Ça peut vous arriver !
Dans la vie d'une entreprise, qu'elle soit grande ou petite, les employées vont et viennent et la gestion des identités, et de leurs droits, devient alors un vrai « métier », une véritable activité qui doit être faite de manière très rigoureuse.
Mais, quand le départ d'un collaborateur se fait dans la « douleur », c'est à dire lorsqu'il s'agit d'un véritable conflit se terminant par un licenciement « sec » alors cela peut devenir un véritable parcours du combattant si ce genre de situation n'est pas correctement appréhendée.
Il y a près de deux ans, un des membres de notre comité de direction est entré en conflit avec la Direction Générale et, cela s'est terminé par une mise à pied, suivie d'un licenciement. Ce sont des choses qui peuvent arriver dans la vie d'une entreprise même si c'est la première fois que j'y étais confronté...
Lorsque le couperai est tombé, la Direction Générale m'a demandé de bloquer rapidement les accès au système d'information concernant ce collaborateur, ce qui paraît « logique » qui plus est dans ce cas où la tension était palpable. Donc j'ai suspendu, en deux coups de clics, le compte de l'utilisateur dans l'annuaire de l'entreprise, son accès VPN (lui permettant de se connecter au S.I depuis l'extérieur) ainsi que sa ligne de téléphone mobile. Dans mon cas, cela paraissait suffisant...au moins j'y croyais...
Le lendemain, je contacte son assistante (son ex-assistante...) et je lui demande, par acquis de conscience, si cette personne possédait des accès sur des services hébergés en dehors de l'entreprise et, surprise, l'assistante énumère une bonne douzaine de services, utilisés au quotidien pour lesquels le collaborateur éconduit disposait d'accès et, pire, il disposait des droits « administrateur » pour ces services et pour administrer ces accès (créer les comptes, les modifier, les supprimer...). C'est à dire que seule cette personne pouvait en administrer les accès et les droits.
Dans cette liste de services on y trouvait, pour moitié, des services « publics » permettant de déclarer un certain nombre d'informations obligatoires et légales concernant l'activité de l'entreprise et pour l'autre moitié des services liés au Groupe auquel nous appartenons, tels des services de
« reportings » sociaux ou financiers et, pour finir, des services divers dont je ne connaissais pas l'existence et qui avaient dû être contractés directement par ce collaborateur, sans en informer quiconque et encore moins la DSI.
Il nous a fallu une bonne dizaine de jours pour reprendre la main sur tous ces services et faire supprimer toutes traces de cet ancien cadre supérieur avec, cerise sur le gâteau quelques petites frayeurs qu'on on s'est aperçu que cet ancien collaborateur s'était connecté, après son licenciement, à certains de ces services mais pour faire quoi ?
Personne n'est à l'abri face à une telle situation et on ne doit jamais prendre à la légère ces problèmes de sécurité car on ne peut pas deviner quelle sera la réaction du collaborateur, certains pouvant littéralement « péter les plombs ».
Alors face à cette menace, un certain nombre de règles doivent être mises en place afin d'éviter :
- qu'un collaborateur de l'entreprise ne puisse contracter, seul, un service « internet » au nom de l'entreprise,
- qu'une solution ne propose qu'un seul compte de type « administrateur »,
- que les procédures de suppression de comptes utilisateurs soient correctement documentées, que ce soient des solutions internes ou hébergées à l'extérieur de l'entreprise.
Alors oui, c'est bien le job du DSI de mettre ces procédures en place et de veiller à leur bonne application. Le DSI doit donc édicter les règles qui doivent s'appliquer et effectuer, le cas échéant, des audits réguliers, services par services, afin que tout cela soit respecté.
Quant à la conservation des comptes de type « administrateur » et de leur mot de passe, assurez- vous qu'il y ait au moins deux personnes dans l'entreprise (voire deux par services dans les organisations de plus grande taille) qui peuvent avoir accès à ces données !
Pour finir, gardez toujours à l'esprit que la « menace » vient aussi de l'intérieur, sans pour autant en devenir paranoïaque mais juste avec un peu de bons sens !
