česky | deutsch | english | français

Nouvelle Procédure de Vérification (New Background Check)

Contents

Nouvelle Procédure de Vérification (New Background Check)
1. Vue d'ensemble
2. But de la vérification des antécédents
  1. Les non-objectifs
Proposition d'un script d'entretien
Section historique
Notes de bas de page

Vue d'ensemble

Cette page est un document en cours d'élaboration qui veut établir une nouvelle procédure de vérification des antécédents basée sur les ideas stated by PhillipDunkel.

Les procédures de sécurité exigent que les personnes occupant certains postes critiques aient "passé" une vérification d'antécédents. La procédure actuelle (avant 2020) pour ce faire est appelée "Vérification arbitrée des antécédents" (ABC). Ce processus est considéré comme rompu par Arbitrations/a20140124.1. Comme aucun progrès n'a été réalisé dans la correction du processus existant pendant plus de 5 ans, nous essayons maintenant de trouver un processus complètement nouveau.

But de la vérification des antécédents

L'objectif de l'ancien processus ABC, tel que décrit dans le cas d'arbitrage mentionné ci-dessus, était de "prouver initialement l'intégrité d'une personne en ce qui concerne le contrôle par ou les interrelations avec des agences de sécurité ou d'autres organisations ayant des objectifs contraires aux principes de CAcert". Pour le dire avec des mots simples (un peu polémiques), l'ancien ABC devait "prouver que le candidat est une bonne personne".

Nous comprenons maintenant que cet objectif, bien que parfaitement valable, est très ambitieux, et ne peut probablement pas être atteint par les moyens dont dispose CAcert.

Ainsi, l'objectif de la nouvelle procédure a été déclaré comme étant plutôt "de faire prendre conscience à la personne des risques qui résultent du fait d'occuper un poste critique chez CAcert, et des moyens d'atténuer certains de ces risques". Par conséquent, ce type de vérification des antécédents ne peut être "réussi" ou "échoué" de la manière habituelle. Idéalement, les candidats eux-mêmes décident s'ils veulent accepter les risques ou non. Mais bien sûr, si quelque chose de très grave devait apparaître au cours de l'entretien, les enquêteurs devraient refuser de terminer le rapport, ou inclure un avertissement bien visible (mais très générique).

En héritage de l'ancien ABC, une liste de questions sur les relations avec des organisations "problématiques" a été incluse. L'intention est plus ou moins de dissuader les personnes qui ne veulent pas divulguer de telles choses. Et au moins les "concurrents commerciaux" pourraient en effet avoir un peu peur que, si leur "agent" fait quelque chose de mal, ils devront se présenter devant l'arbitrage, ce qui pourrait entraîner une très mauvaise publicité.

Je le répète, la vérification des antécédents n'a pas pour but d'"arracher le masque du visage des agents des services secrets", ni même de condamner les personnes habituées et disposées à mentir de manière flagrante lors de l'entretien. Nous ne disposons que de très peu de moyens pour vérifier les déclarations des candidats. Nous devons donc supposer que les candidats sont plus ou moins de bonne volonté et, dans une mesure raisonnable, honnêtes dans leurs réponses.

S'ils sont honnêtes et divulguent leurs conflits d'intérêts potentiels, ceux-ci sont documentés dans le rapport. Le conseil d'administration de CAcert Inc. doit alors décider si ces conflits sont tolérables pour le poste spécifique qu'il envisage pour le candidat.

Les non-objectifs

Actuellement, le filtrage des "mauvaises personnes" doit s'appuyer davantage sur le protocole social. Comme les candidats doivent déjà avoir passé un certain temps à travailler pour CAcert, leurs collègues ont plus de chances de découvrir les points sombres du caractère du candidat. Et s'ils décident de confier à une personne un travail critique, ils doivent en tenir compte.

En outre, la vérification des antécédents n'a pas pour but d'évaluer "l'aptitude du candidat à occuper un emploi spécifique". Cela est pratiquement impossible pendant l'heure que dure un entretien typique. Une fois de plus, leurs collègues ont beaucoup plus de temps et d'occasions d'évaluer les compétences d'un candidat.

Proposition d'un script d'entretien

J'ai choisi de rédiger ce texte sous la forme d'un document à distribuer au candidat. Il peut être judicieux de diriger les candidats vers cette page afin qu'ils sachent à quoi s'en tenir. Cela leur laisse la possibilité de se désister plus tôt de leur candidature (ou, plus couramment, de leur acceptation) à un poste critique.

