L'intégration et le désengagement des employés font référence aux processus qui commencent et terminent la période d'un employé au sein d'une entreprise.

Vous avez probablement déjà entendu ces termes et peut-être même aidé à exécuter ces processus, mais assurer la sécurité lors de ces étapes essentielles du cycle de vie des employés est un défi même pour les employés les plus expérimentés. Cela est particulièrement vrai, car le télétravail introduit de nouveaux risques pour la sécurité informatique.

Dans une enquête Gartner Peer Insights, 58 % des cadres ont déclaré que les processus de désengagement avaient changé en raison de la nécessité de soutenir une main-d'œuvre à distance et 55 % des professionnels de l'informatique et de la sécurité ont décrit le désengagement à distance comme plus difficile.

Que vous soyez un leader d'un département informatique bien établi ou seul au département RH, nous allons explorer comment vous pouvez créer un processus d'intégration et de désengagement fluide et sécurisé.

Qu'est-ce que l'intégration?

L'intégration fait référence au processus continu de transformation d'un nouveau recrue en un employé intégré. Cela implique de présenter aux nouvelles recrues l'aspect performance de leurs nouveaux emplois, de les socialiser dans la culture organisationnelle et de les familiariser avec les objectifs, valeurs, règles et procédures de l'organisation.

Le processus commence une fois qu'un nouveau recrue accepte une offre d'emploi et continue jusqu'à ce que cette personne soit pleinement immergée dans son rôle.

Les avantages d'une intégration efficace comprennent:

• Minimisation des risques : L'Institut Ponemon a constaté que le coût et la fréquence des incidents internes sont en augmentation. Le coût de traitement d'un problème de sécurité interne est passé de 11,45 millions de dollars en 2020 à 15,38 millions de dollars en 2022. La fréquence a également augmenté de 44 % en 2022. L'intégration peut aider à réduire les incidents internes causés par des erreurs, des abus de privilèges, de la négligence et d'autres facteurs.
• Rétention des employés : Paychex a constaté qu'alors qu'un nombre incroyable de 50 % des nouveaux employés prévoient de quitter tôt, ce nombre monte en flèche à 80 % pour ceux qui se sentent sous-formés en raison d'une mauvaise intégration.
• Productivité et engagement accrus : SHRM a constaté que 62 % des entreprises avec des programmes d'intégration ont des ratios de temps à la productivité plus élevés et 54 % rapportent un engagement des employés plus élevé.
• Retour sur investissement (ROI) plus élevé : eLearning Industry a constaté que 77 % des employés qui avaient un processus d'intégration formel atteignaient leurs objectifs de performance initiaux.

Malgré les avantages évidents, de nombreuses organisations échouent dans leurs processus d'intégration, ce qui entraîne des catastrophes de sécurité. Créer une intégration efficace peut être encore plus difficile avec des employés à distance. Examinons le concept d'intégration à distance ci-dessous.

Qu'est-ce que l'intégration à distance?

L'intégration à distance est le processus d'intégration des nouveaux employés dans la culture, les flux de travail et les processus d'une entreprise entièrement ou principalement par des moyens virtuels en raison de circonstances telles que les politiques de télétravail, les équipes distribuées ou les opérations mondiales.

Le processus d'intégration à distance peut impliquer des activités telles que:

• séances d'orientation virtuelles
• modules de formation en ligne
• vidéoconférences avec les membres de l'équipe et les gestionnaires
• signature électronique de documents
• l'utilisation d'outils numériques pour la communication et la collaboration.

L'intégration à distance vise à garantir que les nouvelles recrues se sentent les bienvenues, informées et équipées pour réussir dans leurs rôles, malgré l'absence physique au bureau de l'entreprise ou auprès de leur manager ou d'autres parties prenantes.

L'intégration à distance comporte des considérations de sécurité uniques. Et puisque la transition vers le travail à distance s'est accélérée ces dernières années, il est plus important que jamais de comprendre comment intégrer les employés en toute sécurité.

Dans la section suivante, nous expliquerons exactement comment vous pouvez améliorer le processus d'intégration, que ce soit en personne ou à distance, pour protéger les actifs de votre organisation.

