Politique d’intégration et de départ - PME

La Politique d’intégration et de départ (P07S) constitue une mesure essentielle pour les organisations qui cherchent à gérer l’ensemble du cycle de vie des accès utilisateurs de manière sécurisée, conforme et auditable. Cette politique est spécifiquement adaptée aux petites et moyennes entreprises (PME), comme l’indique le « S » dans son numéro de document et l’attribution des responsabilités à des rôles tels que le Directeur général et l’Office Manager/RH, plutôt qu’à des équipes spécialisées comme un Responsable de la sécurité des systèmes d’information (RSSI) dédié ou un Centre opérationnel de sécurité (SOC). Elle répond néanmoins aux exigences de cadres clés, notamment l’ISO/IEC 27001:2022. L’objectif de la politique est de définir, standardiser et documenter les processus d’intégration des nouveaux employés, contractants et prestataires tiers de services, tout en garantissant des contrôles robustes pour leur départ ou un changement de rôle interne. Elle applique le principe du moindre privilège lors du provisionnement des accès, utilise des listes de contrôle pour formaliser la vérification de la remise et de la restitution des actifs, et impose des journaux documentés pour les changements de comptes et d’actifs. Les activités de départ se concentrent sur la révocation rapide des accès, la récupération des actifs de l'entreprise et la clôture sécurisée des identités numériques afin de maîtriser le risque d’accès non autorisé ou d’exposition des données. Les rôles et responsabilités sont définis pour correspondre aux structures typiques des PME. Le Directeur général assure la supervision du programme et l’approbation des accès à privilèges élevés, l’Office Manager ou les Ressources humaines (RH) initie l’intégration/la procédure de départ et maintient les listes de contrôle, et l’informatique (interne ou prestataire externe) gère les comptes et le matériel. Les responsables de département veillent à ce que les notifications de changements de rôle soient traitées, tandis que chaque employé ou prestataire est tenu de respecter la formation à la sécurité et les processus de restitution des actifs. Les exigences de gouvernance sont robustes : utilisation de listes de contrôle d’intégration et de départ, tenue d’un registre de contrôle d’accès et d’un inventaire des actifs, et gestion immédiate des désactivations d’urgence. Les procédures de gestion des exceptions et des risques sont clairement définies, imposant la documentation, la notification au Directeur général et des mesures compensatoires si des étapes standard sont omises en raison d’une urgence opérationnelle. La conformité est assurée par une surveillance régulière, des revues par échantillonnage et des conséquences claires en cas de non-respect, telles que le réentraînement ou l’escalade. En exigeant explicitement des revues annuelles, des mises à jour réactives en cas de changements de processus ou réglementaires, ainsi que la communication des modifications de politiques à l’ensemble du personnel concerné, cette politique soutient un processus d’amélioration continue. Elle est structurée pour aider les PME à répondre efficacement aux exigences de conformité, d’intégrité opérationnelle et de protection des données, y compris dans les organisations sans structures de sécurité complexes.