Lorsqu’une personne arrive dans une entreprise et sur un projet, elle doit obtenir les bons accès et le matériel nécessaire à sa mission. Il est essentiel pour le bon fonctionnement d’une société et sa sécurité que les collaborateurs puissent accéder aux applications et aux données dont ils ont besoin. Le fait que ces personnes soient des collaborateurs, des sous-traitants ou bien des partenaires externes importe peu : s’ils ne disposent pas assez d’accès ou de matériels ils ne pourront pas travailler efficacement, s’ils en ont trop cela pose un problème de sécurité et de confidentialité. Dans cet article, lorsque l’on parlera d’accès, il sera entendu que l’on parle à la fois des accès logiques (informatique, …) et des accès physiques (pièces, bâtiments, …). Nous allons donc voir ensemble ce qu’apporte une bonne gestion des arrivées et des départs.
I- L’arrivée d’une personne
Lors de l’arrivée d’une personne ou d’un prestataire, il faut que ses accès et son matériel soient déjà prêts. Ainsi dès que l’on connaît sa date d’arrivée, on doit lancer les démarches pour créer ses accès et obtenir son matériel pour que tout soit en place le jour J. La personne qui lance ces démarches doit être celle qui est la première au courant de l’arrivée.
En fonction de votre organisation, il s’agira, la plupart du temps, des managers ou des ressources humaines. Ainsi il est nécessaire d’avoir des processus de créations d’accès et d’obtention de matériel bien définis.
Donner les accès est une bonne chose mais il est important de ne pas accorder trop d’accès. Aussi doit-on respecter le principe de moindre privilège.
Quel est ce principe? C’est simple ! On ne donne les accès qu’aux personnes ayant le besoin d’en connaître. Ainsi on protégera mieux la confidentialité des données si le compte de cette personne est compromis. Par exemple, le responsable de l’accueil n’a pas besoin d’accéder aux espaces de développement du prochain progiciel de la société, et inversement les développeurs n’ont pas besoin d’accéder à l’interface de création d’accès au wifi visiteur. Cela est plus évident avec du matériel. Est-il nécessaire que l’agent d’entretien ait son propre ordinateur? Est-il nécessaire que le développeur ait son propre râteau de jardinage? Ce qui est évident avec le matériel doit le devenir avec les accès.
Il faudra penser à faire concorder les droits des personnes selon la matrice des habilitations. Cette matrice vous servira à savoir quels sont les accès nécessaires pour chaque personne en fonction de leur poste. Ces droits devront évoluer en fonction des mouvements de cette personnes au sein de votre société (ils gagneront ou perdront des droits en fonction du changement de poste).
De même, il sera important de lister le matériel qui est prêté à cette personne au fur et à mesure de son passage dans votre société. Cela peut prendre diverses formes :
une fiche de prêt de matériel par personne
un inventaire généralisé qui indique pour chaque matériel, la ou les personnes associées
Ces documents serviront lors du départ d’un collaborateur afin de savoir ce qui doit être récupéré.
N.B : Il est possible de créer une fiche de prêt de matériel pré-rempli par mission afin de savoir quoi donner aux collaborateurs entrant sur ce type de mission (RH, IT, …)
II - Mouvement interne
La gestion des mouvements internes devrait être assez simple si vous avez bien suivi les étapes précédentes. Ainsi vous devriez avoir :
des processus de créations d’accès
des processus de prêt de matériel
Une matrice d’habilitation pour assigner les bons accès
Un moyen d’inventorier le matériel prêté
Il ne vous manque plus qu’à avoir des processus de suppression d’accès et de récupération de matériel.
En effet, ce n’est pas parce que la personne n’a pas quitté la société qu’elle doit conserver tous ses accès ou que son matériel lui suffit. Elle devra avoir de nouveaux les accès correspondant à son nouvel environnement et le matériel qu’elle avait n’est peut être plus nécessaire. De plus, il faudra s’assurer que les listes soient bien mises à jour afin qu’elles restent pertinentes.
Il ne faut pas oublier que lorsqu’une personne change de projet ou de poste, elle ne doit plus pouvoir interférer sur l’ancien, non pas parce que l’on ne fait pas confiance à cette personne mais bien dans le possible cas d’une compromission future et parce que cela peut aller à l’encontre du cadre légal et réglementaire.
III - Le départ d'une personne
Le départ d’une personne se gère simplement en lançant tous les processus de suppression des accès, de désactivations des comptes et de récupération de matériel nécessaire selon les listes dressées précédemment. Si cela peut sembler simple, c’est en fait une étape souvent bâclée car elle n’a pas été préparée en amont.
Beaucoup de sociétés ont des processus de création des comptes, de leur accès associés et de prêt de matériel car c’est souvent intégré dès le départ de la société.
Malheureusement, peu de sociétés prévoient de supprimer les accès. En effet, elles se disent que les comptes seront juste inutilisés (car désactivés). Mais ces comptes peuvent être la porte d’entrée idéale de personnes malveillantes. En effet, ces comptes ne seront pas surveillés et leur permettront de circuler sur le réseau sans être inquiétés. De plus, il est également important de récupérer le matériel car celui-ci pourrait être revendu à un inconnu. Ainsi, même si les données ont été supprimées, il peut être possible de récupérer des informations essentielles pour avoir accès à votre réseau.
Il ne faudra pas oublier de supprimer les comptes désactivés après une période définie par votre contexte ou la loi.
Comme nous l’avons vu, la gestion de l’arrivée, des mouvements internes et du départ d’une personne nécessite de se préparer afin d’améliorer l’efficacité de cette personne et la sécurité de la société.
Allistic pourra vous aider à définir tous les processus de gestion des accès et du matériel et saura adapter cette gestion aux besoins de votre entreprise. Ainsi, ensemble, nous pourrons mieux sécuriser votre entreprise et améliorer le travail de vos collaborateurs.
