Le responsable informatique s'en va - Que dois-je faire ?

S'il avait le contrôle de l'hébergement de votre entreprise,

• revérifier tous les chemins d'accès aux pages web
• faire valider tous les codes pour détecter d'éventuelles portes dérobées

Les faiblesses dans ce domaine peuvent avoir un impact sur la manière dont l'hébergement est effectué,

• Hébergement en cage avec contrôle administratif - au minimum, possibilité d'un site défiguré
• Hébergement local dans vos locaux - accès au réseau interne (à moins que vous ne disposiez d'une zone démilitarisée qui est également verrouillée)

Il n'y a pas si longtemps, mon entreprise a licencié un développeur dans une situation similaire. Il connaissait une grande partie du système et il était de la plus haute importance de s'assurer qu'il soit déconnecté à la seconde où il a été informé de son licenciement. Outre les conseils donnés ci-dessus, j'ai également utilisé Spectre Pro pour surveiller tout son travail pendant les deux semaines précédant son départ : activité du réseau (IO), fenêtres de chat, courriels, captures d'écran toutes les deux minutes, etc. C'était probablement exagéré et je n'ai jamais regardé tout cela parce qu'il est parti en bons termes. C'était probablement exagéré et je n'ai même pas regardé tout cela parce qu'il est parti en bons termes.

Les deux éléments clés à gérer immédiatement sont les suivants :

1. Accès physique - si vous disposez d'un système électronique, révoquez sa carte. Si vos serrures sont toutes physiques, veillez à ce que les clés qui lui ont été remises lui soient rendues ou, si vous craignez vraiment des méfaits, changez les serrures des zones critiques.

2. Accès à distance - s'assurer que le compte VPN/Citrix/autre compte d'accès à distance de cet administrateur est désactivé. Il est à espérer que vous n'autorisez pas les connexions à distance avec des comptes partagés ; si c'est le cas, changez les mots de passe de tous ces comptes. Veillez également à désactiver son compte AD/NIS/LDAP.

Il est toujours possible, par exemple, qu'il ait installé quelques modems dans les salles de serveurs, avec des câbles de console dans les dispositifs/serveurs clés du réseau. Une fois le verrouillage initial effectué, vous souhaiterez probablement que son remplaçant procède à un examen complet de l'infrastructure pour A) s'assurer que la documentation est à jour et B) mettre en évidence tout ce qui semble étrange.

Lors d'un précédent emploi dans une entreprise plus petite, l'administrateur système licencié connaissait un grand nombre de mots de passe d'autres employés. Le matin de son départ, nous avons défini la propriété "l'utilisateur doit changer de mot de passe" sur tous les comptes Active Directory ayant un accès à distance.

Cela n'est pas toujours possible, mais peut s'avérer prudent en fonction de la situation.

Je recommanderais les procédures suivantes :

• désactiver toutes les cartes d'accès à la sécurité des bâtiments
• désactiver tous les comptes connus (en particulier les comptes VPN et les comptes qui pourraient être utilisés depuis l'extérieur de l'entreprise)
• désactiver les comptes inconnus ( !)
• changer tous les mots de passe des administrateurs
• revoir les règles du pare-feu

Cela devrait couvrir la plupart des options d'accès possibles. Passez en revue toutes les informations relatives à la sécurité au cours des semaines suivantes, afin de vous assurer qu'aucune option n'a été laissée "en suspens".