De bonnes procédures de révocation de l’accès des employés licenciés ne doivent pas être compliquées.
Licencier un employé n’est jamais une tâche agréable ou facile. Une récente affaire judiciaire a souligné combien il était crucial pour les entreprises de disposer d’une procédure efficace – et rapide – pour gérer l’accès réseau des employés licenciés. L’objectif est de se protéger contre des employés récemment licenciés et mécontents de l’être.
Dans une récente affaire, une ancienne employée d’une coopérative de crédit de Brooklyn a plaidé coupable d’avoir détruit 21,3 Go de données provenant des systèmes de son ancien employeur. Elle encourt jusqu’à 10 ans de prison.
Les documents judiciaires indiquent qu’elle a supprimé 20 000 fichiers et près de 3 500 répertoires, qui comprenaient des fichiers liés à des demandes de prêts hypothécaires et au logiciel anti-ransomwares de la société.
Pour réparer les dégâts, la coopérative de crédit a dû dépenser 10 000 USD. Cela a également eu un impact sur les clients de la coopérative de crédit, dont la perte des documents a affecté leur processus d’approbation de prêt hypothécaire.
Comment cette situation a-t-elle pu se produire ?
L’ancienne employée a pu agir ainsi parce que la société de support informatique de la coopérative n’a pas révoqué son accès assez rapidement, ce qui lui a laissé 40 minutes pour utiliser ses identifiants encore valides pour se connecter à distance au système et supprimer les fichiers.
Cet incident est une leçon claire pour les PME : il est important de mettre en place des procédures appropriées pour révoquer rapidement l’accès des employés licenciés et de vérifier que ces procédures ont été suivies. Dans le cas présent, par exemple, si ces procédures avaient été mises en place et suivies, tout ceci n’aurait probablement pas eu lieu.
De bonnes procédures de révocation d’accès pour les employés licenciés n’ont pas besoin d’être compliquées. En fait, il est préférable qu’elles soient simples, car les complications augmentent toujours le risque d’erreurs et d’échec.
L’élément clé de la révocation d’accès dans le cadre d’un licenciement est le timing. Avant de licencier quelqu’un, il faut préalablement révoquer son accès. Dans l’idéal, il ne faut pas le faire trop tôt, au risque d’alerter l’employé concerné. Mais du point de vue de la protection des données, il vaut mieux révoquer l’accès trop tôt que trop tard.
Cela s’applique également lorsque vous recevez l’avis de départ d’une personne : vous devez immédiatement révoquer son accès. Dans ce cas, selon la nature de la relation, vous pouvez demander à vos équipes informatiques de vérifier qu’aucune action non autorisée n’a été entreprise par cette personne avant son départ.
Personne ne veut penser que quelqu’un puisse être capable de ce genre de sabotage. Mais bien que rarement, ce sont des choses qui arrivent. Et lorsque cela se produit, les conséquences peuvent être coûteuses et parfois dévastatrices. Mais si vous créez un processus standard et que vous le suivez toujours, cela augmente les chances de succès (c’est-à-dire de minimiser les dommages) et dépersonnalise le processus dans chaque cas. En suivant un processus de révocation d’accès agressif mais efficace, vous n’accusez personne de quoi que ce soit, vous suivez simplement les règles.
Si votre entreprise ne dispose pas encore d’un tel processus, c’est le meilleur moment pour prendre des mesures afin d’en mettre un en place. Comme pour beaucoup d’autres pratiques, il vaut mieux être préparé à l’avance plutôt que d’essayer de construire quelque chose rapidement lorsque vous réalisez soudainement que vous en avez besoin. Une préparation préalable réduit également le risque d’erreurs.
Avec un peu de chance, votre entreprise n’aura jamais à faire face à un employé mécontent au point de vouloir se venger. Mais le fait d’avoir mis en place le bon processus et de le suivre rigoureusement contribue également à diminuer les risques d’un préjudice réel. Comme nous pouvons le voir dans ce cas, ce préjudice peut être considérable, tant pour votre organisation que pour vos clients.