Evolution du monde et des générations oblige, les mouvements de personnel au sein des entreprises se multiplient tellement qu’il devient essentiel de mettre en place de vrais processus informatisés pour fluidifier les entrées-sorties de l’entreprise et éviter fraudes, piratages et pertes de données.

Par Sophie Martel, Michel Juvin, Hervé Dubillot

S’il y a bien un processus qui est régulièrement mis en évidence dans les rapports des auditeurs externes (les Commissaires aux comptes) comme n’étant pas opérationnel, c’est bien le processus de gestion des mouvements de personnel au sein d’une entreprise (entrées-sorties-mutation). En effet, lorsqu’il y a plusieurs acteurs / responsables d’une fonctionnalité, ils créent parfois plusieurs processus et la coordination ne se fait pas naturellement. Il faut alors ajouter une procédure de contrôle globale pour éviter les incohérences.

Le contexte de la gestion des entrées-sorties de l’entreprise

L’objectif de cette procédure, dont la responsabilité globale dépend logiquement des Ressources Humaines, est de pouvoir confirmer que tous les employés présents dans l’entreprise sont bien ceux qui ont signés un contrat et sont employés par celle-ci. Les auditeurs externes mettent souvent en évidence un écart à un instant « t », entre la liste des employés de la RH et celle des employés « actifs » dans les systèmes d’information et possédant un ou plusieurs droits d’accès aux SI.

La complexité de cette procédure est fonction du nombre d’employés de l’entreprise. Au-delà d’une cinquantaine d’employés sur un même site, il peut y avoir un écart … souvent corrigé à la fin du mois dans le cadre de la procédure de paie des employés. Cependant, pour des raisons de simplicité de fonctionnement, il arrive que le compte d’un employé ayant quitté l’entreprise soit maintenu pour faciliter les procédures internes. Parfois même, le manager n’informe pas l’informatique du départ d’un salarié[1] espérant pouvoir régulariser la situation rapidement. Enfin, pour les changements / mutations en interne (transfert d’un département à l’autre ou changement de fonction), les Ressources Humaines ne sont pas régulièrement informées.

Les risques relatifs à une mauvaise gestion de la cohérence des listes des employés et de la liste des droits d’accès aux Systèmes d’Information sont :

* Sécurité physique : une personne pourrait utiliser un badge d’un employé ayant quitté l’entreprise pour effectuer des actes de fraude, vols d’effets personnels, vols de propriété intellectuelle, usurpation d’identité et en cas d’incendie, faire prendre des risques à des secouristes pour une personne qui n’est pas dans l’entreprise ou encore de provoquer un conflit avec l’assurance suite à la présence d’une personne non déclarée, …

* Sécurité logique : usurpation d’identité/profil informatique pour bypasser les contrôles anti-fraude[2], effectuer des transactions engageant la responsabilité d’une personne inexistante dans l’entreprise, …

* Sécurité informationnelle : cas d’une personne usurpant une identité d’un employé pour communiquer des fausses informations à l’extérieur de l’entreprise, …

Les cas sont nombreux et peuvent porter un préjudice fort à l’entreprise. Le contrôle de cette procédure est donc primordial … mais est aussi compliquée car trois acteurs au moins, RH, Systèmes d’Information et département de l’employé sont co-responsables de ce risque.

La gestion des entrées / admissions dans l’entreprise

Cette procédure a comme point de départ le processus de recrutement. En effet, avant l’admission d’un nouvel employé, il est nécessaire de noter des informations le concernant. Il est préférable d’utiliser les systèmes d’information RH[3] qui comportent de telles fonctionnalités et conservent de manière confidentielle les données à caractère personnel des candidats dans un premier temps de manière temporaire et des futurs employés. De même, le profil logique (accès aux SI) relatif aux applications dont l’employé aura accès devra être créé par son manager et revu par les RH et le Contrôle Interne avant son arrivée pour lui permettre d’être efficace dès le premier jour. La revue des autorisations d’accès dans les SI aura pour objectif de respecter les règles de séparation de fonctions et réduire le risque de fraude. Cette revue doit être effectuée avec l’aide de la Direction des Systèmes d’Information qui mettra à disposition de la RH et des Services Généraux / Sécurité mensuellement ou à la demande, les droits d’accès constatés dans les Systèmes d’information[4].

