Octime – connexion sécurisée : les bons réflexes à adopter

La connexion à Octime concentre des enjeux que la plupart des guides de prise en main passent sous silence : gestion du moindre privilège, durée de conservation des traces, séparation entre accès utilisateur et portail de support. Nous détaillons ici les réflexes techniques à mettre en place pour sécuriser chaque session sur ce logiciel de gestion des temps et protéger les données RH de l’entreprise.

Principe du moindre privilège appliqué à Octime

Un SIRH comme Octime centralise plannings, absences, soldes de congés et données de paie. Accorder un accès large à tous les profils revient à exposer l’ensemble de ces informations à des collaborateurs qui n’en ont pas l’usage.

A voir aussi : Tovaraf tovaraf : astuces pour trouver rapidement les bons services

La CNIL rappelle que les informations liées au contrôle des horaires et à l’accès aux locaux ne doivent être accessibles qu’aux personnes habilitées, en pratique les services RH et sécurité, et uniquement dans la limite de leurs missions. Nous recommandons de décliner ce principe directement dans le paramétrage des rôles Octime.

Segmenter les droits par profil métier

Trois niveaux suffisent dans la majorité des PME :

Lire également : Problème de connexion myPrimobox : les solutions simples à essayer avant le support

  • Le collaborateur consulte son planning individuel, ses soldes et soumet ses demandes d’absence, sans visibilité sur les données d’équipe.
  • Le manager valide les demandes de son périmètre, visualise le planning collectif de son service, mais n’accède ni aux bulletins de paie ni aux données disciplinaires.
  • L’administrateur RH paramètre les règles de GTA, exporte les données vers le logiciel de paie (Silae ou autre) et gère les habilitations.

Chaque montée en privilège doit faire l’objet d’une validation formelle. Un manager muté dans un autre service conserve trop souvent ses anciens droits : une revue trimestrielle des habilitations évite ce cumul silencieux.

Homme utilisant l'authentification à deux facteurs pour se connecter à Octime depuis son domicile

Authentification et connexion sécurisée à Octime

Le mot de passe reste le premier rempart. Sur une application mobile comme myOCTIME, le risque de connexion depuis un réseau Wi-Fi non maîtrisé est réel. Nous observons encore des déploiements où le mot de passe par défaut n’est jamais modifié après la première connexion.

Renforcer le mot de passe sans recourir à la biométrie

La CNIL recommande de privilégier les dispositifs non biométriques (badge, code, mot de passe) pour le contrôle des accès et des horaires, dès lors qu’ils suffisent à assurer un niveau de sécurité adéquat. Le recours à la biométrie (Face ID, Touch ID proposés par l’application mobile Octime) n’est admis qu’à titre subsidiaire et doit être justifié par un besoin spécifique.

Concrètement, un mot de passe robuste associé à une double authentification couvre la quasi-totalité des cas d’usage en entreprise. Si votre outil SIRH le permet, activez la vérification en deux étapes par notification push ou code temporaire.

Gérer les sessions et les déconnexions

Une session restée ouverte sur un poste partagé (accueil, atelier, salle de pause) donne accès aux données de planning et aux soldes du salarié précédent. Paramétrez un délai d’inactivité court, de l’ordre de quelques minutes, pour forcer la déconnexion automatique. Sur l’application mobile, vérifiez que le verrouillage de l’appareil entraîne bien la fermeture de la session Octime.

Traces de connexion et durées de conservation des données

Chaque connexion à Octime génère des logs : identifiant, horodatage, adresse IP, actions réalisées. Ces traces sont utiles pour détecter une tentative d’accès frauduleux ou résoudre un litige sur un pointage. Leur conservation pose un problème de conformité RGPD que beaucoup de services RH sous-estiment.

Les données de contrôle des horaires doivent être supprimées selon un calendrier défini, proportionné à la finalité du traitement. Conserver des logs de connexion pendant plusieurs années sans justification expose l’entreprise à un risque de sanction. Nous recommandons de formaliser une politique de purge dans le paramétrage de l’outil, ou via un export périodique vers un archivage à accès restreint.

Ce que la purge doit couvrir

Les journaux de connexion ne sont pas les seules données concernées. Les historiques de demandes d’absence refusées, les commentaires de validation managériale et les justificatifs médicaux numérisés entrent aussi dans le périmètre. Vérifiez que votre solution de GTA permet un paramétrage fin des durées de conservation par type de donnée.

Séparer l’accès utilisateur du portail de support Octime

Octime dispose d’un portail de support dédié, hébergé sur une plateforme distincte du produit (Jira Service Management). Ce choix architectural n’est pas anodin : il évite qu’un identifiant compromis sur l’outil de planning donne accès aux échanges de support, où transitent parfois des captures d’écran contenant des données sensibles.

Utilisez des identifiants différents pour le SIRH et pour le portail de support. Si votre organisation s’appuie sur un annuaire centralisé (Active Directory, LDAP), segmentez les groupes d’accès pour que la compromission d’un compte ne propage pas l’accès aux deux environnements.

Lorsqu’un incident est déclaré sur le portail, évitez d’y joindre des exports bruts contenant des données personnelles de salariés. Anonymisez les captures et limitez les pièces jointes au strict nécessaire pour le diagnostic.

Équipe informatique vérifiant la sécurité de la connexion Octime dans une salle des serveurs

Checklist de déploiement sécurisé pour les équipes RH

Avant de généraliser l’accès à Octime (version web ou application mobile), nous recommandons de valider ces points :

  • Les rôles et permissions sont documentés et alignés sur l’organigramme en vigueur. Chaque profil dispose du niveau d’accès minimal nécessaire à sa mission.
  • La politique de mots de passe impose une longueur minimale, interdit la réutilisation des anciens mots de passe et prévoit un renouvellement périodique.
  • Le délai de déconnexion automatique est configuré pour les postes partagés et l’application mobile.
  • Une procédure de revue des habilitations est planifiée, au minimum lors de chaque mobilité interne ou départ.
  • La durée de conservation des logs et des données de pointage est formalisée, conforme aux recommandations de la CNIL et intégrée au registre des traitements.

Un déploiement bâclé sur le volet sécurité génère de la dette technique que les équipes RH finissent par absorber manuellement. Mieux vaut investir quelques jours de paramétrage en amont que de gérer un incident de données personnelles en production. La connexion sécurisée à Octime ne repose pas sur l’outil seul, mais sur les règles que l’entreprise y applique.

L'actu en direct