|
Cela fait maintenant deux ans que Jean-Philippe Woller a été nommé responsable informatique de la commune. Il est le point de contact de tous les employés pour toute question informatique mais aussi pour le SAGA, chargé de la maintenance de l'application Gesum. En réalité, il s'occupe déjà depuis plusieurs années des ordinateurs de la commune, mais c'est seulement depuis la rédaction de politique de sécurité qu'il a officiellement été affecté à cette tâche. Jean-Philippe a suivi les cours nécessaires et est chargé de l'administration du parc informatique de la commune. Il est le seul à avoir de vraies notions d'informatique.
Des mécanismes de contrôle d’accès aux ressources et services sont implantés pour limiter les accès des agents de la commune aux seules ressources dont ils ont besoin dans le cadre de leur mission. C’est Jean-Philippe Woller qui se charge d’attribuer, de modifier et de supprimer les accès aux ressources en fonction des tâches, du rôle et de la mission de l’agent.
Le premier risque en ce qui concerne l’attribution des accès, est d’attribuer plus d’accès que nécessaire (ceci afin d’éviter de refaire les mêmes actions, à la demande, en fonction des besoins supposés de chacun).
Le deuxième risque lié à la gestion des accès réside dans le fait que souvent, lors du départ ou de la mutation d’un agent, les droits d’accès dont il disposait précédemment restent actifs après son départ. Les risques sont moindres si l'agent est simplement muté dans un autres service. En effet, il pourra encore accéder à des ressources auxquelles il n’a plus à avoir accès de par sa mutation dans un autre service de la mairie, mais le véritable problème survient lorsque l’agent ne fait plus partie du personnel de la mairie. Si ces accès sont toujours actifs, il lui sera possible de continuer à accéder aux informations de la mairie tout en ne faisant plus partie du personnel.
La divulgation d’informations sensibles peut alors être largement facilitée et créér de nombreux problèmes à la mairie rien qu'en termes de réputation auprès de ses concitoyens.
Une collaboration active et afficace entre la Direction des Ressources Humaines et le responsable de la gestion des droits d’accès doit être instaurée afin d’attribuer, modifier et supprimer en toute sécurité et confidentialité les accès et privilèges des agents lors de leur arrivée, de leur mutation ou de leur départ des services de la mairie.
L’attribution des rôles au sein de la mairie se fonde sur le processus RBAC (Role-Based Access Control) : chaque utilisateur se voit doté d’un accès, non pas sur sa personne, via son identifiant réseau ou applicatif mais en fonction de son rôle au sein de la mairie.
L’attribution, modification ou suppression d’un rôle à un agent a pour effet automatique de modifier ses permissions d’accès aux ressources et applications. La gestion des accès par rôles ou profil d’utilisateur est un gage de sécurité, ainsi, deux utilisateurs de même rôle ont des accès identiques, l’audit des permissions logiques attribuées aux agents de la mairie est alors grandement facilité.
|
