisateurs lorsqu’ils les oublient.
État des lieux
Je n’ai pas encore trouvé d’entreprise (de taille moyenne à
grande) qui ne possède que des applications de même technologie, comme par
exemple des applications Web JEE développées en interne. Bien souvent, ces
entreprises ont aussi des progiciels, qui viennent avec leur propre référentiel
de données et leur propre politique de mots de passe. Pour les plus grandes,
elles ont aussi des applications qui s’exécutent sur des serveurs à hautes
capacité en termes de nombre de processeurs et de taille de mémoire : comme
le système d’exploitation z/OS et son référentiel de sécurité RACF. Bien
qu’évoluant régulièrement, z+RACF est d’une technologie et d’une philosophie
différente des serveurs Windows+AD ou encore des serveurs Linux+LDAP.
Aujourd’hui, les Politiques de Sécurité des Systèmes d’Information
(PSSI), recommandent l’utilisation de mots de passe complexes, avec des
longueurs minimales et des durées de vies raccourcies. On veut croire (vœux pieux)
que les progiciels sont suffisamment bien développés pour s’accorder sur ce
point et respecter les recommandations des PSSI. Mais en ce qui concerne RACF,
le champ mot de passe historique (PASSWORD) ne supporte pas la complexité
imposée ni une longueur supérieure à 8 caractères. IBM propose l’utilisation
d’un autre champ (PASSPHRASE) qui ne peut être adopté sans envisager un
chantier de migration des formulaires d’authentification des pages Web mais
aussi des mires TN 3270, CICS et TSO.
Une multitude de mots de passe
Sans unification totale des politiques de mots de passe de
tous les systèmes de l’entreprise et sans SSO, nous pouvons aisément affirmer
que les utilisateurs doivent retenir plusieurs mots de passe pour pouvoir
s’authentifier sur chacune des applications auxquelles ils doivent accéder.
Chaque fois qu’un mot de passe doit être renouvelé, l’utilisateur
est obligé d’en retenir un nouveau. Si, le premier jour où il arrive dans
l’entreprise, il saisit le même mot de passe pour la plus part des systèmes, au
bout de quelques mois, il devra en retenir 2 ou 3 voire n différents. Cela peut
être dû au fait que, par exemple, certaines directions de l’entreprise
définissent pour des systèmes sensibles un renouvellement tous les 45 jours
alors que pour d’autres un renouvellement supérieur à 3 mois est suffisant.
Autre point important, sur un système comme RACF, et ce
n’est pas le seul, la politique de mot de passe est insuffisante car elle
n’autorise que 8 caractères, dont des lettres, des chiffres et ces trois caractères
spéciaux : $, @, #.
Le coût du service Support
À force de devoir retenir plusieurs mots de passe, nous finissons
par en oublier, voire tous les oublier (surtout, et c’est très fréquent, après
quatre semaines de congés).
L’employé dans ce cas, se retrouve devant son ordinateur avec
l’incapacité de se souvenir du mot de passe de session du poste de travail. Il
regarde sous le clavier, derrière l’écran, mais le ménage a été fait et tous
les post’its, sur lesquels il avait soigneusement écrit ses multiples mots de
passe, ont disparu. Il aurait du écrire ses mots de passe sur une feuille qu’il
aurait du ranger dans son tiroir, mais il a aussi égaré ses clés.
La seule solution est d’appeler le service Support de l’entreprise. Cela se passe en une succession d’étapes :
Recherche : l’employé recherche le numéro de téléphone du service Support, premièrement dans sa mémoire, puis en demandant à un collègue et finit par se déplacer pour demander à la secrétaire. Le temps varie de 5 à 20 minutes.
· Attente : comme on est lundi matin, le service support ne décroche qu’après 10 à 15 minutes d’attente (d’autres on été plus rapide à appeler le service).