Notez que je me suis quelque peu éloigné de ma proposition initiale de "pas de décision" en essayant d'intégrer certaines des idées de l'"ancienne" vérification des antécédents...

Partie 0 : Prélude

Cette partie est plus ou moins un petit bavardage, pour se faire connaître les uns des autres. Elle peut être assez courte si vous et les interviewers vous connaissez déjà très bien, sinon attendez-vous à des questions curieuses sur votre relation avec CAcert, les personnes et les domaines pour lesquels vous avez déjà travaillé chez CAcert. Ainsi que sur la vie, l'univers et tout le reste.

Vous êtes vous-même encouragé à poser des questions sur le processus, l'intention et la mise en œuvre de la vérification des antécédents.

Les informations divulguées au cours de cet échauffement ne feront normalement pas partie du rapport en tant que tel, mais pourront être reprises au cours de la troisième partie de l'entretien. Si vous êtes d'accord, les enquêteurs peuvent inclure dans le rapport certains éléments de votre curriculum vitae et votre relation avec CAcert. Cela peut être particulièrement utile si vous n'êtes pas (encore) largement connu parmi les membres actifs de la communauté, et peut vous éviter d'avoir à rédiger vous-même une introduction.

Partie 1 : S'assurer que vous savez ce que l'on attend de vous

Dans cette partie, nous vous expliquons des choses que vous savez probablement déjà. Mais après avoir signé le rapport, vous n'aurez plus d'excuse "pourquoi ne m'avez-vous pas dit cela avant". Veillez donc à poser des questions sur les points qui ne sont pas tout à fait clairs.

Les examinateurs vous poseront quelques questions sur chaque sujet, en essayant de voir si vous comprenez les implications de chaque sujet.

Quels sont les principes de CAcert? Pouvez-vous en citer quelques-uns?
Lorsque vous travaillez pour CAcert, ou lorsque vous utilisez des certificats CAcert, vous devez accepter l'accord de la communauté CAcert (CCA). Pouvez-vous citer quelques points importants contenus dans le CCA?
Connaissez-vous vos obligations, qui sont énoncées dans le CCA?
Savez-vous à quoi sert l'arbitrage CAcert? Pourquoi l'arbitrage est important pour la communauté CAcert?
Savez-vous quelque chose sur CAcert Inc? Quelle est la relation entre CAcert Inc et la communauté CAcert?
Connaissez-vous la signification d'un " CAcert Assurer Reliable Statement ", souvent abrégé en CARS?

Partie 2 : Ce que CAcert veut savoir de vous

Voici quelques questions formelles auxquelles CAcert souhaite que vous répondiez. Les réponses que vous donnerez feront partie du rapport et seront donc archivées par CAcert Inc. Si l'on découvre que vous avez sciemment donné de fausses réponses à ces questions, vous risquez d'avoir des problèmes. C'est probablement un arbitrage qui devra décider des conséquences.

Soyez assuré que le fait de donner une "mauvaise" réponse n'entraînera pas automatiquement votre exclusion d'un emploi. Mais il y aura probablement une discussion sur les détails, et il pourrait être utile d'inclure ces détails dans le rapport écrit.

Avez-vous travaillé pour une agence de sécurité nationale ou un service secret, actuellement ou dans le passé? Avez-vous d'autres relations proches avec de tels services?
Avez-vous travaillé pour, ou avez-vous d'autres relations étroites avec les forces de l'ordre ou des autorités similaires?
Avez-vous travaillé pour, ou avez-vous d'autres relations étroites avec des sociétés d'investigation privées?
Avez-vous travaillé pour, ou avez-vous d'autres relations étroites avec des sociétés offrant des services commerciaux de CA?
Avez-vous connaissance d'autres conflits avec CAcert?

Vous êtes tenu d'avertir CAcert Inc. en cas de changement de votre situation dans le futur qui modifierait de manière significative les réponses données à ces questions !

Partie 3 : La partie délicate...

Cette partie vise à identifier les problèmes (nous aimons les appeler "points sombres" ou "situations difficiles") dans votre situation actuelle et future qui pourraient vous causer des problèmes à vous et/ou à CAcert si vous occupez un poste critique. Par exemple, des choses qui peuvent être utilisées comme levier pour vous faire chanter et vous pousser à faire des choses nuisibles à CAcert.

Puisque tout le monde a probablement certains de ces points noirs, une autre intention de cette partie est de discuter des moyens d'atténuer l'impact de tels problèmes.

