Bonne pratiques 4 : Avant l’engagement

Le chapitre 7 de la norme ISO 27002 de 2013, le Code de bonnes pratiques pour la gestion de la sécurité de l’information, recommande plusieurs actions afin de créer la confiance dans le personnel que l’entreprise engage.

« Pourquoi mon futur employeur me demande-t-il et s’intéresse-t-il à autant de choses ? »

C’est ce que l’objectif de contrôle 7.1 expose en stipulant également que ces bonnes pratiques s’appliquent également aux changements de fonction au sein de l’entreprise.

Compétences

Les mesures prises servent à s’assurer que les futurs salariés comprennent leurs responsabilités et qu’ils sont compétents pour remplir les fonctions que l’organisation envisage de leur confier.

Si c’est évident pour le métier que vous pratiquez, ce devrait l’être également si vos activités, ne fut-ce que partiellement, relèvent de la sécurité de l’information ou de la sécurité informatique.

Votre employeur se doit de respecter la loi lors de la collecte des informations vous concernant. Il doit également veiller à la proportionnalité avec les tâches qu’il va vous confier. Les activités de vérification avant l’embauche sont confiées à un service spécialisé qui suit des processus et procédures bien réglementés.

L’employeur doit également protéger les informations vous concernant afin que personne, en dehors des personnes autorisées, ne puisse y accéder et exploiter ces informations à vos dépens.
Le Règlement Général de Protection des Données à caractère personnel (RGPD) de l’Union Européenne qui entrera en vigueur le 25 mai2018 fixe le cadre des obligations à ce sujet.

Les règles devraient être les mêmes pour les contractants externes, même si les activités de contrôle sont à charge de la société qui les propose. En effet, ces externes auront accès aux locaux, au matériel et applications informatiques et à des informations internes. Les exigences et responsabilités doivent être clairement explicitées dans le contrat, car c’est lui seul qui sert de garant de leur respect. Le département du personnel ou des ressources humaines n’a que peu d’autorité sur les externes.

Confiance

La norme parle également de confiance à accorder aux personnes que l’on veut engager. Si l’entreprise recherche quelqu’un pour occuper un poste à responsabilités importantes ou un rôle qui vous donnera accès à des informations stratégiques ou de grande valeur (donc classifiées), cela me semble indispensable.

La confiance cela se crée, cela s’entretien et cela se mesure. On parle souvent d’intégrité morale, de devoir de réserve.

La confiance dans les contractants externes comme dans un nouveau salarié se base sur des contacts que l’entreprise pourra avoir avec les autres entreprises pour lesquelles vous avez travaillé.

La confiance est réciproque. La direction doit respecter la loi dans la surveillance qu’il exerce sur son personnel. Cette surveillance doit être explicitement présentée dans le Règlement de Travail que vous signerez pour signifier votre entrée en fonction dans votre nouvel emploi.

Termes et conditions d’embauche

Le contrat que vous apprêtez à signer, en tant que salarié ou contractant, doit spécifier, en supplément des rôles et tâches qui vous seront dévolues, les responsabilités qui seront les vôtres ainsi que celles de l’entreprise à votre égard :

  • Respect des lois sur la vie privée ou sur la propriété intellectuelle ;
  • Souscription des contrats d’assurances nécessaires, à charge de l’entreprise ;
  • Respect de la politique de sécurité de l’information de l’entreprise ainsi que de toutes les directives qui vous concernent ;
  • Les règles à suivre si vous manipulez des informations appartenant à des tiers ;
  • Les suites apportées par l’entreprise en cas de non respect des obligations.

Votre futur employeur vous fera sans doute signer un engagement de confidentialité ou de non divulgation. Il vous imposera sans doute des règles concernant le secret professionnel.
Rappelez-vous que secret professionnel est couvert par une loi et vous pouvez donc être poursuivi si vous êtes pris en défaut.

Il se peut même que l’on vous fasse signer un Charte ou un Code de Bonnes Pratiques concernant l’usage des moyens informatiques ou la manipulation des informations sensibles.

Le contrat stipulera enfin la durée pendant laquelle vos responsabilités vis-à-vis de l’entreprise et des informations auxquelles vous allez avoir accès se prolongeront à la fin du contrat.
En effet, même si vous avez rendu les moyens informatiques et les documents qui vous auront été confiés, une grande partie des informations vous resteront en mémoire. Ces informations garderont leur pertinence et leur valeur pendant une période plus ou moins longue et vous resterez lié à vos engagements de non divulgation et de secret professionnel.

 

Voici, présentées simplement, quelques questions qui seront abordées lors des entretiens d’embauche et les garanties que vous devriez trouver dans les explications que vous recevrez et les contrats que vous allez signer. Comme beaucoup de choses en matière de sécurité de l’information, ces garanties sont réciproques entre l’entreprise et vous.

Cela se passe-t-il ainsi dans votre entreprise ?

N’hésitez pas à me poser vos questions.

 

A bientôt, plus en sécurité avec vos informations.

Jean-Luc

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *