Reprise du message précédent :

 
 
Non, dans l'éduc nationale, c'était au-delà de ça, c'était vraiment malsain, c'était vraiment une grosse couche de mauvaise volonté.
 
Dans n'importe quelle boite, même s'ils ne le comprennent pas trop, les gens utilisent "l'outil informatique", pour bosser, et appellent à l'aide quand ils comprennent pas ce qu'il se passe. (même si pour des trucs super basiques dont on rigole ici). Ils comprennent pas tout ce qu'ils font dessus et en ont un peu peur dans l'absolu, mais ils considèrent quand même ça comme leur outil de travail et ne peuvent pas bosser sans.
Dans l'éduc nationale, les profs se sont vu imposer ces "machines", par "les gens d'en haut", pour remplacer les fidèles papier et crayon qui leur allaient bien. Ils ne considéraient pas ça comme un outil de travail, mais comme un machin inutile qu'on leur a imposé. Donc le moindre truc de travers était un prétexte pour pas faire sur l'ordi et retourner au papier.
Et je ne parle même pas de messages d'erreur ou quoi, la marge décalée sur word suffisait à tout lâcher et appeler "l'informatique". Et pas la peine d'essayer de les former et d'expliquer ce qu'est une marge. C'est "l'informatique, à vous de faire que ça marche comme il faut".

En même temps s'il n'y a pas un effort d'accompagnement (qui ne relève pas de l'informatique) vers ces nouveaux outils...
 
En COGIP t'as encore 95% des utilisateurs de traitement de texte qui ne connaissent pas le principe des styles

C'est peut être un cas particulier mais ma maman à moi, 40 ans de carrière dans l'administration en fac.  
Gestion d'un UFR et tout, a découvert l'informatique sur le tas avec des machines que même certains des plus vieux ici n'ont pas touché.  
 
Résultat, Elle a toujours vu l'informatique comme un aide et se débrouille plutôt pas trop mal.  
 
Bon avec l'âge et la retraite, elle régresse bien vite en mode "J'arrive pas à éditer le document" puis silence sur toutes les questions jusqu'à mon prochain passage à la maison mais dans l'ensemble je trouve que dans cette fac en tout cas, la tansition entre le crayon et le clavier a été plutôt bien faite.  
 
Pour avoir fait deux trois étés là bas, y avait pas trop de déchet à part quelques josianes

 
Ça s'applique à quasiment toute la population, non ?
 
 
Ah tiens ici, je viens de recevoir un ticket d'un utilisateur qui dit :

Sauf que la demande a été faite via l'application XXX, vu que c'est notre logiciel de gestion support .  

 
Oui !    
 

 
Ou alors il a utilisé le compte d'un collègue et à oublié de dire que ce n'était pas le collègue derrière l'écran ?   (oui j'essaie encore de me dire qu'ils ne sont pas tous aussi bêtes qu'il n'y parait   )

Nan nan, l'identifiant c'est son nom.
Quoi que, y'en a qui se trompent.
En plus c'est les mêmes identifiants que pour ouvrir sa session.
 
Moi : Tout est ok, peux-tu réessayer ? (je tente d'abord la méthode coué)
User : je n'arrive toujours pas à me connecter.. peux tu me donner de nouveaux identifiants?
Moi : Identifiants pour quelle application ? Ici ce sont les mêmes identifiants que pour ouvrir ta session.
User : je viens d'essayé mais cela me marche pas... (qui ne répond surtout pas à la question)
 
Ça m'étrange cette affaire  

C’est tout ce qu’il a trouvé pour ne pas bosser ?

Pfffff je viens de perdre une bonne dizaine de minutes pour rien....
Contexte : gestionnaire RH qui se connecte en rdp au serveur sur lequel est installé Sage paie.  
- Allo ? Au secours, ça marche pas ! (le classique.)
- euh....qu'est ce qui marche pas ?
- j'arrive pas à me connecter sur Sage !
- ah ben j'peux pas t'aider, on a pas la main sur Sage, je te rappelle.
- mais siiii, c'est sur le truc que tu m'as mis en place pour y accéder !
- ahhh la connexion vers le serveur ! ça te dis quoi ?
- "utilisateur ou mot de passe incorrect". J'te jure, je tape les bons !!
- c'est bien ton user du domaine que tu utilise, hein ?
- ouiiiii ! au secours !!
Forcément, je me connecte, je vérifie qu'il y ait pas de sessions fantômes, qu'elle soit toujours dans le bon groupe user, etc, etc....bref, y marche bien, ce serveur. Je vais chez elle.
- bon, montre moi.
- tu vois ? ça marche pas !!!!
*vérifie qu'on soit pas passer en qwerty, le truc con*
- mais tu es certaine de ton mot de passe ??
- ben oui !!!!! ça fait 2 ans que je me connecte comme ça !
- tu tape bien le même que celui pour démarrer ton PC ?
*blanc*
- euh....ah, tiens, ça marche......
- t'as besoin de vacances, je pense.
 
et dire que je n'aurais pas perdu autant de temps si au lieu de lui demander "tu utilise bien ton compte de domaine ?" je lui avais demandé "tu tape bien le même mot de passe que pour démarrer ton PC ?" Parfois, j'oublie qu'il faut choisir ses mots....