Comment le service informatique peut aider à élaborer un programme d'intégration sécurisé

Le processus d'intégration consiste à offrir une expérience positive à une nouvelle recrue et à la mettre à jour.

Cependant, il est tout aussi important de ralentir et de s'assurer que vous le faites de manière sécurisée. Suivez ces étapes importantes pour installer votre nouvelle recrue tout en couvrant vos bases pour la conformité à la sécurité.

1. Collecter les informations en toute sécurité

Avant même que votre nouveau salarié n'ait commencé son nouveau rôle, le processus d'intégration a déjà commencé. Au moins une semaine avant la date de début, collectez leurs informations personnelles et commencez à préparer tout ce dont ils auront besoin pour leur travail.

Ce processus nécessite une coordination et une communication soigneuses entre les RH et le service informatique. Assurez-vous de :

• Confirmer les informations de l'employé, y compris son nom et son département
• Déterminer quels outils ils devront utiliser
• Avoir une compréhension claire des approbations dont ils auront besoin pour certaines licences

Veiller à ce que toute information personnelle et sensible des nouvelles recrues, comme les documents d'identification, soit collectée, transmise et stockée en toute sécurité, en conformité avec les réglementations sur la protection des données.

2. Préparer et expédier le matériel

Ensuite, préparez-vous à envoyer le matériel qu'ils utiliseront au quotidien. Il est judicieux de tenir une liste de matériel dont chaque rôle a besoin dans votre procédure standard d'intégration (SOP).

Quelques semaines avant que l'employé ne commence son nouveau rôle, assurez-vous que les ordinateurs et autres articles dont ils auront besoin sont en stock. S'ils travaillent à distance, préparez-vous à expédier ces matériaux tôt.

Le premier jour de l'employé, vérifiez et évaluez son confort à assembler un poste de travail. Confirmez qu'ils sont équipés du réseau privé virtuel (VPN) ou de la passerelle de télétravail utilisée par votre organisation et fournissez-leur un support technique au besoin.

Le support informatique minimisera les risques d'erreurs techniques (améliorant la sécurité) et offrira à l'employé une expérience positive.

3. Installer les logiciels nécessaires et configurer les comptes

Une fois que votre nouvelle recrue dispose de son matériel opérationnel, il est temps d'installer les logiciels nécessaires et de les aider à activer leurs comptes.

Que vous intégriez un nouvel employé dans votre organisation ou que vous prépariez un employé existant à un changement de rôle, créez une liste de systèmes et d'autorisations auxquels ils accéderont ou qu'ils perdront.

Selon les données d'enquête de Ivanti, dans 27% des entreprises, les employés manquent d'identifiants essentiels pendant plus d'une semaine. Non seulement c'est une expérience stressante pour l'employé, mais cela coûte aussi à l'entreprise.

4. Mettre en œuvre des contrôles d'accès

Une fois que vous avez répertorié les systèmes et les autorisations auxquels ils auront besoin d'accéder, vous pouvez mettre en œuvre des contrôles d'accès et des mécanismes d'authentification robustes. Cela garantit que seules les personnes autorisées ont accès aux systèmes, aux applications et aux données de l'entreprise. Cela implique de mettre en place une authentification multifactorielle (MFA) et des contrôles d'accès basés sur les rôles (RBAC).

Lors de la mise en œuvre des contrôles d'accès, tenez compte du principe du moindre privilège. Cela est particulièrement important lors de l'intégration des nouveaux employés. Les nouveaux employés ne doivent avoir accès qu'aux ressources dont ils ont besoin pour accomplir leur travail. Si l'employé a besoin de plus de privilèges par la suite, il peut expliquer pourquoi.

5. Gérer leurs appareils

Il est essentiel que les nouvelles recrues utilisent des appareils sécurisés avec des logiciels antivirus à jour et des protocoles de cryptage. Les appareils à distance en particulier doivent être protégés contre les logiciels malveillants, les ransomwares et autres menaces.

Une solution de gestion des appareils mobiles (MDM) peut aider à gérer les appareils en toute sécurité et à s'assurer qu'ils sont régulièrement mis à jour avec des correctifs de sécurité et des mises à jour logicielles.

