Pourquoi les PME devraient inclure la révocation de l’accès dans leur processus de départ des employés
De bonnes procédures pour révoquer l’accès des employés sur le départ n’ont pas besoin d’être compliquées.
Laisser les gens partir n’est jamais une tâche agréable ou facile pour personne. Une récente affaire judiciaire souligne l’importance pour les entreprises de s’assurer qu’elles disposent d’un processus efficace – et rapide – pour garantir que l’accès au réseau pour les employés licenciés est en place. Le but de ce processus est de se protéger contre tout dommage causé par d’anciens employés mécontents.
Dans une affaire récente, une ancienne employée d’une coopérative de crédit de Brooklyn a plaidé coupable d’avoir détruit 21,3 Go de données des systèmes de son ancien employeur. Elle risque jusqu’à 10 ans de prison pour cet acte.
Les documents judiciaires indiquent qu’elle a supprimé 20 000 fichiers et près de 3 500 répertoires, qui comprenaient des fichiers liés aux demandes de prêt hypothécaire et au logiciel anti-ransomware de l’entreprise.
L’impact de cela sur la coopérative de crédit a conduit à la dépense de 10 000 $ pour réparer les dégâts. Cela a également eu un impact sur les clients de la coopérative de crédit, en raison de l’impact des documents perdus sur leur processus d’approbation de prêt hypothécaire.
Comment des cas comme celui-ci se produisent-ils en premier lieu?
L’ancienne employée a pu le faire parce que la société de support informatique de la coopérative de crédit n’a pas révoqué son accès assez rapidement lorsqu’on lui a demandé, lui donnant la fenêtre de 40 minutes qu’elle a utilisée pour utiliser ses informations d’identification encore valides pour se connecter à distance au système et supprimer les fichiers.
Cet incident est une leçon claire pour les PME quant à l’importance de mettre en place des procédures appropriées pour révoquer rapidement l’accès des employés licenciés et pour vérifier que ces procédures ont été suivies. Dans ce cas, par exemple, si ceux-ci avaient été en place et suivis, tout cet épisode ne se serait probablement pas produit.
De bonnes procédures réussies pour révoquer l’accès des employés licenciés n’ont pas besoin d’être compliquées. En fait, il vaut mieux qu’ils soient simples, car les complications augmentent toujours le risque d’erreurs et d’échecs.
L’élément clé dans la révocation de l’accès est le moment. Au moment où quelqu’un sait qu’il est licencié, vous voulez que son accès soit déjà révoqué. Idéalement, vous ne voulez pas le faire si tôt que cela avertira l’employé en question. Cependant, du point de vue de la protection des données, il vaut mieux révoquer l’accès trop tôt que trop tard.
Cela s’applique également lorsque vous recevez la démission d’un de vos salariés : vous souhaitez révoquer son accès immédiatement. Dans ce cas, selon la nature de la relation, vous souhaiterez peut-être que vos équipes informatiques vérifient qu’aucune action non autorisée n’a été entreprise par cette personne avant qu’elle ne l’ait notifiée.
Personne ne veut penser que quelqu’un pourrait être capable de ce genre de sabotage. Mais la réalité est que bien que rare, cela arrive. Et lorsque cela se produit, cela peut avoir des conséquences coûteuses et parfois dévastatrices.
Cependant, si vous créez un processus standard et que vous le suivez dans tous les cas, cela augmente non seulement les chances de succès (ce qui signifie minimiser les dommages), mais le dépersonnalise également dans tous les cas. Suivre un processus de révocation d’accès efficace signifie que vous n’accusez personne de quoi que ce soit, vous suivez simplement les règles.
Si votre entreprise ne dispose pas actuellement d’un processus comme celui-ci, c’est le moment idéal pour prendre des mesures pour en mettre un en place. Comme pour tant de pratiques, il vaut mieux être préparé à l’avance plutôt que d’essayer de construire quelque chose rapidement lorsque vous réalisez soudainement que vous en avez besoin. Une préparation précoce diminue également le risque d’erreurs.
Espérons que votre entreprise n’aura jamais à faire face à un employé mécontent au point de vouloir se venger. Mais avoir le bon processus en place et le suivre rigoureusement contribue également à réduire les risques qu’un préjudice réel résulte de la situation. Comme nous pouvons le voir dans ce cas, ce préjudice peut être substantiel pour votre organisation et vos clients.