L'intégration et le départ des employés : un élément crucial de la sécurité des entreprises

L'intégration et le départ des employés sont généralement considérés comme importants du point de vue de la gestion des ressources humaines (RH). Ces activités attirent l'attention des RH, car ces processus jouent un rôle important dans la gestion des performances, la marque employeur, l'optimisation de l'expérience de travail et la création d'opportunités de réseautage.

Cependant, ces deux notions sont également importantes du point de vue de la sécurité informatique. Les employés actuels ou anciens peuvent mettre votre entreprise en danger par leurs actions qui peuvent avoir été menées avec ou sans intention malveillante. Les entreprises doivent se méfier de ces menaces internes provenant d'employés ou d'anciens employés qui ont été embauchés et qui ont suivi les processus d'intégration, de formation, de probation et éventuellement de départ.

Intégration d'un nouvel employé

L'intégration des employés est un processus conçu pour intégrer les nouveaux employés dans l'organisation. Elle permet d'aider les nouveaux employés à acquérir les connaissances, les compétences et les comportements nécessaires qui leur permettront de devenir des membres efficaces et productifs de l'organisation. 

Ce processus est d'une importance stratégique, car les expériences d'un nouvel employé au cours des premiers mois sont cruciales pour garantir un engagement élevé. Un processus d'intégration structuré et complet aide non seulement à fidéliser les talents, mais aussi à permettre aux nouveaux employés d'atteindre leur plein potentiel plus rapidement. Plus important encore, le processus d'intégration les pousse à adopter les valeurs communes qui guident les comportements en matière de cybersécurité, contribuant ainsi à créer une culture soucieuse de la sécurité.

Départ d'un employé

Le départ d'un employé est le processus de séparation suite à la démission, au licenciement ou à la retraite d'un employé. Le processus comprend généralement le transfert de connaissances, l'entretien de sortie et le retour des actifs de l'entreprise. Un processus de départ est nécessaire pour s'assurer qu'il n'y a pas de valeurs perdues lorsqu'un employé part et que les responsabilités du poste sont transférées de manière transparente. Du point de vue de la sécurité, un processus formel de délocalisation est nécessaire pour sécuriser les ressources informatiques de l'organisation et empêcher les accès non autorisés. Dans le pire des cas, ces processus empêchent également les employés mécontents de saboter les ressources critiques ou l'accès au réseau.

Que faire quand on engage un nouvel employé ?

Voici une liste de contrôle à faire pour l'intégration des nouveaux employés à titre de référence :

  • Mise à disposition d'un nouvel ordinateur. S'il s'agit d'un ancien appareil, assurez-vous d'effacer le disque dur.
  • Création d'un identifiant d'employé et une carte d'accès
  • Attribution des accès au bâtiment et aux bureaux concernés
  • Création d'un compte de messagerie d'entreprise
  • Formation et communication à la culture de l'entreprise, aux politiques de cybersécurité, du manuel de l'entreprise, des guides et des documents pratiques pour les applications et les programmes nécessaires à leur travail.
  • Configuration des comptes pour les applications de messagerie (Slack ou Microsoft Teams), gestionnaire de mots de passe, VPN, etc.
  • Création d'un accès aux fichiers et dossiers partagés dans Office 365 par exemple
  • Installation et configuration des outils MDM (Mobile Device Management) et RMM (Remote Management & Monitoring) tels que Kandji, Jamf, ScreenConnect, etc.
  • Création d'une identité numérique, à l'aide d'un système de gestion des identités et des accès (IAM), autorisant l'accès aux ressources approuvées de l'entreprise
  • Pour les employés distants, expédition de l'appareil et des accessoires (souris, un clavier, un casque, etc.)

Que faire au départ d'un employé ?

Voici une liste de contrôle pour le départ des employés en toute sécurité :

  • Désactivation du compte dans Active Directory immédiatement ou après une période définie conformément à la politique de l'entreprise
  • Désactivation de la connexion par e-mail et configuration du transfert d'e-mails au supérieur hiérarchique
  • Suppression de l'accès VPN et du Bureau à distance
  • Suppression de l'accès aux applications Web distantes telles qu'Office 365, etc.
  • Suppression de l'accès à la messagerie vocale et transfert du téléphone et de la messagerie vocale au supérieur hiérarchique
  • Désactivation de l'accès aux applications métier et SaaS
  • Modification de tous les mots de passe de compte partagé que l'employé qui quitte le poste connaît
  • Déplacer les données partagées et l'archive de courrier électronique de l'employé sortant vers le compte du supérieur hiérarchique
  • Suppression de l'employé des listes de groupes de messagerie, des listes de distribution, des listes téléphoniques internes et du site Web
  • Récupération de tous les actifs appartenant à l'entreprise tels que les ordinateurs portables, les téléphones, les tablettes, etc., et mise à jour l'inventaire informatique
  • Modification des codes d'accès aux bureaux sécurisés, si l'employé qui part les connaît.
  • Informer tout le monde que l'individu n'est plus employé par l'entreprise
  • Suppression de l'identifiant d'employé et récupération de la carte d'accès

Les nouveaux employés qui rejoignent une organisation et les anciens employés qui partent font naturellement partie du parcours professionnel. Bien que l'embauche et les départs puissent avoir des circonstances différentes, il est nécessaire de mettre en place un processus bien défini, cohérent et évolutif afin que les choses se passent bien pour toutes les personnes impliquées.

Avoir un processus d'intégration bien défini garantit que les nouvelles recrues sont intégrées de manière transparente et deviennent des membres productifs de l'organisation. De même, un processus de départ robuste est nécessaire pour garantir que les employés qui partent ne représentent aucune menace pour la sécurité de l'organisation et n'ont pas accès aux systèmes et ressources informatiques. Ces deux ensembles de processus pour le début et la fin du cycle de vie de l'emploi contribuent à assurer la productivité et l'engagement tout en maintenant la sécurité organisationnelle.


La Rédaction d'Africa CyberSecurity Mag