Dans le cadre de votre stratégie globale de MDM, vous devez également fournir des directives pour sécuriser les appareils personnels utilisés à des fins professionnelles, telles que l'activation du cryptage des appareils et l'utilisation de réseaux Wi-Fi sécurisés.

6. Organiser une formation informatique le premier jour

Le premier jour de travail de toute nouvelle recrue est plein de nouvelles informations. Priorisez la formation informatique pour vous assurer qu'ils savent comment se comporter de manière sécurisée et responsable dès le premier jour.

Une session de formation informatique complète devrait couvrir des sujets tels que :

• Comment contacter l'informatique
• Les problèmes gérés par chaque service
• À quoi ressemble une bonne hygiène de mot de passe (par exemple, ne pas conserver les mots de passe dans une feuille de calcul sur le bureau)
• Les règles pour certaines applications (par exemple, peut-être qu'un logiciel nécessite une authentification multifactorielle à chaque utilisation, tandis que d'autres ne le nécessitent qu'une fois par jour)
• Un aperçu des protocoles de sécurité de votre organisation

7. Appliquer les politiques

Pour vous assurer que les nouvelles recrues suivent les meilleures pratiques en matière de sécurité, vous devez appliquer des politiques et des procédures de sécurité pour le travail à distance, y compris des directives sur l'utilisation acceptable des appareils, les exigences de connectivité Internet et les pratiques de gestion des données.

Une plateforme d'automatisation peut garantir que toutes les nouvelles recrues ont accepté les politiques organisationnelles, et s'assurer qu'elles continuent à le faire de manière récurrente.

8. Organiser des formations régulières à la sécurité

N'oubliez pas que l'intégration est un processus continu.

Une seule session de formation ne suffit pas pour communiquer tout ce qu'un employé doit savoir pour se protéger et protéger l'entreprise. De nouvelles menaces se développent, les protocoles de l'entreprise évoluent et les êtres humains sont imparfaits.

Pour cette raison, il est judicieux d'organiser des formations régulières à la sécurité pour tous les nouveaux employés, et même pour les employés expérimentés.

Alors que vous commencez à améliorer votre propre processus d'intégration, téléchargez notre liste de contrôle d'intégration imprimable ci-dessous pour rester sur la bonne voie.

Téléchargez la liste de contrôle pour l'intégration IT

Améliorez votre processus d'intégration des employés avec cette liste de contrôle imprimable.

Qu'est-ce que l'offboarding et comment cela doit-il être fait ?

L'offboarding est le contraire de l'intégration — c'est le processus formel de désengagement d'un employé de l'organisation.

La désintégration est un processus réactif. Il s'agit de retirer l'accès aux systèmes et aux outils plutôt que de le donner. Bien que ce processus ait tendance à recevoir moins d'attention que l'intégration, bien l'exécuter est impératif pour tout programme de sécurité.

Selon Ivanti, près de la moitié des professionnels de l'informatique sont seulement quelque peu confiants que leurs employés récemment désintégrés ne peuvent plus accéder aux systèmes et aux données. Plus récemment, DTEX a constaté une augmentation de 35 % des incidents de vol de données causés par des employés quittant les entreprises en 2022..

Ces statistiques indiquent que de nombreuses organisations n'ont pas de procédures de désintégration efficaces pour le départ d'un employé.

Si c'est le cas dans votre organisation, suivez les étapes ci-dessous pour comprendre comment l'informatique peut jouer un rôle intégral dans la protection des données lors du départ d'un employé.

1. Déterminer le niveau de risque

Évaluer le niveau de risque d'un employé est une première étape essentielle dans le processus de désintégration. Si vous avez des raisons de croire que l'employé peut se venger ou falsifier les informations de l'entreprise, vous devriez procéder avec prudence.

Pour évaluer la volatilité d'un employé, vous devez vous poser quelques questions :

• L'employé a-t-il été prié de partir ou part-il volontairement ? Il est conseillé de disposer de deux processus de désintégration distincts — l'un pour les résiliations volontaires et l'autre pour les résiliations involontaires.
• L'employé s'est-il activement plaint de la direction supérieure pendant son temps avec l'entreprise ? Si oui, sa volatilité devrait être classée plus haut car il y a une plus grande probabilité de mécontentement et de représailles.