Il n'y a pas de script fixe pour cette partie. Les enquêteurs présenteront quelques exemples de situations difficiles. Ne vous offusquez pas, ce sont des exemples, pas des insinuations ! Tenez compte du fait que vous pourriez rencontrer une telle situation à l'avenir. Cette discussion peut vous aider à anticiper une telle situation et, par conséquent, à augmenter vos chances de l'éviter.

La solution la plus évidente lorsque vous êtes confronté à une telle situation difficile dans la vie réelle est de démissionner du poste critique. Mais il existe souvent d'autres moyens de réduire l'impact, en fonction de la situation. Ensemble, vous et les enquêteurs devriez essayer d'esquisser des alternatives possibles pour certaines situations.

Le rapport devra inclure une déclaration sur cette partie. Avec un peu de chance, il s'agira d'une phrase toute faite indiquant qu'aucun problème n'a été identifié. Si ce n'est pas le cas, les enquêteurs discuteront avec vous de ce qui doit figurer dans le rapport.

Le rapport

À l'issue de l'entretien, les enquêteurs rédigent un rapport sur les résultats de l'entretien.

L'inclusion de certaines informations de type CV de la partie 0 de l'entretien est totalement facultative. Le rapport comprendra un aperçu général des sujets abordés dans la partie 1 et les réponses données aux questions de la partie 2.

Il comprendra une déclaration sur la discussion de la partie 3. En fonction de votre autorisation, un résumé des sujets pourra être inclus. De même, si vous le souhaitez, certains détails peuvent être inclus. Les enquêteurs peuvent faire des propositions dans le résumé, par exemple discuter d'une question potentiellement controversée lors d'une réunion entre vous et le conseil d'administration de CAcert Inc.

Ce rapport sera envoyé au conseil d'administration de CAcert Inc. et sera pris en compte dans la décision de vous nommer ou non à un poste important. Il ne sera envoyé que si vous, ainsi que les enquêteurs, confirmez que le rapport est correct et peut être envoyé. Les deux parties ont toujours la possibilité d'arrêter le processus, auquel cas aucun rapport ne sera envoyé et aucune information obtenue pendant l'entretien ne sera divulguée. Il est évident qu'il s'agit en fait du retrait de votre candidature pour le poste critique.

Il n'y a aucune autre implication concernant votre appartenance à la communauté ou votre implication dans d'autres emplois (non critiques) chez CAcert.

Le rapport sera archivé par CAcert pendant que vous êtes nommé à un poste critique. En règle générale, le rapport sera supprimé/détruit cinq ans après votre démission du dernier poste critique, sauf si vous acceptez explicitement qu'il soit conservé plus longtemps (parce que, par exemple, vous envisagez de postuler à un autre poste critique après un sabotage). À votre demande, il sera supprimé plus tôt, mais pas avant qu'un an ne se soit écoulé après votre démission.

Et maintenant?

La balle est maintenant dans le camp du comité. Il décidera des questions supplémentaires qu'il souhaite vous poser, des informations complémentaires à fournir (par exemple des coordonnées plus complètes pour la liste des personnes clés, en fonction du poste qui vous est destiné) et de la question de savoir si vous avez l'expérience et la compétence nécessaires pour le poste.

Mais ceci est une toute autre histoire

Section historique

Cette section est destinée aux personnes qui veulent comprendre le déroulement des discussions qui ont abouti au résultat ci-dessus.

But de la vérification des antécédents (idée initiale)

L'objectif de l'ancien processus ABC, tel que décrit dans l'affaire d'arbitrage mentionnée ci-dessus, était de "prouver initialement l'intégrité d'une personne en ce qui concerne le contrôle par ou les relations avec les agences de sécurité ou d'autres organisations ayant des objectifs contraires aux principes de CAcert". Pour le dire (un peu polémiquement) en termes simples, l'ancien ABC devait "prouver que le candidat est une bonne personne".

Nous comprenons maintenant que cet objectif, bien que parfaitement valable, est très ambitieux, et ne peut probablement pas être atteint par les moyens dont dispose CAcert.

Ainsi, l'objectif de la nouvelle procédure a été défini comme étant davantage de "sensibiliser la personne aux risques qui résultent de l'exercice d'une fonction critique au sein de CAcert, et aux moyens d'atténuer certains de ces risques". Par conséquent, ce type de vérification des antécédents ne peut être "réussi" ou "échoué" de la manière habituelle. Idéalement, les candidats décident eux-mêmes s'ils veulent accepter ou non les risques.

