Bonjour à tous,
 
Je travaille dans une SSII qui a plusieurs clients.
Les différentes équipes sont amenées à travailler de manière éparse pour les différents clients et se pose un quotidien problème d'accès et de droits.
 
En gros, il y'a une ou deux VPN avec un identifiant nominatif (type nom.prenom), 2 ou 3 comptes applicatifs avec des droits différents (là aussi type : nom.prenom), et avec ça, on doit faire bosser plusieurs personnes... Des stagiaires, des mecs qui sont en sous-charge pendant une demi-journée, etc.
 
Au fur et à mesure du temps, on commence à sentir l'énervement monter. Untel se fait déconnecter par l'autre parce qu'ils utilisaient le même compte, un autre n'a plus de VPN disponible, etc.
 
Quand on remonte ces soucis aux différents responsables, les réponses sont toujours les mêmes : Ouiii mais c'est compliqué de faire des demandes d'accès... le client ne veut pas... c'est urgent et temporaire... blabla classique.
 
Je fais parti des "chanceux" qui ont un compte à leur nom. Le problème désormais, c'est que ce compte tourne partout pour dépanner les petits copains...
 
A l'heure de la RGPD et consort, ce fonctionnement est-il acceptable ? Je pose la question parce que pour le moment, j'ai une petite expérience insignifiante mais qui était :  
- Hey Nemo, t'as fait quoi le 5 Janvier 2017 ici ? Y'a ton identifiant qui apparaît..
- J'ai pas bossé pour ce client depuis 3 ans donc c'est quelqu'un d'autre...
 
Je me dis que le jour où y'aura vraiment une merde, ça va être compliqué de justifier mon nom et prénom sur un système sans que je sois réellement celui qui était derrière le clavier à ce moment.
 
Vous feriez quoi à ma place ?
 

Change tes mots de passe

Déjà d'une, un compte doit être nominatif!
De deux, ce compte est de ta responsabilité, pas de prêt de compte à tes copains comme tu dis. C'est assez Obvious...
De trois, si le client n'est pas en mesure de te fournir des identifiants pour que tu puisses bosser, et bien tu ne bosses pas. C'est leur problème.
 
Tu te poses la question si ce fonctionnement est acceptable. Je pense que tu connais déjà la réponse.

 
Mot de passe qui peut être re-changé par un autre compte derrière    
C'est en général ce qu'on fait lorsqu'untel a bloqué ou perdu son mot de passe, l'autre compte va le débloquer / ré-initialiser le mot de passe.
Quand c'est dans un esprit Coubertin, ça passe... mais donc techniquement c'est possible de se faire sauter son mot de passe    
 
 

 
Concernant le compte nominatif, là aussi on a parfois affaire à des fonctionnements particuliers. Typiquement le client qui donne un compte "DEV1, "DEV2" et tu te démerdes    
Pour tout le reste, oui on est bien d'accord, mais reste la volonté de dépanner le collègue quand il est en galère d'accès...
Oui je suis faible, et ça va être dur de faire marche arrière
 
Je cherche justement des infos précises et legit sur ce sujet (autre chose que des chartes informatiques spé à chaque boîte) qui me permettrait justement de dire stop.

c'est pas directement la RGPD (la RGPD c'est la protection des données perso), mais c'est une base:
https://www.cnil.fr/fr/securite-aut [...] ilisateurs

par contre, la ou RGPD est très clair, c'est que si il y a traitement de données personnelles, ça doit pouvoir être tracé de manière nominatif (qui a fait quoi quand).
donc dans ce cas, les comptes génériques sont proscrits.

donc chaque fois qu'un prestataire a un mouvement de personnel, il faut le répercuter dans son SI.
Wouaw !
ça en fait du monde.

Non à un moment il y a juste une logique derrière : si c'est le client qui s'occupe des accès:
- Soit il a une politique de création de compte nominatif -> dans ce cas la responsabilité du compte appartient à celui pour qui il a été crée.
 
- Soit il crée des comptes génériques et la la responsabilité n'incombe pas au presta car il n'y a pas de traçabilité possible. -> problème du client
 
Cela dit ce n'est que mon avis

 
Et bien oui, c'est indispensable si on veut que tout soit fait dans les régles
 
L'informatique a essayé de simplifier le vie des gens, mais les politiques et le législatif s'en sont mélés pour rendre le système aussi imbuvable que le code des impôts.

Chez ton client, il n'y a pas de RSSI ?  
 
Ton n+1 est au courant de cette faille ?  
 
Vous avez signé une charte informatique ?  
 
 
Pour l'instant tout se passe bien mais quand il y aura un crash, il y aura une "chasse à l'homme" pour savoir quelle(s) tête(s) coupée(s) ...  
Et si il n'y a pas d'écrits, entre un presta et un interne ...    

Sinon pour faire comprendre les choses, tu prends un identifiant utilisé par plusieurs personne. Tu fais une merde sur le système et tu accuses un autre collégue, voir mieux si c'est un des chefs qui est contre les identifiants nominatif.
 
Car dans le système, celui qui a fait une connerie ... ça sera avec le login du chef en question, il ira s'expliquer

Un identifiant et mot de passe ça ne se prête pas  
Même à ton meilleur ami de toujours
C’est comme une brosse à dent  
A bon entendeur

C'est clair qu'un compte, c'est personnel. Il permet de garantir l'identité de qui fait quoi et quand sur le SI. Si tu le passes à une autre personne et que ça tourne mal, tu ne pourras pas dire "c'était pas moi en fait", mais si tu peux prouver que physiquement, ça ne pouvait être toi car tu auras commis la faute de passer ton compte à une autre personne. Dans certains cas, ça peut être considéré comme une faute lourde
+1 pour la RGPD sur le fait qu'il faut tenir à jour un registre sur qui accède à quelles données persos, en particulier concernant les données persos sensibles.
 
Pour bien bosser, votre client doit vous en donner les moyens. Ca passe donc aussi par vous donner les comptes nominatifs qui vont bien.