Accueil > Informatique, outils logiciels > Les applications de l’EN > Administrez les droits d’accès dans GFC

Administrez les droits d’accès dans GFC

mardi 14 juillet 2020, par L’intendant zonard

Presque nulle part les droits d’accès aux fonctionnalités de l’application comptable ne sont administrés. C’est pourtant une évidente nécessité de sécurité, rappelée avec amertume à toutes les occasions par les auditeurs de la DGFiP, notamment.

Pourquoi faut-il administrer les droits de GFC ?

Parce que ce que l’on fait dans ce logiciel n’est pas anodin, et que aucun collègue ne souhaite qu’une mauvaise manip ne sème le souk dans son travail, encore moins qu’un collègue indélicat ne détourne des fonds en passant des opérations illégales.

C’est essentiel dans le cas d’une agence comptable : on nous serine depuis bien longtemps qu’il ne faut pas laisser à la même personne la responsabilité de la budgétaire de l’établissement-support et la comptabilité générale correspondante (ce qui n’interdit nullement de lui confier toutes autres les comptas génés si l’on veut).

Mais même en restant dans le pur registre de la gestion, il est très utile et efficace de laisser l’accès à GFC à un DDFPT ou à un chef d’équipe mobile, par exemple. Mais pas question qu’ils puissent faire n’importe quoi ! Et quand bien même vous seriez dans un petit établissement avec deux PC et deux personnes seulement connectées à GFC, c’est toujours plus prudent, plus sérieux.

NB dans l’article, je prends des exemples sur une agence comptable, parce que c’est plus compliqué, mais qui peut le plus peut le moins.

Comment procéder ?

Dans le module Administration de GFC, commencez par aller dans la gestion des utilisateurs, en cliquant sur l’icône avec un bonhomme de profil. Vous devriez tomber sur un écran ressemblant à ceci :

Administration des utilisateurs GFC : premier contact

Comme cette capture le montre, vous êtes là dans l’onglet (visible en bas de l’écran, c’est idiot oui jeû sais) de l’agent comptable, profil prédéfini. Et cet agent comptable a, pour tous les établissements de cette agence, les droits... de l’agent comptable. Jusque là tout va bien.

Mais comment faire pour limiter ces droits pour d’autres que lui ? Vous allez devoir faire se rencontrer un utilisateur et un profil pour chaque établissement qui le concerne.

Créer un utilisateur

Cela se fait dans les onglets en bas de l’écran par un clic droit, ou bien dans le menu Utilisateurs et profils en haut. Commencez par créer un nouvel utilisateur, et dans la logique que vous propose, désignez-le par son nom.

Nouvel utilisateur "PTINOUVEAU" créé
Après avoir demandé la création d’un nouvel utilisateur, et lui avoir attribué son nom, ici PTINOUVEAU

J’ai donc créé mon nouveau collaborateur, M. Ptinouveau. A ce stade, dans la fenêtre de droite, il n’a aucun droit sur rien, et à gauche on voit les différents UAI d’établissements existant dans l’agence comptable, pour lesquels on va éventuellement décider de l’autoriser à travailler.

Maintenant gérons les profils

J’ai capturé l’image en ayant déroulé, au centre de l’écran, la liste des Profils. Vous en voyez un bon nombre : seuls trois existent par défaut : ORDONNATEUR, AGENT COMPTABLE et REGISSEUR.

Pour créer ou modifier un profil, contrairement aux utilisateurs, il n’y a plus qu’un seul moyen d’accès, c’est le clic droit sur le cartouche déroulant des profils. Or c’est là que ça se passe !

Créer et affiner un profil
On obtient cet écran uniquement par un clic droit sur la liste déroulante des profils.

Et je vous le montre avec un commencement de travail : dans l’onglet Comptabilité budgétaire (oui, c’est toujours en bas de l’écran), pour ce profil FonduDePouvoir, j’ai déjà autorisé la saisie des approvisionnements, et la consultation des paramètres.

Ce choix de Saisie ou Consultation définira directement quels menus et commandes apparaîtront dans le GFC que maniera M. Ptinouveau tous les jours. Pour vous permettre d’en mesurer les conséquences, voici les menus quand je me connecte à GFC avec ce nom-là ainsi défini, comme ayant le profil FonduDePouvoir sur un établissement en budgétaire, et en-dessous ce que peut voir le gestionnaire prédéfini, comme vous connaissez d’habitude :

Utilisateur ultra-limité
Cet utilisateur ne peut que saisir des approvisionnements, strictement rien d’autre.
Utilisateur "gestionnaire" prédéfini avec tous les droits
Ce que tout le monde connaît en tant que gestionnaire de plein exercice

Vous commencez à comprendre le concept ? En mode Saisie, l’utilisateur pourra travailler normalement. En mode Consultation, il pourra juste regarder, sans agir. Choisissez une ou plusieurs fonctionnalités (en cliquant tout en maintenant la touche CTRL enfoncée on gagne beaucoup de temps), sélectionnez Saisie ou Consultation, puis envoyez cela dans la fenêtre de droite par le bouton >. Le bouton >> envoie la totalité de la fenêtre de gauche vers la droite : par exemple vous pouvez sélectionner un certain nombre de fonctions que vous donnez en Saisie, puis balancez tout le reste en consultation d’un seul clic. Il est possible ensuite de retirer des fonctions par le bouton < de la même manière.

Attribuer un profil à un utilisateur pour un établissement

Maintenant vous allez choisir quel sera le rôle de votre collègue pour les différents bahuts que vous gérez. La manière de procéder est la même que ci-dessus, pour faire passer un établissement de gauche (inactif) à droite, en ayant indiqué dans quel profil. Dans la capture d’écran ci-dessous, j’ai carrément fait un grand mélange de n’importe quoi. Il y a deux établissements dans lesquels ce M. Ptinouveau ne peut que consulter (j’ai créé un profil "consultation" de pur voyeur passif), il y en a un auquel il ne pourra carrément jamais accéder, qui est resté dans le bloc de gauche.

Les différentes autorisations de M. Ptinouveau sur les différents bahuts de l’agence

Encore plus fort : les opérations particulières

En haut de la fenêtre de définition d’un profil, vous avez peut-être remarqué une case à cocher : Droit aux opérations particulières. Si cette case est cochée, l’utilisateur pourra faire des choses "transgressives" comme liquider en dépassement des crédits. Ca change tout ! Si vous ne donnez pas ce droit à votre collègue, vous savez qu’il ne pourra pas planter la compta en saisissant des trucs qui la mettront le ventre à l’air.

Hélas cette fonction est le point faible de tout ce que je décris ici, parce qu’elle est vraiment trop binaire : elle s’applique à l’ensemble des onglets (donc vous donnez l’autorisation pour l’ordonnancement et pour la compté géné si les deux fonctions sont accessibles), et l’on ne peut pas tolérer de dépasser un code activité, mais rendre le montant du service impératif.

Et les mots de passe ?

Chaque utilisateur se connecte avec le mot de passe "gfc" (le système n’interprète pas les majuscules/minuscules), puis est libre de changer son mot de passe. Si vous faites de la gestion des droits, il est impératif que chaque utilisateur mette un mdp personnalisé, que ses collègues ne doivent pas connaître ! Et le chef de service qui a tous les droits en tout premier lieu, naturellement.

En cas d’incident comme une perte de mot de passe, dans le module admin, par un clic droit sur l’onglet au nom de la personne, on peut demander une RAZ du mot de passe : il redevient alors "gfc". Il n’y a aucun moyen pour l’administrateur de GFC de connaître le mot de passe choisi par les différents utilisateurs, c’est caché.

En toute rigueur, pour sécuriser l’ensemble de la chaîne, vous devriez mettre un mot de passe non connu sur l’outil d’administration. Mais si vous le perdez, là c’est grave !

Faites preuve de tact en mettant cela en place

Que vous arriviez en poste ou soyez pris.e, après m’avoir lu, d’une crise de bonnes résolutions, ne négligez surtout pas l’impression que la gestion des droits fera sur vos collègues. En général c’est très mal pris. Mettez-les à l’aise en spécifiant bien que votre intérêt le plus évident, c’est qu’ils puissent bosser un maximum. Mais l’organigramme des responsabilités du service, avec des points de contrôle, doit être mis en cohérence avec ces autorisations techniques.

Dites bien à tous que s’ils sont gênés dans le travail, vous modifierez rapidement toute erreur dans le paramétrage, et que si l’organisation manque de souplesse, vous reviendrez rapidement dessus pour établir quelque chose de fonctionnel.

Pour des débutants c’est plus facile, et puis c’est un moyen génial de leur éviter de transpirer devant plein de menus et de boutons qu’ils ne comprennent pas : commencez petit, et, au fil de leur progression dans la maîtrise du travail, ouvrez-leur de nouveaux droits en même temps que vous leur apprenez à faire.

Un message, un commentaire ?

modération a priori

Ce forum est modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par les responsables.

Qui êtes-vous ?
Se connecter
Votre message

Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.