Toegang tot IntraParis vanaf een werkplek buiten het gemeentelijke netwerk blijft het meest voorkomende pijnpunt voor de medewerkers van de Stad Parijs. Tussen het Nomades-portaal, de multi-factor authenticatie en de beperkingen van de IT-charter vereist de externe verbinding een nauwkeurige configuratie die de meeste handleidingen oppervlakkig behandelen.
Multi-factor authenticatie en Nomades-portaal: de beveiligingslaag om te beheersen
Sinds 2023 voert de Stad Parijs geleidelijk de verplichte multi-factor authenticatie (MFA) in voor externe toegang via Nomades en IntraParis. De zogenaamde “privilege”-accounts (DSI, financiën, gevoelige HR) waren de eersten die betroffen waren, in het kader van het Plan voor de beveiliging van informatiesystemen dat op 30 januari 2023 in de Commissie van de Stad werd gepresenteerd.
Lees ook : Hoe de effectiviteit van uw elektronische communicatie in de academische wereld te verbeteren?
Concreet voegt de MFA een stap toe na het invoeren van de gebruikelijke inloggegevens. De medewerker ontvangt een tijdelijke code op een geregistreerd apparaat, of valideert de verbinding via een specifieke applicatie. Zonder deze validatie is de toegang tot het portaal geblokkeerd, zelfs met een correct gebruikersnaam/wachtwoord paar.
We raden aan om het validatieapparaat te registreren zodra de toegang tot Nomades is ontvangen, zonder te wachten op de eerste externe verbinding. Een medewerker die de MFA-procedure ontdekt tijdens telewerken, zonder toegang tot het interne netwerk om de registratie te voltooien, komt vast te zitten zonder onmiddellijke oplossing.
Aanrader : Hoe te genieten van films en series online zonder een account aan te maken?
Om toegang te krijgen tot mijn agentaccount Intraparis Stad Parijs in een mobiele situatie, is de doorgang via het Nomades-portaal de enige toegestane weg. Elke poging tot omzeiling via een derde VPN of een niet-geregistreerde browser leidt tot een sessieblokkering.
Beperkingen van de IT-charter: wat medewerkers niet mogen doen
De charter voor het gebruik van de IT- en digitale middelen van de Stad Parijs, bijgewerkt en gepubliceerd op Paris.fr op 9 november 2022, stelt expliciete verboden vast die veel medewerkers onderschatten. Het gebruik van persoonlijke e-mailboxen (Gmail, persoonlijke Outlook) en publieke opslagdiensten (Dropbox, Google Drive) is verboden voor het overdragen of opslaan van documenten afkomstig van IntraParis of Nomades.
Deze beperking past binnen de afstemming van de Stad Parijs op de nationale doctrine “Cloud in het centrum” en de verplichtingen op het gebied van cyberbeveiliging die worden gedragen door het Cybermalveillance.gouv.fr-systeem. Het doel is om elke uitlekkage van HR-gegevens, salaris of administratieve beheersinformatie naar niet-soevereine servers te voorkomen.
In de praktijk overtreedt een medewerker die een loonstrook naar zijn Gmail-adres stuurt om deze thuis af te drukken de charter. Disciplinair sancties blijven zeldzaam, maar de traceerbaarheid van de uitgaande stromen stelt de DSIN in staat om deze overdrachten te identificeren.
De reflexen om aan de regels te voldoen
- Documenten van HR rechtstreeks vanaf IntraParis downloaden op de professionele werkplek of via Nomades, nooit op een niet-geregistreerd persoonlijk apparaat
- Exclusief de professionele e-mail @paris.fr gebruiken voor elke uitwisseling die documenten van het portaal bevat
- Nooit zijn IntraParis-inloggegevens opslaan in een persoonlijke wachtwoordmanager of in de browser van een gedeelde computer
Bewustwording van cyberbeveiliging en afname van verbindingsincidenten
Een intern rapport over telewerken dat de periode 2021-2023 bestrijkt, gepresenteerd aan de sociale bestuurscommissies begin 2024, meldt een markante afname van de beveiligingsincidenten gerelateerd aan toegang tot IntraParis sinds de generalisatie van de verplichte bewustwordingssessies. Deze sessies zijn in de eerste plaats gericht op nieuwe medewerkers en directe managers.
Phishing blijft de belangrijkste bedreiging. Campagnes van valse e-mails die de IntraParis inlogpagina imiteren, hebben geleid tot compromitteringen van wachtwoorden vóór de implementatie van de MFA. Met de dubbele authenticatie en systematische training is het aantal gecompromitteerde accounts aanzienlijk afgenomen.
We observeren dat getrainde medewerkers sneller phishingpogingen identificeren. Een legitieme e-mail van IntraParis komt altijd van een @paris.fr-domein en vraagt nooit om opnieuw in te loggen via een externe link.
IntraParis-verbinding in mobiliteit: configuratie van de werkplek en compatibele browsers
Het Nomades-portaal werkt uitsluitend op de door de DSIN goedgekeurde browsers. Het gebruik van een verouderde of niet-ondersteunde browser veroorzaakt certificaatfouten die de authenticatie blokkeren voordat de inloggegevens zelfs maar zijn ingevoerd.
Op een professionele werkplek die door de DSIN is geconfigureerd, is het beveiligingscertificaat vooraf geïnstalleerd. Op een toegestaan persoonlijk apparaat (in het kader van telewerken) moet de medewerker de procedure voor het installeren van het rootcertificaat van de Stad Parijs volgen, beschikbaar op het Nomades-portaal zelf bij de eerste verbinding.
Controlepunten vóór een eerste externe verbinding
- Controleren of de browser up-to-date is (versies ouder dan meer dan twee belangrijke updates worden vaak afgewezen)
- Zorg ervoor dat het MFA-validatieapparaat is opgeladen en toegankelijk is voordat de verbindingsprocedure wordt gestart
- Alle proxy’s of derde VPN’s uitschakelen die de beveiligde tunnel van Nomades kunnen verstoren
- Controleren of de klok van de werkplek is gesynchroniseerd, want een tijdsverschil van enkele minuten is voldoende om de MFA-codes ongeldig te maken
E-mail en HR-diensten beschikbaar via Nomades
Eenmaal verbonden heeft de medewerker toegang tot de professionele e-mail, HR-beheer diensten (verlofaanvragen, loonstroken, attesten) en interne samenwerkingshulpmiddelen. De IntraParis-e-mail blijft het officiële kanaal voor alle communicatie met betrekking tot het administratieve beheer van de medewerker.
Het portaal bundelt ook de institutionele informatie, dienstnotities en aanvraagformulieren die voorheen een fysieke verplaatsing naar de afdelingen vereisten.
De initiële configuratie van het agentaccount, inclusief de MFA-registratie en de installatie van het certificaat, duurt doorgaans minder dan een half uur op een goed voorbereide werkplek. Een medewerker die na deze controles aanhoudende blokkades ondervindt, moet de DSIN-ondersteuning contacteren via de interne e-mail, met vermelding van de exacte foutmelding die door het Nomades-portaal wordt weergegeven.