La connexion quotidienne à Octime, logiciel RH de gestion des temps et des plannings, est un geste banal pour des milliers de salariés et managers. Ce geste répété expose pourtant le compte à des risques concrets : mot de passe réutilisé, session oubliée sur un poste partagé, connexion mobile sans verrouillage biométrique. Mesurer l’écart entre les pratiques courantes et les protections réellement disponibles sur Octime permet d’identifier les failles à corriger en priorité.
Niveaux de protection disponibles sur Octime : tableau comparatif
Octime et son application mobile myOCTIME proposent plusieurs couches de sécurité. Toutes ne sont pas activées par défaut, et leur efficacité varie selon le profil utilisateur.
Lire également : Pipedrive facilite votre gestion commerciale au quotidien
| Mécanisme de sécurité | Disponibilité | Activé par défaut | Profils concernés |
|---|---|---|---|
| Mot de passe classique | Octime Web et myOCTIME | Oui | Tous |
| Authentification biométrique (FaceID / TouchID) | Application myOCTIME | Non (opt-in) | Collaborateurs, managers |
| Authentification à deux facteurs (2FA) | Selon configuration SSO de l’entreprise | Non | Administrateurs, managers |
| Délai d’expiration de session | Octime Web | Oui (paramétrable) | Tous |
| Réinitialisation via portail Atlassian | Portail Support Octime | Oui | Tous |
Le point notable : la connexion biométrique sur myOCTIME reste désactivée tant que le salarié ne l’active pas. Une grande partie des utilisateurs se connecte donc uniquement avec un mot de passe, parfois identique à celui d’autres services.

A lire aussi : Des astuces efficaces pour organiser ses tâches au bureau au quotidien
Authentification biométrique myOCTIME : sécurité et contraintes RGPD
L’application myOCTIME propose FaceID et TouchID comme mode de connexion sur mobile. Ce mécanisme remplace la saisie du mot de passe par une vérification locale, stockée sur le terminal du salarié et non sur les serveurs Octime.
Activer cette fonctionnalité réduit le risque de vol d’identifiants. En revanche, l’entreprise qui encourage ou impose la connexion biométrique doit respecter un cadre réglementaire précis.
- Informer chaque salarié de l’utilisation de données biométriques, conformément au RGPD, avant toute activation sur le terminal professionnel ou personnel
- Vérifier que le recours à la biométrie est justifié et proportionné, ce qui suppose une analyse d’impact (AIPD) si l’activation concerne un grand nombre de collaborateurs
- Mettre à jour le registre des traitements de l’entreprise pour y intégrer ce mode de connexion, même si la donnée biométrique reste sur le téléphone
L’activation de FaceID ou TouchID sur myOCTIME relève de la responsabilité de l’employeur, pas du seul salarié. Un service RH qui déploie l’application mobile sans encadrer ce point s’expose à un défaut de conformité.
Mot de passe et 2FA sur le compte Octime : ce qui change la robustesse réelle
Le mot de passe reste le premier rempart pour la connexion à Octime. Sa solidité dépend de deux paramètres que l’administrateur RH peut configurer : la longueur minimale imposée et la fréquence de renouvellement.
Mot de passe seul : une protection limitée
Un mot de passe réutilisé sur plusieurs plateformes (messagerie, intranet, Octime) devient vulnérable dès qu’un seul de ces services subit une fuite de données. Le problème ne vient pas d’Octime, mais du comportement de l’utilisateur.
Demander aux salariés de choisir un mot de passe unique pour Octime ne suffit pas. Sans mécanisme de vérification supplémentaire, un mot de passe volé donne un accès direct aux données de planning, d’horaires et de compteurs du salarié concerné, voire à ceux de toute une équipe pour un manager.
Activer la 2FA via le SSO d’entreprise
L’authentification à deux facteurs sur Octime passe généralement par le fournisseur d’identité (SSO) de l’entreprise. Cela signifie que la 2FA n’est pas un bouton à cocher dans l’interface Octime, mais une configuration à activer côté annuaire d’entreprise (Azure AD, Okta ou équivalent).
Depuis 2024, la 2FA est devenue une pratique fortement recommandée pour les environnements SIRH. La priorité va aux comptes administrateurs et managers, qui accèdent aux données de l’ensemble de leurs équipes. Un administrateur sans 2FA représente un point d’entrée unique vers les informations horaires et les demandes de congés de dizaines, voire de centaines de collaborateurs.

Conservation des logs de connexion Octime : durée légale et bonnes pratiques
Chaque connexion au compte Octime génère des traces : date, heure, terminal utilisé. Ces logs servent à détecter les accès anormaux (connexion nocturne, terminal inconnu), mais leur conservation est encadrée.
Les données de temps de travail relèvent des articles L3171-1 à L3171-5 du Code du travail. La durée de conservation associée est de cinq ans. Les logs de connexion purs (qui s’est connecté, quand, depuis quel appareil) ne sont pas des données de temps de travail : leur conservation doit être plus courte et proportionnée à la finalité de sécurité.
Un administrateur Octime qui conserverait les logs de connexion pendant cinq ans au même titre que les pointages commettrait une erreur de qualification. Il faut distinguer le log de sécurité (quelques mois) du relevé d’heures (cinq ans).
Gestes quotidiens pour sécuriser sa connexion Octime
Les mécanismes techniques ne protègent rien si les habitudes de connexion restent négligentes. Trois actions concrètes réduisent la surface d’exposition sans alourdir le quotidien.
Fermer systématiquement la session Octime sur un poste partagé. Le délai d’expiration automatique existe, mais il laisse une fenêtre pendant laquelle un tiers peut consulter le planning ou valider une demande de congé à la place du titulaire.
Activer FaceID ou TouchID sur myOCTIME dès l’installation de l’application. Ce geste prend quelques secondes et supprime la saisie du mot de passe, donc le risque qu’un regard par-dessus l’épaule capte les identifiants.
Utiliser un mot de passe distinct pour Octime, différent de celui de la messagerie professionnelle. Si l’entreprise met à disposition un gestionnaire de mots de passe, l’utiliser pour générer et stocker un mot de passe aléatoire dédié au compte Octime.
La sécurisation d’un compte Octime au quotidien repose moins sur des fonctionnalités spectaculaires que sur l’activation effective des protections déjà disponibles. La plupart des failles proviennent de mécanismes existants mais non activés : biométrie laissée en option, 2FA non configurée côté SSO, logs conservés sans distinction de finalité. Vérifier ces trois points avec le service informatique de l’entreprise couvre l’essentiel du risque.

