Amélioration sécurité : changement de mots de passe

Ressources

Systèmes concernés	Méthode en septembre 2016	Méthode en octobre 2016	Trimestre 1 2017
CODA	passe par la DRH
Session de postes de travail autonome	géré par l'utilisateur
Session de postes de travail en réseau	géré par un tech (a-d-u ou auth.auf)		géré par l'utilisateur
Autres systèmes basés sur les comptes AUF	géré par un tech (auth.auf), ou géré par l'utilisateur (ID.AUF)	par l'utilisateur (ID.AUF)

Dates	Tâches	Responsable
semaine du 26 septembre	* préparer une communication pour l'ensemble du personnel	NM
	* informer les Techs de la coupure de de la synchro des mdp non sécurisés au 05 octobre 2016	NM
	* effectuer des développements sur ID.AUF (3 jours) en limitant à un compte de test	JCA
	* vérifier que les mdp non sécurisés ne sont pas synchronisées vers des SI hors de Montréal ; si c'est le cas prévoir de passer les systèmes concernés sur ID.AUF	MP
au 05 octobre 2016	* ne laisser que `courriel_export3` utilisable	JCA
au 05 octobre 2016	* étendre le changement de mdp à tous les comptes	JCA
trimestre 1 2017	* effectuer un développement sur ID.AUF pour permettre la récupération autonome des mdp (questions secrètes)	JCA
trimestre 1 2017	* rendre autonome les postes de travail en réseau	RTR
à moyen terme	* basculer les SI basés sur `ref_auth` vers ID.AUF (ou LDAP en cas d'impossibilité d'implémenter ID.AUF)	MP

les développements à effectuer sur ID.AUF :
- à chaque changement de mdp, on met aussi à jour la base auth.auf (les 3 colonnes : MD5, crypt et crypt6) -- 1 journée de développement
- enregistrer aussi le nouveau mdp directement dans le LDAP pour réduire les délais de mise à jour -- 2 jours de développement
sur auth.auf : n’autoriser que la synchronisation des mots de passe sécurisés (crypt6)
- les synchros courriel_export et courriel_export2 seront coupées
à noter, qu'actuellement il y a:
- 10 min de délai avant que le changement de mdp ne soit appliqué dans les systèmes centraux non web
- solution pour réduire ce délai : enregistrer aussi le nouveau mdp dans le LDAP -- 2 jours supplémentaires de développement
- 1h pour les SOGo, sauf Paris et Montréal (au 10min)
- pas de solution connue pour réduire les délais
- 1 journée pour les régions
- solution : augmenter la fréquence des synchronisations (à faire localement)
- 1 journée pour les SI qui se basent sur ref_auth
- solution : remplacer ref_auth par ID.AUF
- en cas de perte de mot de passe (cas rare) seuls les admins ID.AUF pourront le réinitialiser
- solution : mettre en place un système de récupération de mdp basé sur des questions confidentielles (basées sur le SIRH) -- développement supplémentaire à évaluer

AméliorationSécuritéSeptembre2016 (dernière édition le 2016-09-30 17:23:38 par MoussaNombre)

-  ⇤ ← Version 3 à la date du 2016-09-27 14:08:19 → 
  Taille: 3327
  Éditeur: MoussaNombre
  Commentaire: Mise à jour
+   ← Version 4 à la date du 2016-09-27 14:28:15 → ⇥
  Taille: 3346
  Éditeur: MoussaNombre
  Commentaire: Mise à jour
-Texte supprimé.
+Texte ajouté.
 Ligne 8:
+ * MathieuPerson : adaptation des SI qui seront impactés
-Ligne 9:
+Ligne 10:
- * Pôle SI
 Ligne 24:
-||* vérifier que les mdp non sécurisés ne sont pas synchronisées vers des SI hors de Montréal  ; si c'est le cas prévoir de passer les systèmes concernés sur ID.AUF||PH||
+||* vérifier que les mdp non sécurisés ne sont pas synchronisées vers des SI hors de Montréal  ; si c'est le cas prévoir de passer les systèmes concernés sur ID.AUF||MP||
 Ligne 29:
-||'''à moyen terme'''||* basculer les SI basés sur `ref_auth` vers ID.AUF (ou LDAP en cas d'impossibilité d'implémenter ID.AUF)||Pôle SI||
+||'''à moyen terme'''||* basculer les SI basés sur `ref_auth` vers ID.AUF (ou LDAP en cas d'impossibilité d'implémenter ID.AUF)||MP||
 Ligne 31:
-PH == PatrickHétu
-Ligne 37:
+Ligne 36: