Question:
Forcé par le client de supprimer la fonction de sécurité, le client me blâme maintenant pour le vol de données
Jack Jack
2020-03-18 13:02:45 UTC
view on stackexchange narkive permalink

Au cours des derniers mois, le chef de projet (PM) d'un client a demandé à plusieurs reprises de supprimer certaines fonctionnalités de sécurité que nous avons mises sur son portail Web pour «faciliter notre fonctionnement au jour le jour» (leurs propres mots).

Au départ, ces demandes étaient calmes et nous avons réussi à les arrêter. Après un certain temps, PM est devenu plus pressant, alors j'ai (en tant que chef d'équipe du projet) écrit un e-mail détaillé avec des preuves claires des dangers qui pourraient être encourus en répondant à leurs demandes (j'ai copié mon patron, mon équipe, notre division de sécurité informatique , notre division test / QA et leur patron). Après quelques jours, PM ne m'a répondu que (tous les autres destinataires supprimés) de manière très peu professionnelle (toutes les phrases majuscules, insultes directes et personnelles, menaces de poursuites pour incompétence, etc.) m'ordonnant d'appliquer leurs demandes ou «d'être prêt faire face à des conséquences très graves »(encore une fois leurs propres mots, les majuscules supprimées par moi). J'ai immédiatement discuté du sujet avec ma patronne et elle a suggéré de faire ce que PM avait demandé et elle aurait envoyé un e-mail (avec tous les destinataires précédents copiés) disant que nous avions fait toutes les demandes mais soulignant à nouveau nos préoccupations. J'ai donc supprimé les fonctionnalités de sécurité et elle a rédigé l'e-mail.

De ce jour à hier, silence total. Hier matin, PM m'a écrit que son équipe de sécurité avait découvert qu'une personne était entrée illégalement dans le portail et que certaines données privées de ses clients avaient été trouvées en ligne. PM a également déclaré que c'était «entièrement de ma faute» car ils n'étaient pas conscients des conséquences possibles de «votre choix de désactiver les fonctionnalités de sécurité de notre portail». En regardant comment PM a décrit ce qui s'était passé, j'ai remarqué que c'était (littéralement, étape par étape) l'un des scénarios que j'ai mis en évidence comme une menace potentielle pour la sécurité. Je suis retourné voir ma patronne et elle a décidé que nous en avions assez de PM. Alors pour la semaine prochaine, elle organisera un appel pour discuter de la situation avec moi, elle, notre directeur général de division (2 niveaux au-dessus de mon patron, donc 3 au-dessus de moi), un collègue senior de notre division sécurité, PM et leur patron.

Bien que je pense que je n'ai rien fait de mal et que je puisse compter sur mon patron, j'ai aussi peur qu'il y ait des conséquences pour moi. Comment puis-je me préparer pleinement à cet appel important et me couvrir le dos? Comment dois-je me comporter pendant cela?

Je ne vois pas où vous êtes blâmé pour la perte de données par votre patron?Qui vous blâme exactement?On dirait que c'est votre collègue informatique?Pourquoi vous inquiétez-vous de leur déclaration?Ont-ils le pouvoir de vous licencier?
@Donald PM me blâme du problème.J'ai confiance en mon patron et en mon entreprise.Je n'ai pas peur d'être renvoyé.Je veux juste être sûr à 100% d'avoir tout fait correctement et je veux savoir si j'ai besoin d'être préparé d'une manière spéciale pour l'appel
Je ne sais pas si cela affecterait quoi que ce soit, mais existe-t-il un processus de vérification standard pour modifier les fonctionnalités?Par exemple, est-il possible qu'ils prétendent que vous n'avez pas suivi la procédure appropriée pour mettre en œuvre le changement?(il est peut-être temps d'en discuter avec l'entreprise également?) J'imagine que quelqu'un d'autre a accès au courrier électronique et demande que la fonctionnalité soit supprimée à des fins néfastes.Je connais au moins une situation où quelqu'un a essayé de faire cela avec l'adresse de facturation de son contrat;mais le client a pensé que quelque chose n'allait pas et a d'abord appelé pour vérifier.
Y a-t-il un doute ou un litige sur le fait que cet e-mail «très peu professionnel» est réel et légitime (c'est-à-dire envoyé par PM)?Les e-mails sont faciles à simuler.
@JMac lorsqu'une modification de fonctionnalités sur un projet nécessite une modification de code, un document est requis afin de donner suite à la demande.Lorsqu'un changement de configuration est requis, un e-mail avec les destinataires appropriés suffit.Nous étions ici dans le deuxième scénario, donc l'e-mail était le moyen approprié de demander, la procédure standard a été suivie
@fraxinus aucun litige, l'email est authentique, aucun doute
Avez-vous transmis l'e-mail à votre patron avant ou après avoir effectué les modifications?
@EJoshuaS-ReinstateMonica J'ai transféré l'e-mail avant d'appliquer tout changement et j'ai fait les changements seulement après avoir discuté avec mon patron et seulement après qu'elle a écrit l'e-mail de confirmation
@JackJack Bien, c'était la manière intelligente de le faire, donc il n'y a absolument aucune raison que vous ayez des problèmes ici.On dirait que tu m'as tout fait correctement.
Par curiosité, comment les choses se sont-elles déroulées plus tard?
@frarugi87 Pour la première fois de ma vie, je vois une personne licenciée sur-le-champ et se faire crier dessus par leurs patrons (qui prétendaient qu'ils auraient poursuivi le PM pour avoir intentionnellement endommagé leur entreprise et leurs clients).Après cela, ils se sont excusés à plusieurs reprises pour la conduite du PM et ont demandé de réactiver toutes les fonctionnalités de sécurité (je l'ai fait avant la fin de l'appel).Tous étaient satisfaits et nous n'avons aucun autre problème avec ce client
@JackJack Merci pour la mise à jour :)
Cinq réponses:
Anish Sheela
2020-03-18 13:24:13 UTC
view on stackexchange narkive permalink

Vous avez mis en évidence les problèmes de sécurité. Tout le monde était conscient de ce qui allait se passer. Vous avez une trace écrite.

De plus, le plus important est que votre patron vous soutiendra. Alors, détendez-vous et imprimez les documents dès maintenant et mettez en évidence vos avertissements comme mentionné par TheoreticalMinimum dans les commentaires. Apportez-les comme preuve lorsqu'on vous le demande. Vous êtes totalement en sécurité à ce sujet.

+1 pour 'imprimer les documents' - les fichiers disparaissent des serveurs
Imprimez en particulier l'e-mail menaçant que le PM n'a envoyé qu'au PO.C'est le pistolet fumant car c'est la décision du Premier ministre de supprimer les fonctionnalités.
Imprimez également tous les en-têtes de ces mails.
OP est sûr tant que son entreprise veut «gagner» l'argument plus qu'elle ne veut garder le client en tant que client.OP devrait commencer à préparer son CV
Notez "tous les en-têtes" dans le commentaire @fraxinus's.De nombreux lecteurs de messagerie affichent uniquement un résumé par défaut.Vous devriez voir une série de lignes disant "Reçu de X par Y ...", où X et Y sont des serveurs dans une chaîne allant de la machine d'envoi à votre serveur de messagerie.
Joe Strazzere
2020-03-18 16:31:22 UTC
view on stackexchange narkive permalink

Comment puis-je être parfaitement préparé pour cet appel important et me couvrir le dos? Comment dois-je me comporter pendant cela?

On dirait que votre patron l'a couvert.

Parlez-en avec votre chef. Demandez-lui s'il y a autre chose que vous devriez faire comme préparation. Puis suivez son exemple.

Apportez vos notes à n'importe quelle réunion. Ne les utilisez que lorsque votre patron vous le demande.

Ne soyez pas sur la défensive. Agissez comme si vous aviez fait tout ce qui vous était demandé malgré vos recommandations professionnelles - car c'est exactement ce qui s'est passé. Indiquez que vous continuez d'être heureux de faire tout ce qui vous est demandé.

Commencez à réfléchir à la façon dont vous pouvez réimplémenter les fonctionnalités de sécurité qu'on vous a demandé de supprimer. Préparez des estimations pour ce faire.

Et ne vous inquiétez pas. Vous avez géré cela de manière professionnelle. La présentation des options et de vos recommandations professionnelles était intelligente. Le confier à la direction lorsque vos avertissements ont été annulés était parfaitement approprié. Faire ce que le PM bien informé exigeait était correct. Et clairement, votre patron vous soutient. Tout va bien.

