SÉCURITÉ DE L’INFORMATION – Le congédiement d’un employé doit s’accompagner de mesures de sécurité. Celles-ci deviennent particulièrement nécessaires lorsque la situation est potentiellement explosive. À plus long terme, cependant, une entreprise gagnera à faire appel à la sensibilisation des employés plutôt qu’à la coercition.
Les départs d’employés sont des épisodes inévitables au sein d’une organisation. Sur le plan de la sécurité de l’information, ils doivent être encadrés par des mesures strictes. Trop peu d’entreprises se soucient de cet aspect de leur gestion. Pourtant, un employé frustré et revanchard peut causer des torts importants à une entreprise. Comme pour les questions relatives à la sécurité en général, la prévention en cette matière est plus rentable que la réaction.
Les responsabilités des personnes chargées de mener à bien le processus de cessation d’emploi doivent être clairement définies. Il est important de prévoir des règles de sécurité continues, même après le départ de l’employé. Bien sûr, les chances sont plus grandes que le processus se déroule en douceur lorsque la séparation entre employeur et employé se fait à l’amiable ou dans un climat serein.
Mesures de base
Peu importe les circonstances du départ, toutefois, des mesures fondamentales doivent être mises en place à cet effet. La première d’entre elles consiste à prévoir la présence d’un témoin lorsque la direction annonce son renvoi à un employé. Le témoin peut être un membre de l’équipe des ressources humaines ou un directeur, par exemple. Si l’on craint que la situation s’envenime, on demandera à un agent de sécurité d’être présent également et d’accompagner l’employé jusqu’à la sortie.
Celui-ci doit remettre aux personnes responsables tout ce qui appartient à l’organisation : ordinateur portable, téléphone cellulaire, PDA, clefs, cartes d’identité, logiciels, documents, etc. Au préalable, l’organisation doit avoir procédé à l’inventaire des actifs à remettre, et préparé une liste de contrôle. Dans le cas où l’employé aurait acheté l’équipement de l’organisation ou utiliserait le sien propre, il est nécessaire de récupérer les données appartenant à l’entreprise. Lorsque les parties se séparent en bons termes, l’employé coopère habituellement de bon gré.
La direction doit l’informer des obligations auxquelles il demeure lié après son départ, en vertu d’ententes de non-divulgation et de non-concurrence notamment. Habituellement, ces ententes s’appliquent durant une période d’un an suivant la cessation d’emploi. Les personnes chargées d’annoncer le congédiement devraient avoir ces documents en main au moment où elles le font.
Les accès de l’employé aux systèmes, ses codes d’utilisateur et tout autre élément permettant de l’identifier doivent être révoqués. Il est préférable de ne pas les supprimer, au cas où l’on aurait à les utiliser ultérieurement à des fins de vérification. Si l’employé fait partie d’un groupe d’utilisateurs, on verra à l’en retirer. Autant que possible, on supprimera aussi son nom des documents où il apparaît. Normalement, le service des ressources humaines collabore avec les responsables des TI et le supérieur immédiat de l’employé du début à la fin de ces démarches. Il peut s’avérer nécessaire d’informer les employés, les clients et les agents contractuels concernés du congédiement.
Situations délicates
Parfois, la façon de s’y prendre pour congédier un employé peut expliquer à elle seule que cette personne cherche à nuire à son ancien employeur. Il est particulièrement important d’éviter les attitudes insultantes ou humiliantes pouvant atteindre la dignité de l’employé ou son amour-propre. Un comportement respectueux et un processus bien mené peuvent atténuer la frustration et la blessure ressenties.
Il importe d’agir le plus discrètement possible, en évitant d’annoncer le congédiement en présence de plusieurs collègues. On prendra garde à ne pas renvoyer cavalièrement un employé entretenant des relations conflictuelles avec ses supérieurs. Jeter de l’huile sur le feu ne servirait à rien.
Des mesures particulières sont à prévoir lorsque le renvoi touche une personne détenant un poste clé au sein de l’entreprise, comme un administrateur réseau. Il s’agit alors de prévoir le coup à l’avance. Un administrateur réseau qui complote contre son employeur a le loisir de préparer son méfait de longue main. Ses privilèges lui permettent de tout mettre en œuvre afin que des dommages soient causés sur simple pression d’un bouton, ou presque, une fois qu’il aura quitté l’entreprise. Pour prévenir une telle action, le service des TI doit mettre en place des mécanismes donnant la possibilité de vérifier, avant le départ de l’administrateur, s’il a fait quoi que ce soit de répréhensible.
On doit aussi veiller à changer ses profils et ses mots de passe, et à s’assurer qu’il n’a pas stocké d’information qu’il pourrait emporter avec lui. Les mêmes précautions s’appliquent lors du renvoi ou du départ d’un directeur de la sécurité, d’un responsable des TI, d’un vice-président et du PDG. Bien sûr, les mesures ne sont pas aussi complexes techniquement parlant, mais il est néanmoins essentiel pour l’entreprise de bien couvrir ses arrières. Normalement, le service des TI travaille de concert avec le service des ressources humaines dans l’exécution de ces tâches, mais en demeure maître d’œuvre.
Un employé soupçonné de fraude ou d’autres activités illégales constitue aussi une situation à traiter avec délicatesse. Dans pareil cas, la direction peut faire appel à des spécialistes afin de recueillir les preuves qui pourraient se trouver dans les systèmes informatiques et incriminer l’employé. Une fois la preuve rassemblée, la direction doit décider si elle entreprend des poursuites contre ce dernier. En certaines occasions, l’employé mis en face des faits choisira de partir sans demander son reste. Si elle a l’assurance qu’il ne cherchera pas à se venger, l’entreprise pourra ainsi éviter une action en justice.
Une façon de prévenir les gestes malveillants de la part d’employés est de confier à des spécialistes le soin de vérifier régulièrement les rapports d’activités des divers dispositifs de sécurité. Il est fortement recommandé également de signer des ententes de non-divulgation avec le personnel et d’inclure les mesures relatives à la cessation d’emploi dans la politique de sécurité de l’entreprise.
Du reste, la direction doit se rappeler que la sensibilisation rapporte davantage que la coercition. Un employé devant qui des barrières se dressent constamment et qui se sent épié perd rapidement sa motivation. L’éducation s’avère plus efficace. Mieux vaut imposer des restrictions moins lourdes tout en faisant bien comprendre que la transgression des règles entraîne des conséquences sérieuses.
L’organisation qui souscrit à ces principes se dote de mesures préventives, susceptibles de réduire le nombre de congédiements. La sensibilisation et l’éducation doivent être jumelées à des mesures permettant de bien encadrer le processus de cessation d’emploi. Ainsi pourra-t-on amenuiser les attitudes revanchardes de la part d’ex-employés.
Michel Bouchard est conseiller principal, Sécurité de l’information chez ESI Technologies. ESI Technologies est un intégrateur indépendant de solutions de sécurité et de haute disponibilité.
À lire aussi cette semaine: Cyberconsommer l’esprit en paix Les Fêtes : du crédit, des dépenses et des arnaques L’actualité des TI en bref L’économie des TI en bref Le prix des mots
