Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Gérer le départ des collaborateurs

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

Contrat

Le départ d’un collaborateur de l’entreprise n’est pas un événement aussi anodin qu’il n’y parait. Le salarié avait-il accès à des informations sensibles de l’entreprise ? Comment s’assurer qu’il ne part pas avec ? Ou bien qu’il a rendu tout son matériel informatique ? Que deviennent ses emails ? Et que faire des nouveaux qui ne manqueront pas d’arriver à son adresse ?

Mieux encore : est-il légal de placer un salarié sous surveillance si l’on suspecte qu’il va tenter de voler des informations avant son départ ?

Ce sont là quelques interrogations auxquelles nous avons tenté de répondre à l’occasion du dernier petit-déjeuner thématique de SecurityVibes.

Une chose est sûre : un bon départ, ça se prépare longtemps avant l’embauche ! C’est en substance l’enseignement que l’on a pur tirer de la présentation de Sébastien Truttet, responsable de Business Unit dans une SSI.

Au sein de son entreprise, Sébastien a d’abord mis en place une classification sommaire des documents : ils peuvent être publics, internes ou confidentiels client. C’est sur cette base que l’employeur peut ensuite déterminer les documents qu’un salarié n’aura pas le droit d’emporter avec lui lors de son départ. Une clause de restitution des documents, avec interdiction d’en conserver des copies, est alors incluse dans le contrat de travail (et celui-ci prévoit également une clause de non-concurrence rémunérée et limitée dans le temps).

Seconde précaution : la charte informatique procède à un rappel de ce qui constitue un piratage informatique (suppression ou modification intentionnelle des données), et indique que l’entreprise aura la possibilité de recourir à des mesures pratiques pour établir la faute du salarié (par exemple le fait d’envoyer des informations confidentielles par messagerie électronique).

L’objectif de ces mesures est de prévenir d’éventuelles tentations de partir à la concurrence avec des informations commerciales de valeur, ou encore de régler un différent avec l’entreprise par un sabotage informatique.

La SSII s’est également équipée, sous l’impulsion de Sébastien Truttet, d’un espace documentaire collaboratif. « Tous les documents, les livrables et autres données de nos projets sont centralisés dans un espace collaboratif. Une fois le projet terminé, les consultants qui y ont travaillé n’ont plus accès à cet espace. En outre, les documents sont versionnés et ne peuvent pas être effacés« , explique Sébastien Truttet. Cette approche permet, elle aussi, de réduire le risque qu’un consultant ne parte avec les données clients de l’ensemble de ses missions (à moins d’anticiper son départ le jour de son arrivée !), voire qu’il n’efface des documents par malveillance.

Ces mesures sont toutefois d’ordre préventives. Il reste toutefois à détecter le départ du collaborateur afin d’entrer dans la phase active de la procédure. Et c’est ici le point le plus délicat de l’opération.

Au sein de la petite structure de Sébastien Truttet, la notification du départ est manuelle : elle est inclue dans la check-list du service des Ressources Humaines. Mais elle peut aussi être partiellement automatisée. « Nous avons lié l’annuaire à notre logiciel de paie, avec une réconciliation quotidienne. Ainsi lorsqu’un collaborateur quitte l’entreprise, il n’est évidemment plus payé. Dès le lendemain l’annuaire est alors mis à jour et tous ses accès sont coupés. C’est efficace, mais seulement pour les collaborateurs payés directement par l’entreprise« , détaille l’un des participants.

Pour un autre membre de SecurityVibes, c’est le workflow d’habilitations chargé de prendre en charge les arrivées qui permet aussi de détecter les départs. » Notre workflow est obligatoire à l’entrée afin d’obtenir les accès réseaux. Il est alimenté par un réseau de correspondants d’habilitations au sein des métiers. Pour les départs, nous opérons un rapprochement régulier avec la base RH et la paie. Les anomalies sont envoyées aux responsables habilitations concernés« , explique un autre autre participant.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

2 réponses à Gérer le départ des collaborateurs

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.