Au cours des derniers mois, le chef de projet (PM) d'un client a demandé à plusieurs reprises de supprimer certaines fonctionnalités de sécurité que nous avons mises sur son portail Web pour «faciliter notre fonctionnement au jour le jour» (leurs propres mots).
Au départ, ces demandes étaient calmes et nous avons réussi à les arrêter. Après un certain temps, PM est devenu plus pressant, alors j'ai (en tant que chef d'équipe du projet) écrit un e-mail détaillé avec des preuves claires des dangers qui pourraient être encourus en répondant à leurs demandes (j'ai copié mon patron, mon équipe, notre division de sécurité informatique , notre division test / QA et leur patron). Après quelques jours, PM ne m'a répondu que (tous les autres destinataires supprimés) de manière très peu professionnelle (toutes les phrases majuscules, insultes directes et personnelles, menaces de poursuites pour incompétence, etc.) m'ordonnant d'appliquer leurs demandes ou «d'être prêt faire face à des conséquences très graves »(encore une fois leurs propres mots, les majuscules supprimées par moi). J'ai immédiatement discuté du sujet avec ma patronne et elle a suggéré de faire ce que PM avait demandé et elle aurait envoyé un e-mail (avec tous les destinataires précédents copiés) disant que nous avions fait toutes les demandes mais soulignant à nouveau nos préoccupations. J'ai donc supprimé les fonctionnalités de sécurité et elle a rédigé l'e-mail.
De ce jour à hier, silence total. Hier matin, PM m'a écrit que son équipe de sécurité avait découvert qu'une personne était entrée illégalement dans le portail et que certaines données privées de ses clients avaient été trouvées en ligne. PM a également déclaré que c'était «entièrement de ma faute» car ils n'étaient pas conscients des conséquences possibles de «votre choix de désactiver les fonctionnalités de sécurité de notre portail». En regardant comment PM a décrit ce qui s'était passé, j'ai remarqué que c'était (littéralement, étape par étape) l'un des scénarios que j'ai mis en évidence comme une menace potentielle pour la sécurité. Je suis retourné voir ma patronne et elle a décidé que nous en avions assez de PM. Alors pour la semaine prochaine, elle organisera un appel pour discuter de la situation avec moi, elle, notre directeur général de division (2 niveaux au-dessus de mon patron, donc 3 au-dessus de moi), un collègue senior de notre division sécurité, PM et leur patron.
Bien que je pense que je n'ai rien fait de mal et que je puisse compter sur mon patron, j'ai aussi peur qu'il y ait des conséquences pour moi. Comment puis-je me préparer pleinement à cet appel important et me couvrir le dos? Comment dois-je me comporter pendant cela?