Départs d’entreprise et cybersécurité
Le départ d’un collaborateur est l’un des principaux « moments à risque » en termes de cybersécurité, quel que soit votre secteur d’activité ou la taille de votre entreprise. Eh oui, la plupart du temps, nous gérons mal la situation !
Certes, nous avons désormais bien intégré que la première faille de cybersécurité est souvent humaine : des collaborateurs qui mordent aux tentatives de phishing par exemple, qui égarent leur téléphone ou qui laissent leur écran visible dans les lieux publics. Mais bizarrement, nous avons encore un peu de mal à piloter sérieusement le turn-over des salariés.
Nos conseils
Comme si nous pensions, inconsciemment, qu’un salarié sur le départ ne représentait plus aucune menace. Pourtant, à bien y réfléchir, plusieurs dangers existent bel et bien. Le collaborateur vous quitte en mauvais termes ? Il est alors probable qu’il cherche à vous nuire par la suite, en détruisant une partie de votre système d’information, en volant des données ou en sabotant le travail de ses anciens collègues.
Vous vous séparez bons amis ? Rien ne dit pour autant qu’il n’a pas embarqué une partie du fichier clients, « au cas où » ? Être prudents n’est pas être alarmiste : voici trois formalités que nous vous conseillons de mettre en place dès à présent pour limiter les risques.
1. Formalisez la « remise des clefs »
Fixez un rendez-vous physique et lors de cet entretien de départ, demandez à votre collaborateur de vous remettre l’ensemble du matériel professionnel informatique dont il dispose (ordinateur, smartphones, disques durs, clefs USB). C’est aussi à ce moment-là qu’il convient de couper les accès informatiques, en pensant bien à désactiver toutes les applications concernées : email, espaces de stockage de données, outils collaboratifs, réseaux sociaux professionnels, applications métiers… Tout cela est aujourd’hui souvent hébergé dans le Cloud. Raison de plus pour révoquer les accès dans les temps !
2. Travaillez en tandem : RH + IT
Le volet Cyber de l’offboarding ne peut pas être traité par une seule personne, ni par le responsable des ressources humaines ni par le responsable informatique ! Il est indispensable de travailler main dans la main. Il arrive fréquemment que les équipes IT n’aient pas connaissance des départs et n’aient donc rien désactivé le jour J. Quant aux responsables RH, seuls, ils n’ont pas la main sur les accès. Vous mettre d’accord sur une « check-list » n’est sans doute pas une perte de temps.
3. Prenez les devants…
Plus vous aurez pensé le sujet en amont, plus vous éviterez les problèmes. La prévention des menaces passe par une politique de gestion des accès intelligente. Mais aussi par la mise en place d’alertes automatiques, par exemple lorsqu’un salarié transfère un nombre élevé d’e-mails professionnels vers sa messagerie personnelle, déplace un dossier confidentiel ou encore copie une grosse quantité de données.