Des mesures à prévoir en cas de cessation d’emploi

SÉCURITÉ DE L’INFORMATION – Le congédiement d’un employé doit s’accompagner de mesures de sécurité. Celles-ci deviennent particulièrement nécessaires lorsque la situation est potentiellement explosive. À plus long terme, cependant, une entreprise gagnera à faire appel à la sensibilisation des employés plutôt qu’à la coercition.

Les départs d’employés sont des épisodes inévitables au sein d’une organisation. Sur le plan de la sécurité de l’information, ils doivent être encadrés par des mesures strictes. Trop peu d’entreprises se soucient de cet aspect de leur gestion. Pourtant, un employé frustré et revanchard peut causer des torts importants à une entreprise. Comme pour les questions relatives à la sécurité en général, la prévention en cette matière est plus rentable que la réaction.

Les responsabilités des personnes chargées de mener à bien le processus de cessation d’emploi doivent être clairement définies. Il est important de prévoir des règles de sécurité continues, même après le départ de l’employé. Bien sûr, les chances sont plus grandes que le processus se déroule en douceur lorsque la séparation entre employeur et employé se fait à l’amiable ou dans un climat serein.

Mesures de base

Peu importe les circonstances du départ, toutefois, des mesures fondamentales doivent être mises en place à cet effet. La première d’entre elles consiste à prévoir la présence d’un témoin lorsque la direction annonce son renvoi à un employé. Le témoin peut être un membre de l’équipe des ressources humaines ou un directeur, par exemple. Si l’on craint que la situation s’envenime, on demandera à un agent de sécurité d’être présent également et d’accompagner l’employé jusqu’à la sortie.

Celui-ci doit remettre aux personnes responsables tout ce qui appartient à l’organisation : ordinateur portable, téléphone cellulaire, PDA, clefs, cartes d’identité, logiciels, documents, etc. Au préalable, l’organisation doit avoir procédé à l’inventaire des actifs à remettre, et préparé une liste de contrôle. Dans le cas où l’employé aurait acheté l’équipement de l’organisation ou utiliserait le sien propre, il est nécessaire de récupérer les données appartenant à l’entreprise. Lorsque les parties se séparent en bons termes, l’employé coopère habituellement de bon gré.

La direction doit l’informer des obligations auxquelles il demeure lié après son départ, en vertu d’ententes de non-divulgation et de non-concurrence notamment. Habituellement, ces ententes s’appliquent durant une période d’un an suivant la cessation d’emploi. Les personnes chargées d’annoncer le congédiement devraient avoir ces documents en main au moment où elles le font.

Les accès de l’employé aux systèmes, ses codes d’utilisateur et tout autre élément permettant de l’identifier doivent être révoqués. Il est préférable de ne pas les supprimer, au cas où l’on aurait à les utiliser ultérieurement à des fins de vérification. Si l’employé fait partie d’un groupe d’utilisateurs, on verra à l’en retirer. Autant que possible, on supprimera aussi son nom des documents où il apparaît. Normalement, le service des ressources humaines collabore avec les responsables des TI et le supérieur immédiat de l’employé du début à la fin de ces démarches. Il peut s’avérer nécessaire d’informer les employés, les clients et les agents contractuels concernés du congédiement.

Situations délicates

Parfois, la façon de s’y prendre pour congédier un employé peut expliquer à elle seule que cette personne cherche à nuire à son ancien employeur. Il est particulièrement important d’éviter les attitudes insultantes ou humiliantes pouvant atteindre la dignité de l’employé ou son amour-propre. Un comportement respectueux et un processus bien mené peuvent atténuer la frustration et la blessure ressenties.

Il importe d’agir le plus discrètement possible, en évitant d’annoncer le congédiement en présence de plusieurs collègues. On prendra garde à ne pas renvoyer cavalièrement un employé entretenant des relations conflictuelles avec ses supérieurs. Jeter de l’huile sur le feu ne servirait à rien.

Des mesures particulières sont à prévoir lorsque le renvoi touche une personne détenant un poste clé au sein de l’entreprise, comme un administrateur réseau. Il s’agit alors de prévoir le coup à l’avance. Un administrateur réseau qui complote contre son employeur a le loisir de préparer son méfait de longue main. Ses privilèges lui permettent de tout mettre en œuvre afin que des dommages soient causés sur simple pression d’un bouton, ou presque, une fois qu’il aura quitté l’entreprise. Pour prévenir une telle action, le service des TI doit mettre en place des mécanismes donnant la possibilité de vérifier, avant le départ de l’administrateur, s’il a fait quoi que ce soit de répréhensible.