Souvent en amont du premier jour d’arrivée dans l’entreprise, la signature du contrat de travail et du règlement intérieur auquel est annexée la charte informatique avec les recommandations et exigences de sécurité informatique, est importante et confirmera alors sa prise en charge vis-à-vis de l’assurance de l’employé. Suivant la maturité des entreprises en matière de cybersécurité, un paragraphe dans la charte mais aussi dans le contrat de travail précisera la notion de confidentialité des informations (les restrictions en matière de communication externe) et plus particulièrement la classification des documents. Enfin, à l’arrivée sur son poste de travail, son manager devra lui apporter les recommandations de sécurité physique nécessaires à la prise de fonction. Un badge, maintenant électronique, avec un périmètre de déplacement aura été définit et sera vérifié par le manager en présence de l’employé.

La gestion du changement de fonction

Dans le cas d’un changement de fonction ou de responsabilité (y compris une promotion) dans la même entité juridique de l’entreprise[5], l’étape la plus importante est de revoir les droits d’accès physiques et logiques aux ressources de l’entreprise. Cette revue doit être faite comme un départ de la précédente affectation et une nouvelle arrivée dans le nouveau service. L’un des problèmes récurrents constaté lors des revues des droits d’accès est de s’apercevoir qu’un ancien employé possède toujours les droits d’accès de sa précédente fonction. Le cas de Jérôme Kerviel est un bon exemple du risque que peut engendrer la non-application de cette étape de base[6].

Il y a plusieurs difficultés lors de l’application de la procédure de transfert/ déplacement :

* Un problème de non recouvrement de la compétence qui quitte le service (ou une personne travaillant en parallèle dans l’ancien et le nouveau poste pour quelques mois) entraînant soit le transfert des droits d’accès à une personne du service en suivant une procédure de vérification de séparation de fonction (dans le meilleur des cas), soit la communication du profil et du mot de passe à une personne du service (le pire des cas),

* Un problème de communication du changement organisationnel ainsi que de responsabilité entre les deux managers (ancien et nouveau), à la RH qui doit organiser ce déplacement et ordonner l’application de la procédure de revue des séparations des fonctions.

La gestion du départ de l’employé

C’est sans doute la procédure qui doit être la plus contrôlée par une co-responsabilité : Manager et Ressources Humaines ; l’informatique quant à elle, appliquera les modifications de droits d’accès en conséquence. Comme tous les mouvements dans l’entreprise, il y a dans la phase de préparation, des étapes à respecter :

1. Le manager de l’employé au départ informe la RH qui calculera le solde de tout compte et préparera les documents à signer via la procédure de sortie de personnel,

2. Le manager informera le gestionnaire des droits d’accès physique (sécurité des locaux) pour mettre à jour en temps réel les droits. Il informera aussi la Direction des Systèmes d’Information pour la mise à jour des droits d’accès logiques y compris pour l’environnement industriel.

3. La procédure de sortie s’appuie sur un parcours[7] que l’employé doit faire pour pouvoir quitter l’entreprise ; ce parcours est consigné sur une feuille que l’employé devra faire signer par tous les Directeurs de département concernés. Ces départements sont ceux où l’employé a été un acteur avec des droits d’accès ou aura emprunté des documents : cantine, librairie, droits d’accès logiques et physiques : cas des locaux spécifiques contenant des produits ou information sensibles,

4. Enfin, l’employé terminera son parcours de sortie en remettant à la RH la feuille signée par les Directeurs de département ainsi que son Manager ; la RH fera signer un document engageant l’employé sur son interdiction de communiquer des informations dont il a eu connaissance durant son parcours professionnel dans l’entreprise.

La dernière étape de sortie est le service paye qui aura calculé alors le solde de tous comptes.

Dans certain cas, il peut être utile de faire signer une clause de confidentialité complémentaire interdisant au salarié d’être employé par un concurrent afin de protéger les informations de l’entreprise ceci pendant un certain nombre de mois ou années. Il est d’ailleurs recommandé que cette clause soit indiquée dans le contrat de travail initialement.

