« Bonjour, quel est mon login ? » Cette semaine, je vais vous faire part de mon expérience de consultant, non pas en tant qu’expert en sécurité, mais plutôt en tant qu’observateur objectif des processus mis en place dans les différentes sociétés au sein desquelles je suis intervenu. Et surtout des différentes expériences de règles de nommage pour les comptes AD.
Bonjour, je suis le nouveau. Quel est mon login ?
C’est l’angoisse du nouvel utilisateur. Quel est mon sésame pour accéder à mon environnement de travail, à mes applications, à ma messagerie ?
J’ai déjà entendu la réponse comique « Bah on te l’a envoyé par mail ». Le coté incongru de cette réponse illustre bien la difficulté de mettre en place un processus qui intègre d’une manière fluide un nouveau collaborateur.
Il existe des solutions simples, notamment en mettant en place un « parcours nouveau collaborateur ». Avant de décrire ces solutions de bon sens, occupons-nous d’abord du début de l’histoire…
Au départ, il y eu un message du directeur de l’exploitation, indiquant qu’un nouveau collaborateur devait arriver le 1er Mars. Tout a été fait dans les règles définies par la DSI. La communication a été faite 15 jours avant la date annoncée.
Nous le verrons après, mais une petite erreur dans la liste saisie des personnes impliquées aura des conséquences, minimes, mais désagréables.
Tous les acteurs destinataires se sont donc mis au travail, des RH (historiquement dans la boucle dès le départ) à la DSI, et aux différents acteurs impliqués dans cette arrivée.
Les actions de la DSI
Une action essentielle est donc de lui créer un compte, et donc un login lui permettant d’accéder au système d’information, avec les droits adéquats.
« Qu’est ce qu’on lui met comme login ? » Demande l’administrateur AD à ses collègues. Question incongrue, alors que les règles sont simples : première lettre du prénom, puis point, puis nom de famille.
Pas tant que ça… Il s’appelle Jean-Pascal Cholet. Ah oui, effectivement, J.P.Cholet ? J-P.cholet ? JP.Cholet ? Question importante, d’autant que cela conditionne aussi son email.
Allez, c’est tranché, ce sera JP.Cholet. « Ah oui, mais pourquoi avions-nous donné le login A.M.Martin à Aude-Marie qui est arrivée le mois dernier ? » Eh bien là, nous avions un problème puisque le login était déjà pris par Anne-Marie Martin, et que Aude-Marie, notre nouvelle DRH a refusé catégoriquement AM.Martin2.
« Au fait, cela me fait penser : à qui est le login JD.Dlrf ? » « C’est un technicien Hotline. Il s’appelle Jean-Daniel De la Rochefoucault. Si on respectait les règles, son login était trop long. D’autant qu’il en a besoin tout le temps pour se connecter sur les différents serveurs ».
En tant que spectateur extérieur, je me faisais alors la réflexion que dans la plupart des sociétés le problème était le même, surtout lorsque, à la suite de fusions, de changements de stratégies, les règles changeaient en cours de route. « Nom.Prénom », puis « Prénom.nom », sans compter les modification suite à des mariages ou des divorces, etc.
Un login anonymisé ?
Le seul cas de figure où le problème ne se posait jamais, c’est lorsque le login était totalement décorrélé du nom de l’utilisateur.
Au départ je suis resté interdit lorsqu’on m’a communiqué, chez un client, mon login « K574558 ». Aucun rapport avec les tschmitt ou thierry.schmitt auxquels je m’étais habitué.
Après l’avoir tapé 3-4 fois, finalement ça rentre vite, sans problème.
C’est lors d’un comité de pilotage concernant la synchronisation des annuaires avec les mouvements utilisateurs, que ce choix stratégique pour l’entreprise a pris toute sa valeur.
Effectivement, lorsque les gens changent de nom au cours de leur vie, le login ne bouge pas. Plus de problèmes liés aux divorces, aux mariages, ou avec les noms composés. Du coup, nous n’avons plus ce souci de clef qui change en cours de route, ou de login qui semble incorrect. Ce qui nous simplifie considérablement tout travail de synchronisation.
Le responsable sécurité m’a aussi fait valoir que cela permettait de supprimer une faille de sécurité, puisque le login n’est pas prédictible : « Nous renforçons donc ainsi la sécurité d’une manière considérable ».
La personne assise au bout de la table, qui ne disait pas grand-chose, mais prenait beaucoup de notes a pris la parole. « Bonjour, je suis Laurent, missionné dans le cadre du RGPD pour les traitements informatiques. Je ne vous explique pas comment la décorrélation simplifie la mise en conformité. K574558, ce n’est pas Schmitt. Donc nous n’aurons pas à nettoyer toutes ses traces dans les multiples serveurs et applications auxquels il se connecte. Et je vous l’assure pour l’avoir fait dans d’autres sociétés, c’est un travail de titan, dont on est même pas sûr d’avoir géré l’exhaustivité. Une fois anonymisé dans l’AD, Schmitt ne sera plus visible nulle part ».
Où gérer et générer cette information ? Comment en garantir la pérennité et l’unicité ?
J’ai quelques expériences à vous communiquer. La clef est justement dans le parcours utilisateur.
Ah oui, mais au fait, et la petite erreur dans l’envoi du mail ? Je l’avais oubliée. La petite erreur dans l’envoi du mail concernait les moyens généraux. Mail envoyé à j.dupuis@thecompany.com.
Mais Jacques Dupuis, parti à la retraite depuis Février n’a jamais pris connaissance du mail. Notre nouveau collaborateur s’est donc retrouvé privé de cantine pendant quelques jours…
Thierry Schmitt, Directeur du Consulting chez Apsynet