Aller au contenu
Cybersécurité Démystifiée
Background Image
  1. Articles/
  2. CISSP/
  3. I. Security and Risk Management/

Contribution et application des politiques de sécurité du personnel

·5 mins·
CISSP Hiring Employment Onboarding Transfers Termination Security awareness Least privilege Integration Screening
Auteur
Jacint BALINT
DevOps Engineer
Sommaire
Security and Risk Management - Cet article fait partie d'une série.
Partie 1: L'éthique professionnelle en cybersécurité
Partie 2: Confidentialité, intégrité, disponibilité, authenticité et non-répudiation
Partie 3: Principes de la gouvernance de la sécurité
Partie 4: La compréhension des enjeux juridiques, réglementaires et de conformité en sécurité de l'information
Partie 5: Les exigences des types d’investigation en cybersécurité
Partie 6: Élaboration, documentation et mise en œuvre des politiques, standards, procédures et lignes directrices de sécurité
Partie 7: La continuité d'activité : fondamentaux pour la résilience des entreprises
Partie 8: Cet article
Partie 9: La gestion des risques en cybersécurité
Partie 11: Comprendre la gestion des risques de la chaîne d’approvisionnement
Partie 12: La sensibilisation à la sécurité

La sécurité du personnel est un pilier fondamental de la stratégie globale de sécurité d’une organisation. En effet, les collaborateurs sont au cœur du fonctionnement de l’entreprise, mais ils constituent aussi souvent le maillon faible en matière de sécurité. La gestion rigoureuse des aspects liés au personnel, de l’embauche jusqu’au départ et au-delà avec les fournisseurs externes, est indispensable pour réduire les risques humains, prévenir les menaces internes et garantir une protection complète des actifs.

Le recrutement et la sélection des candidats
#

(Candidate screening and hiring)

Le processus de recrutement ne se limite pas simplement à pourvoir un poste vacant. Il s’agit d’un filtre essentiel pour s’assurer que seule la personne adéquate, à la fois compétente et fiable, intègre l’organisation. Plusieurs pratiques sont employées pour y parvenir :

  • Vérifications approfondies : L’organisation procède à des contrôles sur les références fournies par le candidat, sa formation académique, ainsi que son historique professionnel et personnel. Par exemple, la vérification du casier judiciaire, la trace des numéros d’identité nationaux, la consultation des registres spécifiques tels que les listes de délinquants sexuels, sans oublier un rapport de crédit pour certains postes sensibles, sont des moyens courants.
  • Tests psychométriques et d’aptitude comportementale : Les scénarios de questions, les tests de personnalité permettent de comprendre si le candidat s’intègre bien dans la culture d’entreprise, ce qui suppose un moindre risque de conflits ou de fraudes internes.
  • Réduction des risques et coûts : Une sélection rigoureuse contribue à diminuer les coûts liés à la formation et à la rotation du personnel (turnover), tout en protégeant clients et employés contre d’éventuels actes malveillants.

Cette phase inclut aussi la validation de certifications professionnelles, la confirmation du statut d’immigration, voire des tests de dépistage de drogues, en fonction de la nature du poste.

Accords d’emploi et exigences en lien avec les politiques
#

(Employment agreements and policy driven requirements)

Une fois un candidat retenu, la formalisation par un contrat écrit est cruciale. Ce document :

  • Inclut les politiques de l’organisation : Il est important que le contrat fasse référence ou intègre les manuels de l’employé, règles et politiques internes. Ceci évite des contestations ultérieures et renforce l’engagement du collaborateur sur le respect des règles.
  • Comprend une période d’essai : C’est une clause couramment utilisée pour sécuriser l’embauche et constater l’adéquation du nouvel employé.
  • Assure la conformité légale : Le responsable du recrutement doit travailler en coordination avec les ressources humaines et le service juridique, même s’il ne maîtrise pas tous les aspects légaux, pour garantir la validité du contrat.

Le but est de protéger l’entreprise en posant clairement les responsabilités et les attentes, ce qui est la fondation d’une relation de confiance et de rigueur.

