Dans un organisme, vous êtes appelé.e.s à modifier des fichiers et des documents (textes, audio, vidéo, etc.) quotidiennement. Pour faciliter le travail collaboratif, il est très probable qu’une majeure partie de vos opérations soient basées sur des services infonuagiques ou sur des serveurs à l’interne.
Quels sont les trois niveaux d’accès?
Peu importe la structure employée dans votre organisme, il est nécessaire d’accorder les accès appropriés aux bonnes personnes. En cybersécurité, outre le non-accès, on répertorie trois niveaux d’accès. Ceux-ci sont :
- visualiser un document (read);
- commenter un document (comment);
- modifier un document (write).
Pourquoi définir les rôles?
Chaque personne travaillant avec votre organisme (tel que le personnel régulier, les stagiaires, les pigistes, les consultant.e.s externes, les artistes, les client.e.s…) a des besoins d’accès spécifiques afin d’accomplir ses tâches quotidiennes.
Il est généralement préférable de mettre sur pied une politique d’accès en fonction des différents rôles et postes. Les personnes peuvent donc aller et venir, mais chaque rôle viendra par défaut avec le même niveau d’accès à l’information. Avec cette logique, tout besoin particulier (par exemple, un.e stagiaire qui, pour accomplir une tâche, doit avoir accès à des rapports financiers) sera traité comme une exception. Vous garderez ainsi un meilleur contrôle sur les autorisations que possèdent les membres de votre équipe et réduirez par le fait même les risques d’incident de sécurité!
Soyons concrets : Simone, qui vient d’être engagée à l’administration, aura besoin d’avoir accès aux contrats des employé.e.s. Cependant, les stagiaires en communication s’occupant des médias sociaux ne devraient pas avoir les autorisations pour consulter ces documents.
Vous connaissez mieux que nous les rôles au sein de votre organisme et les informations auxquelles ils doivent avoir accès. Peut-être le faites-vous déjà instinctivement. Si c’est le cas, BRAVO! Il sera maintenant facile de formaliser ce protocole de manière à ce que chaque nouveau.elle membre de l’équipe ait, dès son arrivée, les accès associés à son rôle. Nous vous aidons à établir un protocole de gestion des accès dans la section Protocole d’accès.
Comment gérer le roulement de personnel?
Nous savons que le roulement au sein d’un organisme peut être important. C’est pour cela que toute bonne politique vient avec une section « révocation » et « mise à jour » des accès.
Quand un.e membre du personnel quitte, lorsque vous arrêtez de travailler avec un.e client.e ou un.e pigiste, les accès doivent impérativement être révoqués. Certains systèmes de groupe de privilèges peuvent vous faciliter la tâche à cet effet.
Dans tous les cas, avec un protocole bien établi, vous pouvez également le faire manuellement. Évidemment, c’est plus long et il faut être minutieux, mais vous arriverez aux mêmes résultats!
Certaines personnes peuvent également être promues ou changer de rôle dans l’entreprise. Lorsque cela arrive, il faut à la fois s’assurer que l’employé.e dispose des autorisations nécessaires à son nouveau mandat et que ses anciens accès – qui ne lui sont plus utiles – soient révoqués. Avec cela en tête, il est judicieux de réviser et de mettre à jour régulièrement (deux fois par année, par exemple) la liste des rôles et des autorisations.
Psst… les courriels d’entreprise aussi doivent être révoqués lors d’un départ. Ils sont une porte d’entrée souvent négligée. Nous vous en parlons plus en détail dans la partie Courriels.
Récapitulatif
- Définissez les rôles et les postes au sein de votre organisme;
- Identifiez les autorisations (visualiser, commenter, modifier) nécessaires aux tâches de chaque rôle et poste;
- Gardez des traces des exceptions accordées;
- Formalisez un protocole pour faciliter les transitions de personnel;
- Révoquez les accès lorsqu’une personne quitte l’organisme ou change de poste;
