Les bonnes pratiques de génération de tickets de support au service de la sécurité de l'entreprise

La façon dont sont générés les tickets de support dans l’entreprise est un reflet des processus suivis par l’équipe IT.

Un mauvais respect des bonnes pratiques en la matière peut être dangereux, comme lorsqu’un ticket global est créé au lieu de plusieurs tickets différents. Les tickets globaux sont source de risques de sécurité, et c’est le rôle des équipes IT d’insuffler les bonnes pratiques afin de les limiter.

Vouloir aller trop vite est parfois dangereux

Il arrive parfois, dans la vie d’une entreprise, qu’un important volume de tickets doive être créé pour effectuer des opérations sur un grand nombre de collaborateurs ou d'ordinateurs. La tentation est forte de combiner tous ces tickets en un seul ticket "de masse", espérons que votre équipe IT saura y résister.
Prenons un exemple. Lors d'une phase de licenciement, le responsable RH demande au responsable IT s’il peut ne créer qu’un seul ticket global de demande d’interruption de service pour tous les salariés qui vont quitter l’entreprise, plutôt qu’un ticket par personne. Le responsable IT émettra généralement des réserves. Mais face au RH qui va devoir générer tous ces tickets, il cède à la pression et permet la création d’un unique ticket "king size" englobant les 200 collaborateurs sur le départ. C’est un exemple typique d’une mauvaise utilisation de l’automatisation IT, qui peut avoir de lourdes conséquences.
C’est tout d’abord problématique, car le procédé échappe aux processus standard. Le flux appliqué aux fins de contrat n’est prévu que pour un seul contrat. Chaque ticket doit passer par des dizaines d'étapes : suppression de l'accès à l'annuaire central, aux emails, aux différents systèmes métiers... Le ticket est également transmis au supérieur direct de la personne, qui doit récupérer ordinateurs portables, badges, cartes bancaires et autres équipements physiques avant le dernier jour du collaborateur. Il active ensuite l’archivage des emails, la réinitialisation de l'ordinateur portable, et la réaffectation des badges ou leur destruction.
En bref, la résiliation du contrat d'un collaborateur comprend de nombreuses étapes. Le système ITSM fait ici office de base de connaissances de référence, indiquant la bonne marche à suivre pour mettre fin à ce contrat. Respecter les bonnes pratiques ITSM (gestion des services IT) revient à respecter celles de l’entreprise.

Les tickets globaux sont un danger pour la sécurité

Deuxièmement, la création du ticket global va certes faire gagner un peu de temps de saisie à l'administrateur RH, mais elle va aussi générer une tonne de travail manuel pour les administrateurs IT, les managers et les équipes en charge des installations matérielles.
Chacune des étapes, normalement automatisées, devra être réalisée à la main pour chaque personne figurant dans le ticket global. Cela va généralement déclencher des alertes et des violations des accords de niveau de service. Non seulement le responsable IT sera accusé de violation du niveau de service, mais l'équipe des processus métier risquera également de consulter le workflow et de penser qu'un changement est nécessaire.
De plus, comme le processus automatisé a été rendu volumique et manuel, le risque est grand de passer à côté de quelque chose. C'est ce qui pose problème à l'équipe Sécurité. Car elle va devoir revérifier que toutes les actions ont été correctement gérées, à chaque étape et pour tous les collaborateurs figurant dans le ticket. Cela représente une charge de travail immense et manuelle, qui contourne le workflow automatisé.

L'audit en masse ne fonctionne pas

Troisièmement, outre ces incidents de fonctionnement, il existe un problème d'audit. Aujourd'hui, de nombreuses entreprises sont contraintes d'appliquer des normes, comme PCI pour la gestion des données de carte bancaire, SSAE 16/18 pour les services financiers, HIPAA/HITECH pour la santé, RGPD pour les données de l'Union européenne... qui exigent que vous soyez capable de prouver que votre entreprise suit un processus pour toutes les fins de contrat.
En créant un ticket global, vous allez sans doute perdre cette auditabilité. En général, le chargé d'audit demande la liste des collaborateurs en fin de contrat, puis en sélectionne une partie au hasard et demande à consulter leurs tickets. Un ticket global échoue généralement à l'audit, parce que le chargé d'audit sait que ce ticket ne respecte pas le processus standard de l'entreprise. 
C'est pourquoi, même si le responsable RH réclame l'ouverture d'un seul ticket global contenant tous les collaborateurs en fin de contrat, la réponse doit être : "Ce n'est pas conforme à notre processus, on risque de passer à côté de quelque chose et on va échouer en cas d'audit. Alors, désolé, mais c'est non". Il existe des outils de gestion des services qui facilitent grandement le processus de génération de ces tickets, ou même les génèrent automatiquement pour alléger la charge.

Pensez d'abord sécurité

Ces pratiques de fin de contrat ne sont qu'un exemple de non-respect du processus métier qui doit être intégré aux modules ITSM. Vous risquez de constater le même recours aux tickets globaux pour les changements de serveurs, la désactivation de postes de travail ou les tickets de nouvelle embauche.
Rappelez-vous : ces processus sont le reflet de la manière dont votre entreprise travaille. Si vous y touchez, la tâche sera plus compliquée à accomplir ensuite. Il est donc important d'y penser avant qu'une équipe ne décide de créer son propre workflow. Si une équipe constate qu'un élément du workflow n'est pas efficace, elle doit s'adresser à l'équipe en charge des processus métier pour qu'elle l'évalue. Souvent, il existe une très bonne raison pour que le workflow ait été conçu d’une certaine façon, même si l'équipe pense que ce n'est pas efficace. Et, en général, la sécurité est menacée si les processus standard ne sont pas appliqués.
Les responsables de la sécurité peuvent collaborer avec l'équipe ITSM, et faire comprendre à l’entreprise que les pratiques telles que les tickets globaux peuvent sembler plus efficaces de prime abord, mais qu'elles créent en réalité plus de travail, ainsi que des problèmes de sécurité et d'audit.