Un moyen efficace d'évaluer la volatilité d'un employé est de réaliser un entretien de départ et de poser des questions soigneusement formulées pour connaître ses griefs. C'est aussi un bon moment pour tenter de désamorcer un employé volatile en empathisant et en offrant du soutien.

Ensuite, évaluez comment cet employé est privilégié dans vos systèmes informatiques en fonction de son rôle et de sa fonction. A-t-il accès à du matériel avancé et à des comptes et/ou des permissions spéciales ? Si tel est le cas, il peut être en mesure de causer des dommages importants à l'organisation.

Classez la volatilité de l'employé et le niveau de privilège chacun sur une échelle de 1 à 10, du moins au plus, et additionnez-les pour obtenir votre score de risque. Le niveau de risque est subjectif, mais en règle générale…

• S'ils obtiennent un score entre 8 et 20, vous devriez procéder avec prudence.
• S'ils obtiennent un score inférieur à 8, ils ne sont probablement pas d'un risque important.

Disons que l'employé n'a obtenu que 2 pour le niveau de privilège mais 8 pour la volatilité. Avec un niveau de risque total de 10, il est important de faire preuve de diligence raisonnable lors de leur désintégration pour s'assurer que votre organisation reste sécurisée.

2. Récupérer les actifs organisationnels

Une fois que l'employé a terminé sa dernière journée avec l'entreprise, il est temps de récupérer les actifs de l'organisation.

Les actifs physiques à récupérer comprennent :

• Ordinateurs
• Moniteurs
• Lecteurs externes
• Clés et cartes d'accès

Les actifs numériques à récupérer comprennent :

• Identifiants logiciels
• VPNs
• E-mails
• Comptes cloud
• Licences de tout logiciel

Tant que l'employé n'est pas à haut risque, il est important de l'informer de la date à laquelle ses comptes ne seront plus disponibles. Faites-le au moins quelques jours avant de les désactiver et d'effacer les données sensibles de leurs appareils. Cela donne à l'employé partant du temps pour transférer ses actifs personnels qu'il pourrait stocker sur son compte de travail.

3. Identifier les emplacements de stockage des données et sauvegarder

Si vous utilisez principalement un système basé sur le cloud, l'employé peut avoir téléchargé des actifs précieux de l'entreprise sur ses appareils personnels. Il est important de vérifier les enregistrements en arrière-plan pour tout signe de transfert de données et d'enquêter sur toute activité suspecte.

Si vous désintégrez un employé à haut risque, vous devriez également envisager de changer les mots de passe des connexions d'entreprise partagées. Si l'employé a noté cette information, il pourrait voler ou endommager des données critiques de l'entreprise après la désintégration.

Bien sûr, vous devriez également sauvegarder toutes les informations que vous avez sur l'employé partant. Ces données seront utiles lors de la prochaine étape du processus de désintégration — le transfert de connaissances.

Enfin, rappelez-vous que l'employé a des données importantes dans sa tête. Rappelez-lui l'accord de non-divulgation (NDA) ainsi que tout autre accord de confidentialité qu'il a signé lors de son intégration. Bien qu'il puisse avoir des ennuis juridiques pour avoir violé ces accords accidentellement, il est préférable d'éviter ces ennuis.

4. Transférer les connaissances

À ce stade, il est important de considérer toutes les personnes qui peuvent être impactées par le départ de l'employé.

Par exemple, vous devriez informer les fournisseurs et les clients concernés du départ de l'employé. Fournissez un nouveau point de contact ainsi que toute information qui pourrait être utile pendant la transition.

Enfin, après avoir documenté les responsabilités et les activités de l'employé, il est temps de transférer ces connaissances à son remplaçant. Cela devrait rendre la transition entre le départ d'un employé et l'arrivée d'un autre fluide.

La prochaine fois que vous préparez le départ d'un employé, utilisez la liste de contrôle suivante pour exécuter ce processus en toute sécurité.

Obtenez la liste de contrôle de départ IT

Complétez le processus de départ d'un employé en toute sécurité avec cette liste imprimable.

