Caveat : Ce qui suit ne concerne absolument aucune entreprise précise en particulier, mais des travers rencontrés par moi-même ou mes collègues parmi différents clients.

Le petit consultant migrant a enfin trouvé un siège, une prise électrique pour le portable, et s’est relié au réseau informatique par la précieuse prise RJ45. À ce stade, la récupération d’une adresse IP, par DHCP, ne posent aujourd’hui plus de problème (en général). Le paramétrage des imprimantes est une plaisanterie (enfin, si les pilotes sont accessibles...).

Enfin connecté, le consultant n’est pas au bout de ses peines : il doit à présent accéder à quatre outils capitaux : son mail professionnel, internet, les répertoires de documents de travail, les machines et serveurs.

  • Le mail professionnel, ie de sa SSII, n’est pas un dû.
    Le réseau de beaucoup de clients ne tolère pas d’accès vers l’extérieur autres que le web via un proxy : on oublie donc Outlook, Thunderbird et autre lecteur de courrier. Le consultant pourra se rabattre sur un webmail fourni par son entreprise (avec de la chance), ou faire rediriger son mail vers le compte mail interne fourni (imposé) par le client.
    Parfois les règles de sécurité interdisent la redirection des mails. Cela fait partie des règles qu’il faut respecter jusqu’à ce qu’elles deviennent un frein au travail facturable (argument suffisant dans une SSII à condition de ne pas faire de bêtises ; de bonnes relations avec les administrateurs sont conseillées).
  • Internet est devenu un outil absolument indispensable.
    D’abord parce que Google et les différents forums constituent à présent la première source d’informations techniques ; ensuite à cause de la paperasse interne à la SSII à disposition des migrants, à un clic de souris.
    Enfin parce que le consultant doit accéder à son webmail pour lire son courrier.

    Certaines entreprises paranoïaques ne tolèrent pas le moindre accès à internet. Dieu merci, elles sont de plus en plus rares. Par contre, le proxy obligatoire est généralisé. Il fait partie des données obligatoires à collecter lors de la connexion à un réseau d’entreprise. Le consultant connaît par cœur les options d’IE (il est obligé de l’utiliser parce que ses clients l’utilisent parce que tout le monde l’utilise) et Firefox (il préfère, en général) pour modifier ce proxy. Il existe des extensions, scripts, sharewares... pour jongler entre plusieurs proxys en un clic.
  • Les documents de travail (spécifications, normes, documents divers...) peuvent être disposés de deux manières :
    • sur un répertoire réseau local ou un portail, plus ou moins bien rangés, éventuellement protégés par un mot de passe supplémentaire qu’il faudra lui aussi acquérir ;
    • ou bien distribués de manière assez totalement anarchique dans des documents, serveurs, portails, bases, dépendant de chaque sous-service.

      Le jeu de la traque de la version de référence d’une spécification peut vite lasser. Surtout si elle est sur le disque dur (non sauvegardé, soit dit en passant) du portable d’un salarié du client en vacances au Kenya pour les trois semaines que durent la mission.
  • Même à l’ère du single sign on, les serveurs, bases de données, applicatifs divers... gèrent parfois eux-mêmes leurs accès - et nominativement.

    Dans un monde idéal, le consultant à peine arrivé se voit lister les accès à Oracle, SAP, etc. dont il a besoin ; et s’il manque quelque chose, un rapide message au service support puis une prompte approbation du responsable du domaine lui permet d’accéder dans le quart d’heure à ce qu’il lui faut.

    Dans la réalité, un appel au service support (externalisé, débordé, mis au courant de rien) ressemble à une bouteille à la mer, ou se transforme en obligation de remplir une paperasse assez indigeste qui donne le droit d’attendre une semaine avant de relancer. Le responsable ayant autorité pour dire que M. Consultant peut aller lire les données hautement confidentielles de l’ERP est introuvable, si même on le connaît. L’administrateur Unix qui crée les comptes est un BOFH. Il n’y a plus de licence libre pour donner accès à tel applicatif hermétiquement verrouillé par son éditeur. Il est hors de question de donner accès à la production à un extérieur, mais les problèmes ne se manifestent justement qu’en production (la base de recette, elle, a deux ans d’âge ; encore heureux si ce sont encore des données réelles de l’époque et non un mock up théorique du début du projet). Etc.

    J’ai vite pris le réflexe de chercher une ou deux personnes avec de la bouteille, ou connaissant nombre de leurs collègues dotés des sésames d’accès, et d’entretenir de bonnes relations avec elles.

Au-delà d’un certain seuil d’écœurement du jeune consultant désireux pourtant de respecter les règles mais tenu de travailler sans aucun accès officiel, on entre dans le jeu du trafic des mot de passe de bases Oracle (ceux de défaut de l’installation, jamais changés), de serveurs ouverts à tous les vents, de comptes oubliés de prestataires disparus depuis le siècle dernier, de proxys officieux ; tout ceci par fichiers Excel entiers, transmis de prestataire à prestataire, recensant des accès que le support même serait incapable de donner. (Le cas est certes extrême mais réel.)
Dans les cas où les consultants ont pris en main des pans entiers du service, toute une activité peut donc se dérouler à l’insu du client[1], et dans la plus pure tradition orale. Trois ans et deux générations de consultants plus tard, le système explose lors d’une crise de routine, et la vérité éclate : « On a toujours fait comme ça. » Et cette fois, on a cassé quelque chose.

Partie 1 : Angoisse existentielle
Partie 2 : Plein plein de chefs
Partie 3 : Le portable
Partie 4 : Le consultant-migrant
Partie 5 : Se battre pour bosser
Partie 6 : Les joies de l’accès ...
Partie 7 : Un expert, sisi !
Partie 8 : Imputer, oui, mais sur quoi ?

Notes

[1] La leçon à tirer est pour moi claire : toute sécurisation doit aller de pair avec une réactivité exemplaire des gens chargés de donner des accès. Car même intellectuellement convaincu du bien fondé d’accès limités et contrôlés, personne ne tolère longtemps un obstacle qui lui interdit de faire son travail - prestataire ou pas prestataire. Et une administration des droits défaillante se retrouve vite de fait contournée.