Les dangers de l'utilisation de la messagerie par un salarié sur le départ
Si auparavant un employé sur le départ envoyait son message d'adieu sous une forme polie et bienséante, les exemples d'e-mail injurieux adressés à tout le personnel se multiplient. Se pose la question des mesures de contrôle.
"Salut bande de Blaireaux, je me tire !!" Et non, ça n'est pas l'annonce de mon départ. C'est juste une des nouvelles manières utilisées par des ex-employés américains pour quitter leur employeur. Cette pratique s'étend rapidement aux autres pays par effet de mode et pose la question du départ du personnel, particulièrement celui qui est licencié, en termes de pouvoir de nuisance envers le système d'information et particulièrement la messagerie.
Si auparavant un employé envoyait son message d'adieu aux personnes avec lesquelles il avait travaillé, en indiquant que son poste avait été rayé de l'entreprise ou qu'il avait trouvé d'autres challenges ailleurs, c'était la plupart du temps dans une forme polie et bienséante.
Si auparavant un employé envoyait son message d'adieu aux personnes avec lesquelles il avait travaillé, en indiquant que son poste avait été rayé de l'entreprise ou qu'il avait trouvé d'autres challenges ailleurs, c'était la plupart du temps dans une forme polie et bienséante.
Actuellement, la nouvelle pratique serait plutôt celle de la terre brulée car, avec de tels messages souvent adressés à tout le personnel depuis le plus simple employé jusqu'au PDG, il semble douteux que l'entreprise utilise à nouveau les services de quelqu'un avec un tel comportement.
Cette nouvelle pratique semble malheureusement devenir une mode repoussant toujours les limites. Ainsi :
- Le plus simple : récemment un message envoyé vers les 5000 employés de Google correspondant en gros au sujet de cet article. Simple, efficace, mais sans réel conséquence.
- Le plus dévastateur possible, tel un autre message récent envoyé au sein d'une autre entreprise américaine, chargé au maximum d'images, utilisant toutes les options possibles pour provoquer accusés réception divers les plus gros possibles, avec un texte suffisamment agressif pour provoquer des réactions épidermiques des lecteurs qui étaient bien directement en To: plutôt qu'en bcc afin que ces réactions soient renvoyées vers toutes les personnes visées selon la mauvaise pratique du 'répondre à tous'.
Objectif atteint, sans nul doute, puisque les serveurs de messagerie de l'entreprise se sont trouvés avec près de 40 Go supplémentaires moins de deux heures après l'expédition du message et avaient beaucoup de mal à délivrer tous les autres messages...
- Le plus vengeur possible, tel celui de cette avocate américaine qui a partagé ses états d'âme peu flatteurs à l'encontre de sa direction avec tous les clients du cabinet.
Se pose la question du départ des personnels qui peuvent utiliser les outils de l'entreprise jusqu'à ce qu'ils quittent les locaux. Dans de nombreux pays, dont la France, il n'est pas possible d'empêcher l'accès d'un employé aux locaux de l'entreprise avant qu'il ai eu l'entretien annonçant son départ avec les ressources humaines, ce qui demande 3 jours ouvrés. Lui couper l'accès aux outils engendrerait le risque que l'employé porte plainte contre son employeur qui l'aurait privé unilatéralement de son outil de travail. L'employé a donc tout le temps de nuire considérablement à sa future ex-entreprise, selon ses compétences techniques et l'étendue de ses privilèges.
Il ne reste alors plus qu'à s'assurer que les autorisations et les possibilités d'un outil comme la messagerie soit dés le départ correctement paramétrés afin de garder le risque au niveau le plus bas possible.
Ainsi :
- Un service de messagerie ne devrait pas permettre à un simple employé d'expédier un message à toutes ou un grand nombre de boites aux lettres, que ce soit au travers de codes de groupe ou par la sélection des boites aux lettres dans l'annuaire. Qui peut justifier, hormis à partir de certains niveaux de management, une telle pratique ? Ce besoin pourra être satisfait par un outil spécialisé, ou si l'outil de messagerie le permet, par l'autorisation d'une telle pratique à des comptes spécifiques réservés à cet usage.
- Idéalement, l'outil de messagerie devrait pouvoir restreindre les codes de groupe accessibles à un employé particulier. S'il est compréhensible que des codes de groupe soient utilisés au sein d'un même département, il est bien plus rarement utile que les codes des autres groupes soient utiles. Si je travaille dans un département informatique chargé d'assurer du support, quelle est l'utilité que je puisse utiliser les codes de groupe des ressources humaines, de l'ingénierie ou des commerciaux ?
- Les codes de groupe des outils de messagerie ne devraient pas être accessibles de l'extérieur (tel Internet). Un code de groupe est interne à l'entreprise et sa présence sur Internet ne peut que nuire à celle-ci. Par exemple, si le code venait à être connu de spammeurs, ils pourraient alors 'arroser' des centaines ou milliers d'employés avec un seul pourriel.
- Un outil de messagerie se doit de disposer de son propre antivirus, si possible différent de ceux utilisés dans les postes de travail. Je vous laisse imaginer ce qui se serait passé si le message d'adieu avait transporté une charge exploitant une faiblesse dans le logiciel client de messagerie...
- Un outil de messagerie devrait assurer une fonction de contrôle basic y compris sur les courriels internes. Ainsi, certains mots-clés ou combinaisons de mots, même au sein de l'entreprise, ne sont pas admissibles. On pourra ici énumérer la listes des insultes par exemple.
Bien sur, il existe d'autres moyens d'améliorer la sécurité d'un outil de messagerie selon les possibilités de celui-ci (SMTP avec POP et IMAP, Exchange, Lotus Notes...). Mon but ici n'a été que de relever à nos aimables lecteurs qui auraient des employés l'existence de cette nouvelle pratique et ses conséquences, afin que ceux-ci préviennent dans le but de ne pas avoir à guérir.