Agendis 22 est une plateforme de gestion de plannings utilisée notamment par les services départementaux d’incendie et de secours. Elle traite des données sensibles liées aux gardes, aux disponibilités et aux informations personnelles des agents. Sécuriser les accès et les données sur cet outil suppose de comprendre ses mécanismes d’authentification, ses règles de traçabilité et les précautions à prendre lors d’une migration depuis un ancien système.
Authentification et matricule sur Agendis 22 : ce qui change par rapport à un mot de passe classique
La page de connexion d’Agendis 22 repose sur un matricule long à huit caractères. Un agent dont le matricule est 9999 doit saisir 00009999. Ce format réduit les erreurs d’identification et limite les tentatives d’accès par force brute sur des identifiants courts.
Lire également : Comment sécuriser votre entreprise ?
Deux modes de connexion coexistent : le référentiel interne Agendis et l’authentification Windows (Active Directory). Quand l’annuaire Active Directory du SDIS est relié à Agendis, l’utilisateur se connecte avec ses identifiants de session réseau. Ce couplage évite la multiplication des mots de passe et centralise la politique de complexité (longueur minimale, expiration, historique) au niveau de l’annuaire.
La procédure « Mot de passe oublié ou première connexion » renvoie vers un formulaire lié à l’annuaire Active Directory. Toute réinitialisation passe donc par le service informatique du SDIS, pas par un simple lien envoyé par courriel. Ce circuit empêche un tiers d’intercepter un jeton de réinitialisation dans une boîte mail compromise.
Lire également : Les solutions essentielles pour sécuriser les professionnels sur le terrain
Traçabilité des accès Agendis 22 et conformité CNIL
La délibération CNIL n°2025-045 du 12 mars 2025 renforce les exigences de traçabilité sur les systèmes qui manipulent des données à caractère personnel. Agendis 22 propose une journalisation des accès conforme à ces directives, avec une rétention étendue des logs destinée à faciliter les audits.
Concrètement, chaque connexion, modification de planning ou export de données génère une entrée horodatée dans le journal. L’administrateur peut consulter qui s’est connecté, à quelle heure, et quelle action a été réalisée. Ce niveau de détail dépasse ce que proposent la plupart des outils grand public de gestion d’agenda.
Ce que les logs permettent de détecter
- Un compte inactif depuis plusieurs mois qui se reconnecte soudainement, signe possible d’un accès non autorisé après le départ d’un agent.
- Des exports massifs de données réalisés en dehors des heures habituelles de service.
- Des tentatives de connexion répétées avec un matricule valide mais un mot de passe erroné, indicateur d’une attaque par dictionnaire.
Sans politique de revue régulière de ces journaux, la traçabilité reste un dispositif passif. L’administrateur doit planifier une relecture au moins mensuelle pour que le mécanisme serve réellement la sécurité.
Migration depuis un système non-HDS vers Agendis 22 : les risques ignorés
La plupart des guides d’accès à Agendis 22 décrivent la création de compte et la synchronisation. Aucun ne traite le scénario d’une migration depuis un ancien système dépourvu de certification HDS (Hébergeur de Données de Santé). Ce cas concerne pourtant des structures qui passent d’un tableur partagé ou d’un logiciel local à une plateforme hébergée.
Cartographie des données avant transfert
Avant toute migration, il faut identifier la nature exacte des données stockées dans l’ancien système. Un planning de gardes peut sembler anodin, mais dès qu’il contient des informations médicales (aptitude, restrictions de poste), il entre dans le périmètre des données de santé au sens du référentiel HDS mis à jour sur esante.gouv.fr.
Si l’ancien système ne chiffrait pas ces données au repos, leur transfert brut vers Agendis 22 crée une fenêtre de vulnérabilité pendant la phase de transit. Le fichier exporté (CSV, XML) circule en clair entre deux environnements dont l’un n’offre aucune garantie de sécurité.
Protocole de migration sécurisé
Trois précautions réduisent ce risque de manière significative :
- Chiffrer le fichier d’export avec un algorithme reconnu (AES-256 par exemple) avant de le transférer, et transmettre la clé de déchiffrement par un canal séparé.
- Supprimer définitivement les données du système source après validation de l’import dans Agendis 22, en vérifiant que les sauvegardes locales sont aussi purgées.
- Documenter l’opération dans un registre de traitement conforme au RGPD, en précisant la date, le volume de données transférées et les mesures de protection appliquées.
Sans cette documentation, un contrôle CNIL ultérieur ne pourra pas vérifier que la migration a respecté les obligations de sécurité. L’absence de traçabilité sur la migration est un angle mort réglementaire que beaucoup de structures négligent.
Gestion des droits utilisateur et segmentation des accès sur Agendis 22
Agendis 22 permet de définir des profils d’accès distincts selon le rôle de chaque utilisateur. Un chef de centre n’a pas besoin de voir les plannings de toutes les casernes du département, et un agent n’a pas à modifier les gardes de ses collègues.
Le principe du moindre privilège s’applique : chaque compte ne dispose que des droits strictement nécessaires à sa mission. L’administrateur attribue les permissions par groupe (lecture seule, modification, export, administration) plutôt que par individu, ce qui simplifie la maintenance quand un agent change de poste.
Désactivation des comptes et cycle de vie des accès
Un compte actif sans utilisateur derrière reste la faille la plus fréquente dans les systèmes de planification. Quand un agent quitte le service, son matricule doit être désactivé le jour même. Tout délai entre le départ et la désactivation crée un risque d’accès non autorisé.
Agendis 22 propose une gestion centralisée des comptes. Couplée à l’annuaire Active Directory, la désactivation du compte réseau entraîne automatiquement la suspension de l’accès Agendis, à condition que le lien entre les deux systèmes soit correctement configuré. Si ce couplage n’est pas en place, la désactivation manuelle dans Agendis doit figurer dans la procédure de départ de chaque agent.
La sécurité des données sur Agendis 22 ne repose pas sur une fonctionnalité unique, mais sur l’articulation entre une authentification rigoureuse, une journalisation exploitée et une gestion disciplinée du cycle de vie des comptes. La migration depuis un ancien système reste le moment où ces dispositifs sont le plus fragiles, précisément parce qu’il faut les construire avant de les activer.