Processus d’intégration, de mutation et de cessation d’emploi
#

(Onboarding, transfers, and termination processes)

L’intégration est souvent la première étape opérationnelle pour transformer un nouveau collaborateur en membre fiable et productif :

  • Formation à la sensibilisation à la sécurité (security awareness training) : Le nouvel employé doit suivre tous les modules de formation exigés afin de comprendre les enjeux et règles de sécurité de l’organisation.
  • Signature des politiques : Le salarié doit lire, comprendre et signer toutes les politiques de sécurité, avec la possibilité d’obtenir des clarifications.
  • Équipements et accès : Remise des badges d’accès, des clés, et création des comptes informatiques nécessaires avec contrôle strict des privilèges accordés suivant le principe de moindre privilège (least privilege). Ce principe garantit que l’employé reçoit uniquement les accès indispensables à sa fonction, minimisant ainsi les risques d’abus.

En cas de mutation ou de changement de rôle, un contrôle attentif des accès est impératif. Trop souvent, les privilèges anciens ne sont pas révoqués, ce qui peut donner lieu à des risques importants. L’objectif est toujours de maintenir un accès limité au strict nécessaire.

Lors d’un départ, les procédures doivent être claires et rigoureuses :

  • Sortie immédiate sous supervision d’un manager ou agent de sécurité.
  • Retour du matériel : badges, clés, équipements doivent être remis.
  • Entretien de sortie pour documenter les échanges, bien que celui-ci ne puisse être imposé légalement sans accord préalable.
  • Désactivation immédiate des accès aux systèmes informatiques.

Ces étapes doivent idéalement être prévues dès la signature du contrat d’embauche pour éviter toute ambiguïté.

Accords et contrôles des fournisseurs, consultants et sous-traitants
#

(Vendor, consultant, and contractor agreements and controls)

La gestion de la sécurité ne s’arrête pas aux employés directs. Les tiers externes avec lesquels une entreprise collabore — prestataires, consultants, sous-traitants — représentent également des vecteurs de risques:

  • Contrats clairs et stricts : Il est fondamental que tous les fournisseurs soient liés par des accords spécifiant les exigences de sécurité, conformes aux normes internationales comme ISO 27001.
  • Contrôles d’accès externes : Ces tiers doivent être soumis à des contrôles d’accès limités et surveillés, souvent considérés comme potentiellement non fiables.
  • Responsabilisation juridique : L’organisation conserve une responsabilité finale même pour les actions des tiers, ce qui impose une vigilance accrue à l’inclusion de clauses spécifiques et à un suivi régulier.

La mise en place de ces mesures protège l’entreprise contre des intrusions ou fuites d’informations causées par des partenaires externes tout en assurant la conformité aux exigences réglementaires.

Conclusion
#

L’application efficace des politiques et procédures de sécurité du personnel est indispensable pour toute organisation cherchant à renforcer sa posture de cybersécurité. De la sélection du personnel à la gestion des relations externes, chaque étape est une opportunité et une nécessité pour construire un environnement sécurisé.

S’appuyer sur des processus clairs, des accords écrits bien définis, des formations régulières et une gestion rigoureuse des droits d’accès permet de réduire significativement les risques liés aux erreurs humaines ou aux intentions malveillantes. Cette approche complète s’intègre dans un système d’information sécurisé global qui soutient les objectifs stratégiques de l’entreprise.

Ce cadre, s’il est respecté et appliqué, transforme le personnel d’un simple maillon faible en un rempart efficace contre les menaces internes et externes.

Security and Risk Management - Cet article fait partie d'une série.
Partie 1: L'éthique professionnelle en cybersécurité
Partie 2: Confidentialité, intégrité, disponibilité, authenticité et non-répudiation
Partie 3: Principes de la gouvernance de la sécurité
Partie 4: La compréhension des enjeux juridiques, réglementaires et de conformité en sécurité de l'information
Partie 5: Les exigences des types d’investigation en cybersécurité
Partie 6: Élaboration, documentation et mise en œuvre des politiques, standards, procédures et lignes directrices de sécurité
Partie 7: La continuité d'activité : fondamentaux pour la résilience des entreprises
Partie 8: Cet article
Partie 9: La gestion des risques en cybersécurité
Partie 11: Comprendre la gestion des risques de la chaîne d’approvisionnement
Partie 12: La sensibilisation à la sécurité

Articles connexes

La sensibilisation à la sécurité
·5 mins
CISSP Security awareness Security program Security policy Guidelines Training Education Social engineering Gamification
Principes de la gouvernance de la sécurité
·7 mins
CISSP Alignment Governance Security policy Security architecture Responsibility Accountability Due diligence Due care Security awareness Mergers and acquisitions Divestitures
Comprendre la gestion des risques de la chaîne d’approvisionnement
·6 mins
CISSP Supply chain Risk management Trojan SLA SBOM