· Identification : le service support demande à l’employé de s’identifier, avec le fameux identifiant unique, oublié par l’employé ; le service support finit par le retrouver grâce aux nom et prénom de l’employé. Le temps peut être assez court, de l’ordre de 1 à 3 minutes.
· Authentification : Le service support ne peut et ne doit pas engager de procédure de remplacement de mot de passe sans avoir la certitude que celui qui en fait la demande est bien celui qui a perdu son propre mot de passe. Suivant les règles en la matière, l’authentification peut demander un temps important, si l’employé doit se déplacer ou si le service support doit contacter le manager ou un responsable ou un collègue pour s’assurer que la personne qui demande le renouvellement soit bien l’employée qu’elle dit être. Le temps peut varier de 5 à 30 minutes, voire même plus selon la disponibilité des personnes à contacter.
· Traitement : Le service support engage la procédure de renouvellement. Le traitement peut durer 10 minutes sans considérer les processus de provisioning.
· Gestion : la procédure de renouvellement par le service support implique que les actions soient journalisées par un principe de création de ticket. Le temps peut aussi être très court, de l’ordre de 2 à 3 minutes.
Au final, l’employé a ainsi pu renouveler son mot de passe en faisant perdre à l’entreprise, et à plusieurs employés, un peu plus d’une heure ?
Le self-service : une solution ?
Ce temps est précieux pour l’entreprise, sachant que plus
grande est l’entreprise, plus les demandes de renouvellement au service support
sont fréquentes. Donc plus important devient le coût de traitement de ces demandes.
Ce temps de perdu est surtout inutile et sans aucune valeur métier.
Une solution alternative serait de mettre en place une
solution de self-service : une solution avec laquelle l’employé se
débrouille seul pour réinitialiser ses mots de passe et ne fait plus perdre de
temps aux autres. Une solution qui n’enlève aucun savoir métier aux employés.
Cette solution passe par une phase d’apprentissage qui
permet à chaque utilisateur de remplir un questionnaire personnel pour qu’il
puisse être identifié et reconnu lorsqu’il en aura l’utilité.
Intrusion dans la vie privée : les QR
Les premières solutions disposaient d’une liste de questions
prédéfinies auxquelles l’utilisateur devait répondre. Ces questions étaient
simples et génériques pour que chacun puisse trouver une réponse. Par exemple
« quel est le nom de jeune fille de votre mère ? ». Or la
réponse à ce genre de question s’obtient sans trop de peine, sans vouloir
apporter dans ce billet la méthode pour la trouver. De plus, ces questions
étaient souvent trop personnelles et certains voient par là une intrusion dans
leur vie privée.
Les solutions plus récentes ont une liste plus importante de
questions, qui sont beaucoup plus neutres, et ne sont pas toutes proposées à
tous les utilisateurs. La probabilité que 2 employés se voient proposer les
mêmes questions est très faible.
Pour rendre le système encore plus sécurisé, une dernière
question pourrait proposer à l’utilisateur de faire un calcul par exemple,
comme additionner les années de naissance de ses enfants ou animaux de
compagnie…
Les solutions pour sécuriser le self-service sont multiples
et infinies, ce qui rend ce système très intéressant et offre une véritable
alternative au service support.
Conclusion
Encore dernièrement, j’ai été confronté au service support
d’une entreprise très compétitive dans le domaine de l’industrie. J’ai perdu
mon temps pendant plus d’une heure au téléphone, j’ai fait perdre son temps à
une collègue pour utiliser sa messagerie et au final, le service rendu n’est
pas à la hauteur parce que je n’ai toujours pas accès à ma messagerie.
Je me serais contenté d’un lien dans le portail intranet
pour me rendre sur l’application de self-service et pour réinitialiser mon mot
de passe en moins de 10 minutes.
Si le service support apporte la dimension humaine, il
n’apporte pas toujours satisfaction. Une solution purement numérique n’est pas
aussi chaleureuse mais peut, dans de nombreux cas, rendre au moins le même
service.