Les effectifs d’une entreprise évoluent sans cesse : arrivées, départs, mobilités interne. Il est par conséquent nécessaire que les droits et les accès au système d’information soient mis à jour en fonction de ces évolutions. Il est notamment essentiel que l’ensemble des droits affectés à une personne soient révoqués lors de son départ ou en cas de changement de fonction. Les procédures d’arrivée et de départ doivent donc être définies, en lien avec les Ressources Humaines. Elles doivent au minimum prendre en compte :
- la création et la suppression des comptes informatiques et boîtes mail associées ;
- les droits et accès à attribuer et retirer à une personne dont la fonction change ;
- la gestion des accès physiques aux locaux (attribution, restitution des badges et des clés, etc.) ;
- l’affectation des équipements ;
- la gestion des documents et informations sensibles (transfert de mots de passe, changement des mots de passe ou des codes sur les systèmes existants).
L’accès aux postes de travail et aux applications doit s’effectuer à l’aide de comptes utilisateurs nominatifs, et non « génériques » utilisés par plusieurs personnes (compta1, compta2…). L’objectif étant de pourvoir tracer les actions faites sur un fichier et, ainsi, de responsabiliser l’ensemble des intervenants. Par ailleurs, cela vous permettra de ne pas donner, à tous les salariés, accès à l’intégralité du système informatique.
Les procédures doivent être formalisées et mises à jour en fonction du contexte.
Par ailleurs, dans le cadre du RGPD, l’exploitation des données doit être justifiée et encadrée. Ne pas gérer la suppression des différents accès quand un collaborateur quitte l’entreprise c’est laisser un point d’accès au système d’information. Ce point d’accès peut engendrer une faille de sécurité importante et donc mettre l’entreprise dans une posture où elle ne respecte plus le RGPD et ne protège plus convenablement ses données.
RDV le 25 août pour le conseil n°7 :
Contrôler les accès internet de l’entreprise et WI-FI