Conseils de conformité lors de l'intégration et du départ des employés

Selon Navex Global, 37% des organisations n'ont pas de plan formel d'éducation à la conformité. Ces organisations risquent d'être pénalisées pour ne pas avoir suivi les réglementations de l'industrie. Et elles sont vulnérables aux cyberattaques de la part de parties externes et internes.

Pour rester conforme tout au long du processus d'intégration et de départ, considérez les conseils suivants :

1. Documentez tout

Créez des SOP, des listes de contrôle et d'autres ressources détaillant vos processus d'intégration et de départ. Cela permettra aux départements de rester sur la même longueur d'onde et vous aidera à démontrer que vos processus sont conformes aux normes de l'industrie.

La documentation s'applique également aux employés individuels - chaque fois que les contrôles d'accès d'un utilisateur changent, ce changement doit être documenté. En plus d'être une habitude sécuritaire responsable, vous pourriez être tenu de fournir ces enregistrements comme preuve lors d'un audit, tel que SOC 2.

2. Automatisez autant que possible

L'erreur humaine est inévitable, et il y a des endroits où les machines devraient être mises à contribution. L'automatisation peut rendre les processus plus infaillibles tout en économisant des ressources à l'entreprise.

Par exemple, configurer des sauvegardes automatiques des données des employés vous fera gagner du temps et du stress avant le début du processus de départ.

3. Réévaluez continuellement les protocoles de formation

Il est important de revenir régulièrement sur vos ressources de formation et vos SOP pour une réévaluation. Les nouveaux risques et les échecs organisationnels révèlent des domaines nécessitant du travail, mais l'organisation doit prendre l'initiative de corriger ce qui ne va pas.

Par exemple, si vous constatez qu'un ancien employé a accès aux données de l'entreprise, ne dites pas simplement "tant pis" et passez à autre chose. Introduisez des processus de sécurité plus stricts à votre SOP de départ pour vous assurer que cela ne se reproduise plus.

Apprenez de vos échecs jusqu'à ce que vous ayez les processus d'intégration et de départ les plus sécurisés possible.

4. Synchronisez les outils

Bien qu'il n'existe pas de logiciel tout-en-un pour tous les processus de votre organisation, de nombreux outils numériques peuvent se synchroniser et s'intégrer. Le faire permet de rationaliser les processus et de faciliter la communication entre les départements lors de l'intégration et du départ.

Pour plus de conseils sur la manière d'intégrer et de désactiver les employés en toute sécurité, explorez notre guide visuel ci-dessous.

Comment Secureframe peut aider

Secureframe simplifie le processus d'intégration et de désactivation des employés tout en sécurisant chaque étape pour votre entreprise.

• Importer automatiquement du personnel : Secureframe importe automatiquement du personnel sur la plateforme via vos intégrations HR, SSO, MDM et autres.
• Automatiser l'intégration : Les nouveaux employés peuvent suivre un workflow d'intégration automatisé pour compléter la formation à la sensibilisation à la sécurité et examiner les politiques.
• Surveiller l'accès des fournisseurs : Suivez le niveau d'accès que chaque personnel a à vos intégrations pour vous assurer qu'ils disposent de l'accès nécessaire pour effectuer leur travail et pour garantir que seul un nombre limité d'employés ait un accès complet à vos données sensibles.
• Simplifier la désactivation : Notre plateforme met en évidence quels employés peuvent accéder à quels fournisseurs, y compris les anciens employés, simplifiant ainsi le processus de désactivation.
• Suivre les tâches du personnel et envoyer des rappels : Ayez l'esprit tranquille que chaque personnel complète les tâches nécessaires, comme accepter les politiques, suivre la formation à la sécurité et réussir une vérification des antécédents. Avec Secureframe, les administrateurs peuvent facilement suivre les tâches incomplètes du personnel et envoyer des rappels, le tout depuis une seule vue.

Pour obtenir de l'aide experte pour sécuriser vos processus d'intégration et de désactivation,demandez une démonstration de Secureframe dès aujourd'hui.

Pour plus de conseils sur la manière d'intégrer et de désactiver les employés en toute sécurité, explorez notre guide visuel ci-dessous.