Le rôle des responsables de la procédure

Cette procédure est complexe car elle demande la synchronisation de plusieurs managers. Successivement, le Manager qui va accueillir l’employé est le premier responsable qui doit initier le processus, puis les RH doivent prendre le relais pour le recrutement et l’accueil dans l’entreprise.

Enfin, le départ du salarié doit être sous la responsabilité commune du Manager et des RH qui effectueront le contrôle de l’application de la procédure de sortie de l’entreprise dont la mise à jour des droits d’accès. Cette co-responsabilité doit diminuer le risque d’information ou de matériel conservé par l’employé (pc ou téléphone non rendu par exemple).

Le formulaire de sortie avec la liste des documents et droits d’accès physique aux locaux sensibles et logiques aux Systèmes d’Information doit être mis à jour régulièrement. Pour ce qui est des droits d’accès logiques, la liste des droits doit être recalculée à partir de ce qui est constaté dans les Systèmes d’Information. Une attention particulière sera apportée pour les accès à distance et les systèmes d’identification sur l’Active Directory interne et autre Directory dans le Cloud de l’entreprise (Microsoft ou Google).

Les limites de l’application de la procédure d’entrée-sortie et changement interne

On constate souvent la limite de l’application des procédures de sécurité lorsqu’elles sont trop rigides et ne laissent pas de souplesse dans l’utilisation de tous les jours. Les principaux cas sont :

* Les mises à jour des droits d’accès physiques et logiques ne sont pas effectuées lors de chaque mouvement d’un employé et de manière concomitante, les séparations de fonctions ne sont pas revues et mises à jour,

* La restitution des documents confidentiels n’est pas effectuée avant le départ de l’employé ou d’une mutation en interne,

* Le formulaire avec les signatures des Managers des départements n’est pas consigné dans le dossier de l’employé ne permettant pas une analyse forensique en cas de faille de sécurité,

* Les Process Owners (et la répartition de leur rôle dans le processus) n’ont pas été clairement identifiés et leur responsabilité n’est pas engagée si la procédure n’est pas appliquée,

* Enfin, suivant l’application des réglementations en vigueur pour l’entreprise, il est nécessaire de rappeler la signature de la charte informatique engage l’employé sur la confidentialité et les restrictions quant aux communications sur les données à caractère personnel que l’employé aurait collecté durant son activité professionnelle.

Cas de la sous-traitance

La procédure est légèrement différente pour les entrées-sorties des personnes employés temporairement (stagiaires, intérimaires) et les consultants présents pour la durée d’un projet. En effet, si on reprend les trois étapes de la vie d’une personne dans l’entreprise :

* Avant l’accueil de la personne, un contrat aura été revu avec le fournisseur (ou l’école dans le cas d’un stage) pour que les conditions de sécurité (droits d’accès physique et conditions d’utilisation des systèmes d’information) lui aient été communiquées et en particulier la charte informatique. De plus, le Manager aidé d’un juriste si nécessaire, pourra prévoir un paragraphe relatif à la confidentialité des informations auxquelles l’employé temporaire aura accès.

* Lors de l’accueil d’une personne temporaire, les conditions de sécurité (logiques et physiques) doivent être présentées de manière similaire à celles des autres employés. De plus, le manager est responsable de cet employé temporaire et devra surveiller de manière attentive le comportement de la personne pour éviter les risques de sécurité physique ou vol/fuite de données sensibles de l’entreprise.

* Enfin, lors du départ de l’employé il faut suivre rigoureusement la procédure de sortie ainsi qu’au niveau contractuel dans le cas d’un consultant. Dans le cas d’un stagiaire, il est aussi important que le rapport de stage soit relu avec attention par le maître de stage pour garantir qu’aucune information sensible ne soit communiquée à l’extérieur de l’entreprise. Cette action pourra être notée dans la procédure de sortie d’un employé temporaire pour ne pas l’oublier.

L’une des plus grandes difficultés pour les RH est de savoir qui est effectivement autorisé à travailler pour l’entreprise. En effet, les consultants sont souvent gérés par les Managers de département qui n’informent pas régulièrement les RH de leur présence. De plus, les cas ou le Manager effectue une extension de contrat de prestation de service est courant et il arrive que même le service de sécurité physique autorisant les accès aux locaux de l’entreprise ne soit pas informé et ne mentionne pas aux RH un disfonctionnement dans la procédure !

