De nos jours, la plupart des processus de recrutement intègrent une étape d’onboarding, étape essentielle ayant pour but de faciliter l’arrivée d’un nouveau salarié au sein de l’entreprise. Cette présentation comprend généralement un volet cybersécurité incluant une présentation de la politique de sécurité de l’entreprise, un rappel de la charte informatique et un programme de sensibilisation à la cybersécurité et de rappel des bonnes pratiques de vigilance.
Mais qu’en est-il au moment du départ d’un salarié ? Les processus d’offboarding sont généralement moins bien fournis en matière de cybersécurité. Le départ d’un collaborateur constitue pourtant une étape clé pour la sécurité d’une organisation, et cela à plusieurs niveaux. Quels sont les risques de sécurité liés au départ d’un collaborateur, en particulier lors d’un offboarding conflictuel ? Comment prévenir ces risques ?
L’offboarding relève à l’origine du vocabulaire des ressources humaines. Ce mot renvoie à la procédure de départ d’un salarié d’une entreprise, aussi bien dans le cas d’un départ volontaire que d’un départ contraint. L’offboarding s’oppose à l’onboarding, étape d’intégration des nouveaux salariés au sein de l’entreprise.
Loin d’être une simple check-list d’actions à effectuer, l’offboarding permet de gérer sereinement le départ d’un salarié, à travers plusieurs actions clés, comme l’entretien de départ, la remise du matériel professionnel (informatique, notamment), la coupure des accès informatiques… Dans le cadre des difficultés de recrutement que connaissent actuellement de nombreux secteurs, les services RH s’accordent à dire que le processus de départ est tout aussi important pour la marque employeur que le processus d’accueil.
Au-delà du seul volet RH, l’offboarding informatique revêt une importance stratégique pour la sécurité d’une entreprise, d’autant plus dans le cas de salariés ayant accès à des données sensibles ou à des informations confidentielles.
Si certains vols de données par d’anciens salariés peuvent être qualifiés d’accidentels (certaines personnes n’étant pas conscientes de faire quelque chose d’illégal et de dangereux d’un point de vue de la sécurité informatique), d’autres actions sont clairement intentionnelles. L’actualité s’en fait d’ailleurs régulièrement l’écho. En 2018, un ancien salarié de Tesla a été accusé de sabotage et de vol d’images confidentielles[1] .
L’une des premières actions à effectuer suite au départ d’un salarié est de désactiver immédiatement les différents accès aux outils informatiques dont il disposait au travers d’un annuaire d’accès (Active Directory, LDAP) ou unitairement si le service n’est intégré à aucun annuaire :
La plupart de ces outils sont aujourd’hui hébergés en mode cloud et donc accessibles à distance. Si ces différents accès ne sont pas révoqués dès le départ du salarié, celui-ci pourra toujours y accéder et en faire potentiellement un usage malveillant (vol ou suppression de données, par exemple), susceptible de nuire à l’entreprise.
Lors du processus d’offboarding, le service informatique doit également veiller à ce que le salarié restitue l’ensemble des terminaux et des données en sa possession (ordinateur portable et smartphones professionnels, mais aussi éventuellement clés USB, disques durs externes, etc.). Afin d’éviter le départ du salarié avec le matériel de l’entreprise, il est judicieux de convenir d’un rendez-vous.
Ces deux étapes (désactivation des comptes et remise du matériel professionnel) ont pour objectif de protéger les informations sensibles de l’entreprise et d’empêcher tout accès non autorisé à ses données.
La gestion des accès est bien trop importante pour être traitée uniquement lors du départ d’un salarié. Ce moment peut être l’occasion de passer en revue les accès des autres salariés en appliquant le principe du moindre privilège. L’objectif ? S’assurer que les utilisateurs disposent de droits d’accès limités, liés aux missions qui leur incombent dans le cadre de leurs fonctions.
La protection des systèmes et des données de l’entreprise doit faire l’objet d’une attention continue comme dans l’identification de comportements non conformes (Shadow IT) ou le stockage de données de l’entreprise sur des comptes personnels dans le cloud. Ces actions permettent de s’assurer que toutes les mesures requises sont bien en place pour protéger les systèmes et les données de l’entreprise.
Dans le cas d’un départ conflictuel, il existe toujours un risque que le salarié mécontent tente de nuire à son ancienne entreprise, qu’il s’agisse de voler puis de divulguer des informations confidentielles et/ou sensibles ou de causer des dommages aux systèmes de l’entreprise. Les données volées peuvent être publiées sur Internet, divulguées à des entreprises concurrentes ou tout simplement vendues.
Ces fuites de données sont courantes et peuvent causer de nombreux dommages à l’entreprise : atteinte à la notoriété, conséquences juridiques pour l’entreprise qui n’a pas su protéger les données dont elle avait la responsabilité, etc.
La manière la plus évidente de prévenir ces risques est de créer et de maintenir un climat de travail positif et une communication ouverte avec les salariés sur le départ, afin d’éviter les situations conflictuelles. Une communication doit également être menée auprès des autres salariés pour informer sur les futurs départs.
Le volet cyber de l’offboarding doit être traité conjointement par les équipes RH et IT, en formalisant une procédure. Trop souvent, les équipes IT n’ont pas connaissance (ou alors trop tardivement) des départs au sein de l’entreprise. Créer une documentation relative aux processus d’offboarding (évaluation des risques, mise en place de mesures de sécurité) est pourtant une nécessité.
Lorsque cette préparation n’est pas suffisante, des mesures de sécurité supplémentaires peuvent être mises en place pour protéger les données de l’entreprise en cas de départ conflictuel. Il peut s’agir par exemple d’alertes lorsqu’un salarié copie une très grosse quantité de données, déplace un dossier confidentiel, transfère un nombre anormal d’e-mails professionnels vers sa messagerie personnelle ou encore effectue une demande d’accès alors qu’il a quitté l’entreprise.
Enfin, la prévention des menaces internes passe par la mise en place d’une politique de gestion des accès limitée au strict nécessaire, aussi bien concernant la gestion des identités et des accès (IAM, Identity and Access Management) que la gestion des accès privilégiés (PAM, Privileged Access Management). Inutile de laisser certains salariés accéder à des données sensibles si cela ne se justifie pas par leur fonction.
Les équipes IT ont déjà beaucoup à faire avec les cybermenaces venant de l’extérieur. Autant tout faire pour neutraliser les menaces provenant d’ex-salariés revanchards. Différentes mesures de sécurité permettent de sécuriser un offboarding et de prévenir les risques de vengeance d’un salarié mécontentent : révoquer les accès, récupérer les terminaux et les données de l’entreprise, mettre en place des alertes de sécurité. Aborder la question de l’offboarding sous l’angle de la cybersécurité est loin d’être anecdotique. Il en va de la protection des données et de la réputation de l’entreprise.