Le responsable informatique peut partir et il est possible que la séparation ne soit pas tout à fait civilisée. Je ne m'attends pas vraiment à une quelconque malveillance, mais juste au cas où, que dois-je vérifier, modifier ou verrouiller ?
Exemples :
Modifier tous les mots de passe des administrateurs (serveurs, routeurs, commutateurs, accès à distance, pare-feu). Supprimez toutes les règles du pare-feu relatives à l'accès à distance pour le responsable informatique. Si vous utilisez des jetons de sécurité, dissociez le(s) jeton(s) du responsable informatique de tous les accès. Supprimer l'accès TACACS (si vous l'utilisez).
Veillez à effectuer ces changements en présence du responsable informatique, dans une salle de conférence ou sous contrôle physique, afin qu'il ne puisse pas observer le processus. Bien que la lecture d'un mot de passe pendant qu'il est tapé sur un clavier ne soit pas triviale (pas difficile, mais pas triviale), si cette opération doit être répétée, le risque que le mot de passe soit glané est plus élevé.
Si possible, changez les serrures. Si les clés peuvent être reproduites (ce qui est généralement le cas), cela empêchera le responsable informatique d'obtenir un accès physique par la suite. Désactivez toutes les cartes d'accès dont vous ne pouvez pas rendre compte (pas seulement les cartes dont vous savez qu'elles ont été délivrées au responsable informatique).
Si vous avez plusieurs lignes téléphoniques entrantes, vérifiez TOUTES ces lignes pour vous assurer qu'aucun appareil inconnu n'y est connecté.
Vérifier les règles du pare-feu
Modifiez le mot de passe de l'administrateur et vérifiez si des comptes ne sont plus utilisés.
Révoquer ses certificats
Sauvegarder son poste de travail et le formater.
Utilisez des contrôles de somme de contrôle pour les fichiers importants sur vos serveurs et placez un IDS sur un port de votre rack pendant un certain temps.
Juste mes 2cts.
Cela dépend de votre degré de paranoïa. Certaines personnes vont jusqu'à remplacer toutes les clés et les serrures si la situation est suffisamment grave. Une autre raison d'être gentil avec les administrateurs système ;)
Tous les conseils mentionnés ci-dessus sont bons - un autre conseil est même de demander à tous les utilisateurs de changer leurs mots de passe (et si Windows) d'appliquer la politique des mots de passe complexes.
De plus, si vous avez déjà fait de l'assistance à distance ou mis en place un bureau ou un client à distance (c'est-à-dire sur un autre site), demandez-leur de changer leurs mots de passe également.
N'oubliez pas de supprimer tous les comptes de type extranet qu'il pourrait avoir au nom de votre entreprise. Ces comptes sont souvent négligés et sont souvent la cause de beaucoup de chagrin post-mortem.
Il se peut que vous souhaitiez également informer les représentants des différents fournisseurs avec lesquels vous travaillez, au cas où il aurait essayé de contacter quelqu'un de ces fournisseurs.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