On doit aussi veiller à changer ses profils et ses mots de passe, et à s’assurer qu’il n’a pas stocké d’information qu’il pourrait emporter avec lui. Les mêmes précautions s’appliquent lors du renvoi ou du départ d’un directeur de la sécurité, d’un responsable des TI, d’un vice-président et du PDG. Bien sûr, les mesures ne sont pas aussi complexes techniquement parlant, mais il est néanmoins essentiel pour l’entreprise de bien couvrir ses arrières. Normalement, le service des TI travaille de concert avec le service des ressources humaines dans l’exécution de ces tâches, mais en demeure maître d’œuvre.

Un employé soupçonné de fraude ou d’autres activités illégales constitue aussi une situation à traiter avec délicatesse. Dans pareil cas, la direction peut faire appel à des spécialistes afin de recueillir les preuves qui pourraient se trouver dans les systèmes informatiques et incriminer l’employé. Une fois la preuve rassemblée, la direction doit décider si elle entreprend des poursuites contre ce dernier. En certaines occasions, l’employé mis en face des faits choisira de partir sans demander son reste. Si elle a l’assurance qu’il ne cherchera pas à se venger, l’entreprise pourra ainsi éviter une action en justice.

Une façon de prévenir les gestes malveillants de la part d’employés est de confier à des spécialistes le soin de vérifier régulièrement les rapports d’activités des divers dispositifs de sécurité. Il est fortement recommandé également de signer des ententes de non-divulgation avec le personnel et d’inclure les mesures relatives à la cessation d’emploi dans la politique de sécurité de l’entreprise.

Du reste, la direction doit se rappeler que la sensibilisation rapporte davantage que la coercition. Un employé devant qui des barrières se dressent constamment et qui se sent épié perd rapidement sa motivation. L’éducation s’avère plus efficace. Mieux vaut imposer des restrictions moins lourdes tout en faisant bien comprendre que la transgression des règles entraîne des conséquences sérieuses.

L’organisation qui souscrit à ces principes se dote de mesures préventives, susceptibles de réduire le nombre de congédiements. La sensibilisation et l’éducation doivent être jumelées à des mesures permettant de bien encadrer le processus de cessation d’emploi. Ainsi pourra-t-on amenuiser les attitudes revanchardes de la part d’ex-employés.

Michel Bouchard est conseiller principal, Sécurité de l’information chez ESI Technologies. ESI Technologies est un intégrateur indépendant de solutions de sécurité et de haute disponibilité.


À lire aussi cette semaine: Cyberconsommer l’esprit en paix Les Fêtes : du crédit, des dépenses et des arnaques L’actualité des TI en bref L’économie des TI en bref Le prix des mots

Articles connexes

Adoption du projet de loi no 38 sur la cybersécurité et la transformation numérique de l’administration publique

Le projet de loi no 38, connu sous le nom de Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d'autres dispositions législatives, a été adopté plus tôt cette semaine par l'Assemblée nationale.

Investissements majeurs de 500 M$US de Microsoft au Québec

Au cours des deux prochaines années, Microsoft investira 500 millions de dollars américains dans l'expansion de son infrastructure infonuagique et d'intelligence artificielle à grande échelle au Québec.

Balado Hashtag Tendances, 23 novembre 2023 — Crise chez OpenAI, des puces Microsoft et investissements majeurs au Québec pour Microsoft

Cette semaine : Grave crise à la tête d’OpenAI, Microsoft conçoit ses propres processeurs et investissements de 500 M$ de Microsoft au Québec.

Consultation publique sur la cybersécurité

Le ministère de la Cybersécurité et du Numérique lance cette semaine une consultation publique sur la cybersécurité. Celle-ci permettra au gouvernement du Québec de solliciter un grand nombre d'intervenants ainsi que la population générale sur les enjeux et les besoins en cybersécurité.

Plus de six PME québécoises sur dix touchées par la cybercriminalité au cours de la dernière année

Un nouveau sondage mené par KPMG au Canada le mois dernier révèle que plus de six PME sur dix au Québec ont été attaquées par des cybercriminels au cours de la dernière année, et près des trois quarts d'entre elles affirment que leurs anciens systèmes d'information et de technologie opérationnelle les rendent vulnérables aux attaques.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.