Politique d’intégration et de départ

La Politique d’intégration et de départ (document P07) fournit un cadre complet et standardisé pour gérer l’ensemble du cycle de vie des accès du personnel, de l’enrôlement et des transferts internes jusqu’à la procédure de départ, la résiliation ou l’expiration du contrat. Conçue pour tous les types d’utilisateurs, y compris les employés, prestataires, consultants, fournisseurs et tiers, elle impose un provisionnement des accès et un déprovisionnement des accès en temps opportun et sécurisé, pour l’accès physique et l’accès logique, en veillant à ce que chaque transition soit gérée avec le bon équilibre entre confidentialité, autorité et responsabilité, et contrôle des actifs. Cette politique s’applique à l’échelle de l’organisation et exige que tous les services — Ressources humaines (RH), Exploitation informatique, Gestion des installations et des actifs, Sécurité, Direction, Juridique et conformité, et Conformité — jouent un rôle défini dans les processus d’intégration et de départ. Elle prescrit des flux de travail détaillés : l’intégration comprend la vérification des antécédents, l’accord de non-divulgation et l’attestation de prise de connaissance de la politique, la formation de sensibilisation à la sécurité, et l’attribution des droits d’accès selon le principe du moindre privilège, revue par les responsables concernés ; pour les transferts internes, elle déclenche une revue des habilitations fondée sur les risques et garantit que toutes les habilitations antérieures sont clôturées avant l’approbation de nouveaux accès ; et le processus de résiliation exige que toute attribution des droits d’accès soit révoquée (utilisateurs à privilèges élevés dans un délai de quatre heures), que les actifs soient collectés, que les politiques soient réacceptées, et que toute la documentation associée soit conservée pour l’auditabilité. Les objectifs de la politique vont au-delà de la gestion des accès utilisateurs. Elle vise à préserver la confidentialité, l’intégrité et la disponibilité des actifs de l’organisation lors des transitions de personnel, en soutenant la piste d’audit et la défense de droits en justice grâce à une documentation exhaustive dans le SIRH, les plateformes de gestion des identités et des accès et le registre des actifs. Des procédures immédiates de récupération et de validation des actifs sont spécifiées, y compris des contrôles informatiques pour supprimer les données sensibles résiduelles et des contrôles des installations pour les badges d'accès, les équipements et les clés. La gestion des exceptions est strictement contrôlée : toute dérogation doit faire l’objet d’une appréciation des risques, être documentée et soumise à des revues périodiques par la haute direction (RSSI ou Directeur des ressources humaines), avec des risques résiduels documentés et une évaluation du risque résiduel tous les 90 jours ou lorsque la situation évolue. Alignée sur plusieurs cadres internationaux, notamment ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, COBIT 2019, le RGPD, NIS2 et DORA, la politique garantit que les pratiques de l’organisation répondent à toutes les exigences réglementaires clés. Elle intègre des dispositions de ces normes couvrant la compétence, le contrôle d'accès, le principe du moindre privilège, la vérification, la journalisation d’audit et la gouvernance opérationnelle. Les exigences de surveillance des processus et d’audit interne sont intégrées, avec la supervision du Responsable du SMSI et des mécanismes de dispositif d'alerte. Les violations déclenchent des conséquences disciplinaires et juridiques, avec une escalade vers les autorités de réglementation lorsque des données réglementées ou des données à caractère personnel sont concernées. La maintenance de la politique est tout aussi robuste : elle impose des revues annuelles, des mises à jour après des changements majeurs de sécurité ou de systèmes RH, des mises à jour déclenchées par incident, et l’archivage des versions obsolètes. Les procédures de contrôle documentaire préservent l’historique des changements et les enregistrements de propriété. Cela relie la gestion des risques opérationnels à la conformité et à l’autorité et responsabilité, constituant une partie critique de l’environnement de contrôle intégré de l’organisation grâce à des liens directs vers des documents de politique connexes (sécurité, contrôle d'accès, comptes utilisateurs, gestion des risques, Politique d'utilisation acceptable).