Pour le souligner encore une fois, la vérification des antécédents n'a pas pour but de "déchirer le masque des visages des agents des services secrets", ni même de condamner des personnes habituées et désireuses de mentir ouvertement pendant l'entretien. Nous ne disposons que de très peu de moyens pour vérifier les déclarations des candidats. Nous devons donc supposer que les candidats sont plus ou moins de bonne volonté et, dans une mesure raisonnable, honnêtes dans leurs réponses.

Actuellement, le filtrage des "mauvaises personnes" repose davantage sur le protocole social. Comme les candidats doivent avoir déjà travaillé un certain temps pour CAcert, leurs collègues ont déjà eu plus de chances de découvrir les points les plus sombres du caractère du candidat. Et s'ils décident qu'ils veulent que quelqu'un fasse un travail critique, ils doivent en tenir compte.

Il n'est pas encore décidé si la nouvelle procédure doit également inclure un test plus standard sur certaines connaissances de base. Mais ce ne sera certainement pas l'objectif principal, l'"aptitude technique" pour un emploi spécifique doit être évaluée par d'autres processus!

Autres avis sur le sujet

Ian (l'un des initiateurs de l'"ancienne" procédure de vérification des antécédents) a expliqué les motifs de l'ancienne procédure.

En bref (j'espère que j'ai bien compris), l'idée était d'inclure un arbitre dans l'équipe d'enquêteurs afin que les fausses réponses aux questions de l'entretien puissent être considérées comme équivalentes à des "mensonges devant le tribunal". Ainsi, si quelqu'un a explicitement menti pendant l'ABC et a ensuite fait quelque chose de mal, il pourrait être traîné devant l'Arbitre et être "brûlé publiquement" pour tout l'avenir.

Cela ne permettrait pas tant de détecter que de dissuader les services secrets et les concurrents commerciaux, qui craignent généralement le "brûlage public" par-dessus tout.

Idées sur les choses formelles

Le contenu de l'interview doit naturellement être considéré comme strictement confidentiel ! Dans des cas extrêmes, il peut y avoir des limites juridictionnelles que nous espérons ne jamais rencontrer. Et, si nous décidons d'aller dans cette direction, les examinateurs pourraient devoir donner une évaluation formelle des candidats, qui ne doit pas entrer dans les détails. Si les candidats veulent divulguer des détails, ils doivent le faire eux-mêmes.
Les candidats doivent être autorisés à refuser un entretien. Peut-être que le candidat peut même proposer son propre interviewer, mais bien sûr CAcert¹ doit les approuver.
Les candidats peuvent toujours choisir de retirer leur candidature (ou leur acceptation) de l'emploi, ce qui entraîne l'arrêt immédiat de la vérification des antécédents, sans qu'aucune évaluation ne soit faite.
Il serait bon de présenter aux candidats une liste de situations de référence et de leur demander s'ils ont déjà rencontré une situation similaire. Il leur suffit de répondre par oui ou par non, sans avoir à entrer dans les détails dans un premier temps. Ensuite, les examinateurs doivent décider ce qu'ils peuvent conseiller au candidat en fonction du niveau de détail que celui-ci est prêt à fournir.

Liste de contrôle pour l'entretien

En occupant un poste critique pour CAcert, un candidat devient plus visible pour le public. Considérez ces scénarios:

Un journaliste fait des recherches sur CAcert, découvre "une tache sombre" dans le passé du candidat et place ces découvertes dans des titres tapageurs.
Quelqu'un qui connaît le candidat du passé et qui lui en veut, prend connaissance de la nouvelle position du candidat et cherche à se venger, bien qu'il n'ait aucun lien avec CAcert.
Un concurrent commercial de CAcert tente d'utiliser la connaissance du passé du candidat pour mettre CAcert hors jeu. Peut-être en faisant du chantage au candidat pour qu'il fasse quelque chose de mal à CAcert ou simplement en lançant une tempête de merde contre CAcert.

Voici quelques exemples de "points noirs" possibles:

être impliqué dans un crime (éventuellement mineur)
être dans une "situation financière difficile", par exemple:
- avoir fait appel à des prêts d'un montant inhabituellement élevé
- être dépendant au jeu, à la drogue ou à d'autres choses similaires

Des choses qui peuvent être facilement atténuées par la publication et l'ouverture:

travailler pour un "concurrent commercial" de CAcert dans le présent ou le passé
travailler pour un service de renseignement, ou pour une entreprise active dans ce domaine

Il s'agit évidemment de questions difficiles qui nécessiteraient d'entrer dans les détails:

être accusé dans une affaire pénale de fraude, ou des choses résumées comme du "piratage informatique" (black hat hacking)

Un moyen facile d'atténuer certains risques est de les divulguer. Si le candidat déclare à l'avance qu'il a travaillé pour une agence gouvernementale malveillante dans le passé, c'est à CAcert de décider si cela pose un problème ou non.

