Les mouvements de personnel sont devenus monnaie courante dans les entreprises. Il est désormais essentiel de mettre en place des processus informatisés efficaces pour faciliter les entrées et sorties du personnel, tout en évitant les fraudes, les piratages et les pertes de données. Dans cet article, nous allons explorer en détail la procédure de gestion des entrées-sorties et des mouvements de personnel au sein d’une entreprise.
Le contexte de la gestion des entrées-sorties de l’entreprise
L’un des processus les plus souvent critiqués dans les rapports des auditeurs externes est la gestion des mouvements de personnel au sein d’une entreprise. Lorsqu’il y a plusieurs acteurs responsables de cette fonction, il peut y avoir plusieurs processus contradictoires et une coordination insuffisante. Il est donc essentiel d’ajouter une procédure de contrôle globale pour éviter tout problème de cohérence.
L’objectif de cette procédure, principalement sous la responsabilité des Ressources Humaines, est de vérifier que tous les employés présents dans l’entreprise ont signé un contrat et sont employés légitimement. Les auditeurs externes soulignent souvent les écarts qui existent parfois entre la liste des employés des Ressources Humaines et celle des employés “actifs” dans les systèmes d’information, disposant de droits d’accès aux SI. Ces écarts sont généralement corrigés lors de la procédure de paie mensuelle des employés, mais il peut arriver que le compte d’un employé quittant l’entreprise soit maintenu pour faciliter les procédures internes. Dans certains cas, le départ d’un employé n’est même pas signalé au service informatique, dans l’espoir de régulariser rapidement la situation. De plus, les Ressources Humaines ne sont pas toujours informées des changements ou des mutations internes.
Une mauvaise gestion de la cohérence entre les listes des employés et les droits d’accès aux systèmes d’information comporte plusieurs risques :
- Sécurité physique : Une personne pourrait utiliser le badge d’un ancien employé pour commettre des actes de fraude, des vols, de l’usurpation d’identité ou mettre en danger des secouristes en cas d’urgence. Cela pourrait également entraîner des conflits avec les assurances en cas de présence d’une personne non déclarée.
- Sécurité logique : Une usurpation d’identité ou de profil informatique pourrait contourner les contrôles anti-fraude, permettant ainsi d’effectuer des transactions pour le compte d’une personne qui n’existe plus dans l’entreprise.
- Sécurité informationnelle : Une personne pourrait usurper l’identité d’un employé pour transmettre de fausses informations à l’extérieur de l’entreprise.
Il est donc primordial de contrôler rigoureusement cette procédure, même si sa complexité réside dans le fait que trois acteurs sont responsables de ce risque : les Ressources Humaines, les Systèmes d’Information et le département de l’employé.
La gestion des entrées et admissions dans l’entreprise
La procédure de gestion des entrées et admissions dans l’entreprise débute avec le processus de recrutement. Avant d’admettre un nouvel employé, il est nécessaire de collecter des informations à son sujet. Il est préférable d’utiliser des systèmes d’information RH qui offrent ces fonctionnalités et qui permettent de conserver de manière confidentielle les données personnelles des candidats ainsi que des futurs employés. Le profil logique de l’employé, c’est-à-dire ses droits d’accès aux systèmes d’information, doit être créé par son manager et validé par les Ressources Humaines et le Contrôle Interne avant son arrivée. Cette revue des autorisations d’accès dans les systèmes d’information vise à respecter les règles de séparation des fonctions et à réduire les risques de fraude. Elle doit être réalisée en collaboration avec la Direction des Systèmes d’Information, qui mettra à disposition des Ressources Humaines et des Services Généraux / Sécurité les droits d’accès constatés dans les systèmes d’information.
Avant son premier jour dans l’entreprise, il est également important que le contrat de travail et le règlement intérieur, qui contient la charte informatique avec les recommandations et exigences de sécurité informatique, soient signés. Cela confirmera l’engagement de l’employé envers l’assurance de l’entreprise. En fonction du niveau de maturité de l’entreprise en matière de cybersécurité, le contrat de travail peut également préciser les restrictions en matière de communication externe et la classification des documents confidentiels. À son arrivée sur son lieu de travail, le manager devra fournir les recommandations de sécurité physique nécessaires au bon déroulement de ses fonctions. Un badge électronique, délimitant les zones de déplacement, sera défini et vérifié en présence de l’employé.
La gestion du changement de fonction
Lorsqu’un employé change de fonction ou de responsabilité au sein de la même entité juridique de l’entreprise, il est primordial de revoir ses droits d’accès physiques et logiques aux ressources de l’entreprise. Cette revue doit être effectuée comme s’il s’agissait d’un départ de l’ancienne affectation et d’une arrivée dans le nouveau service. L’un des problèmes récurrents lors de ces revues des droits d’accès est de constater qu’un ancien employé conserve encore les droits d’accès de sa précédente fonction. Le cas de Jérôme Kerviel est un exemple parmi d’autres, soulignant les risques liés à la négligence de cette étape fondamentale.
