Une fonctionnaire en congé sanctionnée pour avoir refusé de fournir son mot de passe

L’affaire ne manquera pas de soulever des questions en matière de gestion de la continuité de l’activité, mais aussi de gestion des identités et des accès.

C’est Acteurs publics qui révèle le dossier : « le tribunal administratif de Marseille a récemment rejeté le recours d’une fonctionnaire contre l’avertissement qui lui a été infligé pour avoir refusé de communiquer à ses supérieurs le mot de passe de son ordinateur professionnel, pendant qu’elle était en congé maladie », indiquent nos confrères.

Tout commence le 1^er août 2022, peut-on lire dans la décision du tribunal administratif : « la requérante était placée en congé pour maladie, la directrice du syndicat lui a demandé le code de démarrage de son ordinateur ». Ce qu’elle a refusé « en se prévalant de l’absence de charte informatique applicable et du contexte de travail au sein du syndicat ».

Surtout, « l’intéressée soutient que les données contenues dans son ordinateur sont partagées et accessibles sur les serveurs informatiques du syndicat ». Pour autant, « seul son poste de travail permet d’effectuer la mise à jour du logiciel “ASA périmètre” et d’accéder au logiciel “Vis Dgi” ».

Pour le tribunal, « le fait reproché de désobéissance hiérarchique est matériellement établi. Il est de nature à justifier la sanction disciplinaire de l’avertissement prononcée par le président du SMGAS le 17 octobre 2022 ».

Sur LinkedIn, l’information n’a pas manqué de faire réagir, notamment sur le terrain de la gestion de la continuité de l’activité : « quand on en vient à appeler un salarié pendant un arrêt maladie, cela en dit long sur les capacités d’organisation de la structure en question », commente ainsi un RSSI.

Le volet gestion des identités et des accès, et authentification à facteurs multiples, n’a pas été oublié : « pas sûr que l’employeur puisse changer la méthode de MFA comme ça vu qu’elle a pour vocation de valider l’identité, surtout si la MFA est configurée sur un appareil personnel », relève un responsable des opérations IT de la sécurité opérationnelle.

Ce qui apparaît d’autant plus pertinent dès lors que l’on tient compte des efforts de sensibilisation sur la sécurité des mots de passe : « ce n’est pas très logique de marteler dans les sensibilisations de ne jamais le donner pour le demander en urgence (exactement le scénario d’un social engineering bien ficelé) », relève un architecte cybersécurité.

Et deux autres d’avancer une suggestion : « changement du mot de passe avant [le] départ [du collaborateur] et de nouveau à son retour. Les logs des changements peuvent aussi servir de traçabilité ». Et ainsi d’identifier d’éventuelles tentatives d’usurpation d’identité.

Car en définitive, « il appartient à l’employeur de structurer l’organisation de manière à éviter toute dépendance individuelle ».

Reste néanmoins un arrêt de la cour de Cassation, chambre sociale, de mars 2003 : « si le salarié n’est pas tenu de poursuivre une collaboration avec l’employeur durant la suspension de l’exécution du contrat de travail provoquée par la maladie ou l’accident, l’obligation de loyauté subsiste durant cette période et le salarié n’est pas dispensé de communiquer à l’employeur, qui en fait la demande, les informations qui sont détenues par lui et qui sont nécessaires à la poursuite de l’activité de l’entreprise »...