Quand le RSSI se mêle des RH

Pour le moment, nous allons restreindre le sujet aux seuls agents de la DSI pour lesquels le RSSI a son mot à dire, concernant au moins trois phases : quand ils arrivent, quand ils y travaillent et quand ils en repartent.

L’arrivée d’un agent dans une DSI s’accompagne nécessairement d’ouverture de droits sur les systèmes : comptes à privilèges, accès à des consoles d’administration, etc. Dans ces deux exemples se pose la question du niveau technique de l’agent : s’il ne viendrait à l’idée de personne de confier un 32 tonnes à un type sans le permis poids lourds, manifestement, confier un compte admin sur une console sensible – au hasard la plateforme d’administration des VM – embarrasse beaucoup moins de monde. En plus, ne créer que des comptes avec des privilèges relativement bas (entre ceux de l’utilisateur lambda et ceux de Dieu le Père) permet d’appliquer le principe du moindre privilège, sans compter qu’on risque de s’apercevoir que ce sera suffisant pour l’agent dans sa vie de tous les jours. Tiens au fait, posez-vous la question de savoir pourquoi TOUS vos adminsys ont un compte admin de domaine : ils font des modifications dans la structure de l’AD tous les jours ? (Celle-là, elle pique, non ?)

Deuxième phase : le travail quotidien. OK, toutes les DSI sont en sous-effectif, ce qui n’empêche pourtant pas de tenir à jour une cartographie des compétences, surtout dans les équipes infra, histoire que si Cunégonde pose sa dem pour aller dans la boutique d’en face, on est sûr qu’Eustache pourra doublonner le temps de finaliser le recrutement de Brad.

Troisième phase : le départ. Dire que les organisations sont nullissimes là-dessus est, comment dire, en dessous du sous-sol de la réalité. Avec les produits d’IAM, on est à peu près certain que les comptes des agents qui quittent l’établissement sont supprimés ou verrouillés à J+1. Sauf qu’un adminsys possède deux comptes, deux identités dans le SI : celle en tant qu’agent, et celle en tant qu’adminsys. Et la seconde est rarement prise en compte par l’IAM, donc rarement « déprovisionnée ». Les informaticiens qui ne partent pas en bons termes, et qui profitent de leur accès VPN pour tout casser dans les sauvegardes, les VM, le stockage et j’en passe, ce n’est pas une légende, j’en ai vu plusieurs à titre personnel. Un processus formalisé de départ de ce type d’agents est donc essentiel à la sauvegarde des octets. Si une pareille mésaventure devait vous arriver, vous aurez beau jeu d’aller porter plainte (si tant est que le petit malin n’ait pas effacé ses traces), en plus des dégâts, votre assureur risque de vous demander ladite procédure : tout perdre, ce n’est pas cool, mais passer en plus pour des gros nuls, c’est encore moins cool.

J’ai deux nouvelles : une bonne et une très bonne. La bonne, c’est que rien de ce qui est décrit ci-dessus ne coûte un kopeck : ce n’est que de la procédure, que l’on trouve en prime sans difficulté avec DuckDuckGo. La très bonne, c’est que non seulement c’est facile à mesurer, mais qu’en plus votre commissaire aux comptes va vous regarder avec respect, tout comme votre assureur, vos auditeurs externes, etc. Bref, que du bonus gagné à peu de frais. Et comme en plus les indicateurs sont simplissimes à mettre au point, même dans des grosses DSI, c’est qui qui va pouvoir sortir le martinet très facilement sans aller chercher 3 000 documents ? Le RSSI !

On dit merci qui ?