Ca veut surtout dire qu'elle glande pas grand chose avec Sage vu qu'elle sait même plus comment s'y connecter
 
Mais inon oui, c'est un classique.

"le mot de passe du matin"

pas de mot de passe du matin moi
 - le PC reste allumé 24/24 ( pas bien !)
 - j'ai pas de verrouillage de session ( pas bien bis ! ), j'éteins juste les écrans pour me donner bonne conscience

 
J'utilise toujours la deuxième formulation avec mes users en effet  

 
Selon où tu bosses, ça peut être très, très, très mal perçu... Perso, même pour aller voir un collègue au bout du couloir, win+L.

Dans mon ancien travail, quand quelqu'un oubliait de verrouiller sa session, on envoyait un courriel à toute l'équipe depuis son poste pour dire qu'il offrait des croissants le lendemain matin

 
bah dans la plupart des boulots où j'ai été, tu lachais ton écran des yeux, tu payais tes croissants le lendemain matin

 
Ben déjà il accès à l'option, donc soit il est dans une boite ou les gens s'en foutent, soit il est dans une O.U moins limité et son comportement est probablement une brèche de sécurité qui pourrais le faire viré.

Idem chez nous... et celui qui oublie, c'est croissants le lendemain pour toute l'équipe!

EDIT: j'aurais du rafraîchir!

Un instant j'ai cru qu'on bossait dans la même équipe    
Par contre, quand ça tombe sur un grand chef, c'est généralement très mal perçu, alors que c'est encore plus grave que pour un admin  

Nous on ajoute le papier peint custom et l'inversion des clics de souris si on a le temps.
Mais les croissants ça c'est très régulier ces derniers temps

Politique d'expiration des mots de passe à revoir.

en général je verrouille oui, mais c'est pas automatique je veux dire, il faut bien faire win-l explicitement ( pas de verrouillage automatique au bout d'un délai ).

sinon aucun risque que quelqu'un touche mon ordi pour faire une "farce", c'est ça qui serait mal vu

 
Oui mais il a pas le temps lui, de penser à ça, verrouiller sa session. Et puis ça devrait être automatique, avec ce que ça coûte cette informatique la

 
C'est sur, des mots de passes qui changement tous les mois, c'est mieux    
 
MonMotDePasse1, MonMotDePasse2, MonMotDePasse3    
 

Hfr, ou les gens connaissent mieux que toi tes conditions de travail.  

A mon ancien taf, on bossait sur la confiance : aucun verrouillage de session (j'ai donc pris l'habitude de ne pas verrouiller pendant 8 ans...).
A mon taf actuel, c'est comme les message précédents : au moindre pc non-verrouillé, un email part pour les croissants le lendemain... SAUF sur mon poste ! J'ai en effet annoncé dès le début que si quelqu'un y touchait en mon absence, le pc serait "malheureusement" en panne une heure après et que j'accuserais sûrement le petit farceur qui a envoyé le mail d'avoir fait d'autres actions malencontreuses ! Bref, je suis tranquille depuis deux ans.  

La sécurité c'est fait pour se protéger de la malveillance, pas de ses collègues qui veulent bouffer des petits pains tous les matins

Et encore en partant du principe qu'on fasse confiance à ses collègues de base.

Ne pas fermer sa session même pour aller au bout du couloir c'est comme laisser son journal intime, son téléphone, son compte en banque en libre accès, avec un gros panneaux "libre seevice" dessus.

Bref une session ça se verrouille. (Si en plus on est admin de quelque chose dans l'entreprise c'est même carrément criminelle)

 
Enfin un peu de bon sens

Ouf ! J"ai cru que ça venait de moi

Après si ça peut permettre d'avoir le petit déj...