Enfin, nous constatons que des fonctions internes de l’entreprise sont effectuées par plusieurs personnes souvent externes à celle-ci. Le cas d’un Analyse SOC (opérationnel en 24/7) est représentatif d’une forme de virtualité de l’employé qui n’est jamais présent dans l’entreprise mais possède beaucoup de droits d’accès logiques dans les SI.

Le respect des séparations de fonctions

Depuis la mise en place de loi Sarbanes-Oxley en 2002 toutes les sociétés cotées au NYSE doivent avoir fait certifier leurs procédures de gestion des Systèmes d’Information (plus particulièrement le reporting financier) par un cabinet d’audit externe. En particulier, le chapitre 404 indique que les droits d’accès doivent être revus régulièrement et que les séparations de fonctions doivent être conformes à des règles limitant le risque de fraude.

De fait, le Manager est en charge de revoir régulièrement les droits d’accès des employés (en particulier lors de chaque changement dans l’organisation de son service) et rapportera aux RH la confirmation du respect des séparations de fonctions. Une revue officielle (à minima annuelle) est initiée par le Contrôle Interne qui publiera un rapport confirmant cette séparation des fonctions[8] dans chaque département à destination de la Direction Générale. Les Ressources Humaines ont alors la responsabilité de vérifier l’application de la procédure de contrôle, de s’assurer que leur liste d’employés est à jour et que les demandes de mise à jour des droits d’accès ont bien été effectuées à l’informatique ainsi qu’aux Services Généraux.

Pour assurer les contrôles relatifs à cette procédure, il est nécessaire de mettre en place un reporting périodique qui facilitera l’auditabilité du processus :

Type de contrôle Rapport de contrôle Périodicité Process
Owner (s)
Extraction automatique Liste des employés pour chaque Système d’information Mensuelle Direction Informatique
Extraction automatique Liste des employés présents dans l’entreprise (avec date d’effet) Mensuelle RH
Extraction automatique Rapport de revue des séparations de fonctions Mensuel

Directions Métier

RH – Contrôle Interne

Déclaratif Rapport de synthèse des écarts entre les listes des employés : RH et Direction Informatique Mensuel RH
Déclaratif Rapport de réduction de risques en cas de conflit de séparation de fonction par domaine fonctionnel Annuel

Directions Métier

RH – Contrôle Interne

Conclusion

Le nombre de changement de fonctions et les entrées-sorties au sein des entreprises a fortement progressé avec l’arrivée des nouvelles générations d’employés. Il est désormais primordial de mettre en place une procédure documentée pour gérer correctement ce process et éviter les risques de fraudes et de perte/vol d’information sensibles dans l’entreprise.

___________________

[1] Les aménagements lors de rupture conventionnelle, réduction d’effectif, pré retraite ou retraite introduisent des exceptions dans les procédures les plus rôdées.

[2] Règles de séparation de fonctions pour diminuer les risques de fraude.

[3] A titre d’exemple, HR Access (de SAP) ou Workday comportent cette fonctionnalité.

[4] Il ne faut pas oublier qu’un certain nombre de droits d’accès techniques sont aussi créés et doivent être vérifiés mensuellement ; il s’agit de partage réseaux, droits d’accès aux imprimantes et les droits d’accès aux solutions gérées par des fournisseurs externes à l’entreprise, …

[5] Si changement d’entité juridique, il sera peut-être nécessaire de revoir le contrat de travail.

[6] Pour mémoire, J.Kerviel a bénéficié de droits d’accès administrateur de son poste précédent (opérateur au support informatique) pour bypasser les plafonds de la procédure et dupliquer les enjeux pour engager près de 5 Milliards d’Euros.

[7] Cette feuille de sortie comprend l’identification de l’employé, sa fonction, son département, … la date de sortie effective et les différents des documents sensibles et droits d’accès logique et physique ainsi qu’une case spécifique pour la signature des Managers des départements concernés.

[8] Seules les fonctions à risques de fraude majoritairement sont visées par ces rapports