Gérez-vous correctement les comptes obsolètes de vos utilisateurs ?

Publié le 21 janvier 2017 par Jean-Pierre Jusselme
Lors de nos audits de sécurité informatique, nous découvrons quasi systématiquement la présence de compte d'utilisateur ayant quitté l'entreprise. Ces utilisateurs peuvent toujours accéder aux données voir à leur ancienne messagerie même s'ils sont maintenant en poste chez un conçurent ! Voici quelques conseils sur ce sujet. Inventaire des comptes

La première chose à faire consiste à obtenir une liste des personnes ayant un accès à votre système d'information. Les accès peuvent prendre plusieurs formes comme un compte utilisateur pour le serveur, une adresse de messagerie, un compte pour se connecter depuis l'extérieur du réseau, un accès à un serveur FTP ou un service de Cloud Computing comme Dropbox. Cet inventaire est en général actualisé tous les six mois et peut présenter la dernière date d'utilisation d'un compte.

Conseil n°1 : faire des inventaires réguliers des comptes Désactiver ou supprimer les comptes obsolètes

Une fois l'inventaire en place, vous devez désactiver ou supprimer les comptes inutiles. Un compte inutile est, soit un compte d'une personne ayant quitté l'entreprise, soit un compte non utilisé depuis plusieurs mois. Dans ce deuxième cas, n'oubliez pas de communiquer avec la personne pour la prévenir qu'un de ces accès a été résilié.

Conseil n°2 : supprimer les comptes obsolètes ou inutiles Mettre en œuvre des procédures d'arrivée et de départ

L'arrivée et le départ d'un employé est, en général, très bien géré dans une entreprise d'un point de vue administratif : gestion des clés, solde de tout compte, restitution d'un véhicule, ... Il est simple d'ajouter à tous ces éléments un volet " informatique " qui permet de gérer correctement un départ comme, notamment, la redirection d'une adresse de messagerie qui est très souvent oubliée.

Conseil n°3 : mettez en place des procédures d'entrée et de sortie du personnel. PSSI et charte utilisateur

Laissez un accès à un de ses anciens employés est risqué en terme de confidentialité des données et en terme d'image. Une bonne gestion des comptes obsolètes est un des éléments clefs de la politique de sécurité du système d'information (PSSI) et un bon tremplin pour la mise en place d'une charte des utilisateurs.