La première chose à faire consiste à obtenir une liste des personnes ayant un accès à votre système d'information. Les accès peuvent prendre plusieurs formes comme un compte utilisateur pour le serveur, une adresse de messagerie, un compte pour se connecter depuis l'extérieur du réseau, un accès à un serveur FTP ou un service de Cloud Computing comme Dropbox. Cet inventaire est en général actualisé tous les six mois et peut présenter la dernière date d'utilisation d'un compte.
Conseil n°1 : faire des inventaires réguliers des comptes Désactiver ou supprimer les comptes obsolètesUne fois l'inventaire en place, vous devez désactiver ou supprimer les comptes inutiles. Un compte inutile est, soit un compte d'une personne ayant quitté l'entreprise, soit un compte non utilisé depuis plusieurs mois. Dans ce deuxième cas, n'oubliez pas de communiquer avec la personne pour la prévenir qu'un de ces accès a été résilié.
Conseil n°2 : supprimer les comptes obsolètes ou inutiles Mettre en œuvre des procédures d'arrivée et de départL'arrivée et le départ d'un employé est, en général, très bien géré dans une entreprise d'un point de vue administratif : gestion des clés, solde de tout compte, restitution d'un véhicule, ... Il est simple d'ajouter à tous ces éléments un volet " informatique " qui permet de gérer correctement un départ comme, notamment, la redirection d'une adresse de messagerie qui est très souvent oubliée.
Conseil n°3 : mettez en place des procédures d'entrée et de sortie du personnel. PSSI et charte utilisateurLaissez un accès à un de ses anciens employés est risqué en terme de confidentialité des données et en terme d'image. Une bonne gestion des comptes obsolètes est un des éléments clefs de la politique de sécurité du système d'information (PSSI) et un bon tremplin pour la mise en place d'une charte des utilisateurs.