1:1 ou 2:1 ?

La question de savoir s'il doit y avoir un seul ou deux intervieweurs fait encore l'objet de discussions, mais il y a un consensus général sur le fait qu'il ne devrait pas y en avoir plus de deux.

Le grand avantage d'un entretien individuel est que c'est probablement la variante la plus confortable pour les candidats, car ils ne doivent partager leurs secrets qu'avec une seule autre personne.

Le gros inconvénient est qu'il est très difficile pour un seul interlocuteur de prendre une décision juste sur la "fiabilité" d'un candidat, d'autant plus que l'ensemble du scénario n'a de sens que si le contenu de l'entretien doit rester absolument confidentiel.

Deux examinateurs peuvent au moins discuter entre eux du contenu de l'entretien et arriver à une conclusion avec une chance considérablement réduite d'être arbitrairement.

Bits and Pieces

Manuel de sécurité détaille actuellement les exigences relatives à la vérification des antécédents, et est très spécifique pour suivre l'ancien ABC.
Rôles actuels nécessitant une vérification des antécédents :
- Support (mais pas Triage)
- Évaluation de logiciels (mais pas de codage ou de test)
- Critique (mais pas l'infrastructure)
- Access Admin (accès au centre de données, fourni par secure-u e.V)
L'entretien doit comprendre des instructions formelles selon lesquelles les candidats, lorsqu'ils travaillent pour CAcert, sont soumis à l'accord communautaire CAcert et doivent donc accepter et répondre à l'arbitrage CAcert. Dans leur rapport au jury, les examinateurs doivent explicitement indiquer que ces instructions ont été données et que les candidats ont accepté l'arbitrage.
Le rapport remis par les examinateurs pourrait également contenir quelques déclarations très spécifiques (et les réponses des candidats), comme
- "Le candidat a un lien avec une ou plusieurs organisations de cette liste : CIA, NSA, MI5, MAD, BND, Verfassungsschutz, ..." (ou simplement "Agences de sécurité nationale" ?)
- "Le candidat a des liens avec une AC commerciale"
- Si la réponse à l'une de ces questions est oui, le conseil d'administration de CAcert demandera probablement que les détails soient divulgués, ou refusera la demande pour d'autres raisons.
- Le rapport devrait être signé par le candidat, ce qui remplirait probablement des objectifs similaires à ceux de l'ancien ABC.

Idées rejetées

Les idées suivantes ont été discutées et ont été rejetées dans l'état actuel de la discussion. Cette décision n'est bien sûr pas coulée dans le béton...

Demander un casier judiciaire aux candidats

Contre:

Peut ne pas être autorisé dans certaines législations (par exemple en Allemagne)
Il est très difficile de juger de la pertinence d'un casier judiciaire étranger
Généralement, la délivrance d'un casier judiciaire est payante
Si les candidats sont de bonne volonté, ils exposeront volontairement les questions pertinentes lors de l'entretien. S'ils veulent vraiment garder le secret, il est assez facile de falsifier le document.

Pour:

C'est une procédure simple (du moins du côté de l'examinateur): vous pouvez cocher un point dans votre liste de contrôle et ne plus avoir à y penser.

Demander un accord pour contacter des "référents", pour vérifier les recommandations

Les personnes qui donnent une recommandation font souvent très attention à ne pas dire des choses qui peuvent les mettre en position d'être poursuivies. Ainsi, les faits négatifs ou problématiques ne sont le plus souvent pas divulgués.
Il est très difficile de juger de la fiabilité des personnes qui donnent une recommandation

... au moins lorsqu'il s'agit d'aiguiller des personnes en dehors de la communauté de CAcert. Bien sûr, il faut que les recommandations viennent de l'intérieur de la communauté CAcert, puisque les candidats doivent avoir contribué à CAcert pendant un certain temps (règle générale: 1 an?) avant de pouvoir être admis à occuper un poste critique.

Notes de bas de page

Qui agira au nom de CAcert dans un tel cas? Probablement le Comité? (1)