 
Jusqu’au jour où un ancien collègue « licencié » parvient à déjouer la sécurité d’un bâtiment et se sert de ce poste pour tenter de se « venger » en effaçant certains répertoires réseaux depuis un poste non-verrouillé durant la pause de midi… C’est ta session qui sera à l’origine de la suppression.
C’est arrivé chez nous … Ben le collègue a qui appartenait le poste n’était pas très bien et croyait qu’il allait se faire virer pour négligence.  
Heureusement que l’individu a été pris sur le fait vu que ce n’était pas une flèche …. Et qu’on a pu immédiatement récupérer les données au niveau de l’IT.  
 
Il faut toujours verrouiller sa session même pour aller pisser …. C'est la base.  
(Quand quelqu’un « se fait remercier », il n’y pas grand monde qui est au courant les premiers jours, ce qui permet de rentrer facilement n’importe où avec un peu d’ingénierie sociale. Il y a toujours une bonne poire qui va se faire prendre surtout avec un ancien membre du personnel / visage "connu".
(J’ai oublié mon portefeuille avec mon badge dans mon bureau, je suis en retard pour la réunion avec trucmuche, etc. …)
 

 
Tout +1. Chez nous le timer d’auto verrouillage est a 15 minutes... en dessous c’est vraiment trop lourd. Par contre moi en tant qu’admin je vérouille dès que je bouge du bureau...

Sinon, il y a le verrouillage dynamique sous Windows 10.
Ca limite déjà vachement le budget "croissants"

 
   
 
Avec les jolis joujous qu'on a de nos jours, c'est très facile de piquer le mot de passe de quelqu'un ( même d'un admin ). Une petite caméra en train de taper le mot de passe et le tour est joué. Si on veut vraiment être malveillant, aucun souci pour le faire.
 
C'est un peu  comme les politiques de mot de passe : faut changer tous les 3 mois, mot de passe complexe, etc... si vous saviez le nombre de post it avec le mot de passe pour certains ... vla la sécurité.
 
 
 

 
c'est quoi ca ? on est pas encore passé à win10, on y passe dans quelques semaines ( ils veulent nous virer les droits admin local à la machine, on va gueuler )

 
Bah oui bien sûr.    
 

 
Mais tellement... J'ai évoqué ces politiques récemment en réunion de service, c'est dingue comme certains pensent encore que ça sert à quelque chose, puis j'ai demandé qui dans la salle avait un entier qu'il incrémente dans son mot de passe et plusieurs mains se sont levées : "voyez, même nous, en tant qu'IT, on trouve ça con". Mais bon, apparemment notre RSSI (qui n'était pas là) vient du moyen-âge, et c'est duurrrrrr.
 

 
Le pire étant quand t'as accès à des applications/serveurs sensibles sur ton poste.

 
Là où je bossais l'an dernier, on avait une pratique qui était pas si bête que ça : tu avais un compte admin local, mais il n'était valide qu'un mois. Si tu en avais besoin, t'avais qu'à demander et dans l'heure on te réactivait la session. C'était pas contraignant (à part pour le support  ) et ça évitait que plein de sessions admin soient actives tout le temps. Dur de mesurer l'apport en sécurité, mais bon. Après tu pouvais gruger et, vu que t'étais admin, supprimer l'expiration de la session, mais tout le monde jouait le jeu globalement.

Les utilisateurs n'ont pas a avoir les droits admin sur leur poste. Meme moi en tant qu'admin système je n'ai pas les droits admin sur mon poste. J'utilise ma session utilisateur classique et j'utilise mon compte admin au besoin quand je lance une application... Certes je tape beaucoup mes identifiants admin dans une semaine mais au moins je travaille dans les mêmes conditions que mes utilisateurs.

Sinon il y a le deverrouillage du poste de travail via le deverouillage du smartphone (et la synchro BT).
Avec un deverouillage facial sur le tel, c'est nettement plus sympa que de se taper le mdp à chaque fois !

Si tu fais genre du développement avec Visual Studio tu peux pas mettre à jour l'outil ou télécharger des extensions sans droit admin local.
Si t'es un ingénieur un peu moins con que la moyenne qui décide d'utiliser une distribution python pour faire des calculs, mais que tu ne sait pas exactement quels modules seront nécessaires, tu risque de perdre un temps fou à appeler l'IT à chaque installation de module complémentaire.
 

Alors l'IT devrait leur créer deux comptes AD. Un compte classique sans les droits admin locaux + un compte "admin" avec les droits admin locaux. Ils se servent du compte admin uniquement quand l'invit' le demande.

 
Comme n'importe quel autre logiciel.  
Le fait que ce soit un logiciel de dev ne change rien à la donne, il doit être géré de manière centralisé, avec une validation ou tout du moins une documentation des versions. C'est pas à l'utilisateur en bout de chaine de décider de ses versions