Je partage une vidéo de cocadmin qui revient sur un évènement intéressant, au sujet du licenciement d'un développeur junior personne ayant touché au mauvais environnement de production (oups).

Cette façon de faire est malheureusement trop courante en entreprise : blâmer celui qui se trompe. Mais on se trompe de cible, l'origine du problème est une mauvaise gestion des droits. Un nouvel entrant n'a pas à avoir les droits partout, tout de suite... non seulement parce qu'il ne connaît pas encore l'infra, mais parce qu'il faut de toutes façons pas faire de profil super admin partout de la mort qui tue. C'est pas parce que vous êtes sysadmin que vous devez vous connecter sur votre machine avec un compte personnel admin du domaine...

Bref, on pourrait en parler des heures... sanctionner une erreur humaine doit se faire dans un cadre de responsabilité. On ne peut pas mettre dehors une personne parce qu'elle avait trop de droits. C'est la PSSI qui doit fixer ce cadre, comment on installe un serveur, comment on y accède, qui doit valider quelle action, etc.

Comme le dit Thomas la culture du blâme est contre-productive. Si la hiérarchie ne s'intéresse pas à ce que font les personnes dont elle est responsable il y a un souci. Je ne sais pas qu'un manager doit forcément avoir un bagage technique (et encore que, on pourrait, ça éviterait de voir d'ignobles aberrations de management).

Cette situation n'est pas si exceptionnelle que ça. Dans mon expérience j'ai déjà vu une société qui stockait tous les identifiants des serveurs de dév dans un wiki... en accès libre en lecture. Sauf qu'une fois connecté sur les serveurs de dev on atteignait les serveurs de production grâce à la clé SSH stockées localement (et sans mot de passe).

Quelques conseils

  • Faites une revue régulière (annuelle) des droits et profils d'accès
  • Créez et maintenez une PSSI (distinguez les utilisateurs des admins)
  • Nommez un RSSI si la taille de votre structure le nécessite
  • Faites des audits de sécurité (pentesting) par des boites dont c'est la spécialité au moins une fois tous les 3 ans
  • Tracez toutes les demandes d'accès avec un numéro de ticket (GLPI ou équivalent)

Auteur : Mr Xhark

Fondateur du blog et passionné par les nouvelles techno, suivez-moi sur twitter