@PatriciaShanahan Parce que ce portail est hautement configurable, la restauration est une simple modification du fichier de configuration et un redémarrage de l'application
@JackJack c'est peut-être mais (a) le client n'a pas besoin de le savoir et (b) mais devrait toujours être facturable.
J'ajouterais également que les futures demandes de ce type devraient recevoir une réponse "nous avons besoin d'une demande de modification des exigences formelles et de la signature", par opposition à un simple courriel.Cela aide la trace écrite et tous ceux qui ont besoin d'en prendre conscience.
Hilmar
2020-03-18 18:33:04 UTC
view on stackexchange narkive permalink

Déjà de bonnes réponses mais une chose à ajouter

Comment puis-je être parfaitement préparé pour cet appel important

Vous devriez discuter avec votre patron de la manière cette réunion est censée avoir lieu, surtout si vous n'avez pas beaucoup d'expérience avec ce type de choses

  1. Quel est l'objectif et le résultat souhaité de la réunion?
  2. Quel est le programme et qui va conduire?
  3. Quels sont vos rôles, quand devez-vous parler et quand vous taire?
  4. Quels sont exactement les pièces justificatives que vous devriez avoir . Dans quelle forme doivent-ils être et quand & comment les présenter. Examinez-les dès le départ
  5. Quels sont les mots clés que vous devriez utiliser? Écrivez-les et mémorisez-les.
  6. Discutez des réactions / arguments possibles de l'autre partie et de la manière dont vous y répondrez / réagissez

Si vous entrez dans un réunion potentiellement controversée et stressante, il est utile d'être bien préparé. Plus vous pouvez anticiper ce qui va se passer exactement, mieux vous pourrez réagir, plus vous serez à l'aise et plus vous aurez de chances d'obtenir le résultat souhaité.

L'une des réunions potentielles Les stratégies consistent à trouver la personne la plus faible de l'autre côté de la table et à commencer à la pirater: essayez de la rendre épuisée, agacée ou confuse pour qu'elle dise quelque chose de mal ou d'inapproprié. Assurez-vous que ce n'est pas vous.

N'oubliez pas: vous allez bien. Vous avez fait toutes les bonnes choses et vous avez la documentation pour le sauvegarder.

Je pense que c'est un très bon conseil.Sachez qui sont les participants à la réunion, quel est le résultat, ce que vous devez dire (et comment formuler), ce que vous ne devez * pas * dire et quelles phrases éviter.Le PO a mentionné que des données «privées» avaient été divulguées.Ce que cela signifie n'est pas clair à 100%, mais si cela inclut des données d'identification personnelle protégées, il peut très bien y avoir un blâme juridique, même criminel, qui circule.Le PO n'a rien fait de mal, il devrait donc éviter les phrases telles que «Je suis désolé», qui pourraient être interprétées comme acceptant la responsabilité.
Seth R
2020-03-18 22:10:44 UTC
view on stackexchange narkive permalink

Déjà beaucoup de bonnes réponses, mais un point supplémentaire que je n'ai pas vu bien couvert à propos de votre comportement pendant la réunion. Restez calme.

À en juger par le ton des e-mails que vous avez reçus de ce client, préparez-vous à ce qu'il vous crie dessus, vous blâme et soyez simplement désagréable. Laisse les. Laissez-les dire tout ce dont ils ont besoin et ne l'interrompez pas. Laissez-les s'épuiser et ne le prenez pas personnellement. Ensuite, quand c'est à votre tour de parler, vous pouvez présenter calmement vos e-mails imprimés où vous avez décrit tous les risques et ils ont quand même approuvé les changements. Ils vont essayer de vous entraîner dans un match de cris, mais c'est vraiment difficile de le faire avec quelqu'un qui ne s'engage pas. Ne les laissez pas vous entraîner à leur niveau.

Vous n'avez rien fait de mal et vous avez les documents pour le prouver. Il est probable que ce client sache en fait qu'il a tort, mais qu'il essaie de vous en convaincre pour se sauver. Si vous les laissez entrer sous votre peau et s'énerver, c'est leur dernière chance de vous entraîner avec eux. Cela ne fonctionnera pas si vous restez calme et professionnel.

Dan
2020-03-19 00:43:13 UTC
view on stackexchange narkive permalink

Après quelques jours, PM m'a répondu uniquement (tous les autres destinataires supprimés) d'une manière très peu professionnelle (toutes les phrases majuscules, insultes directes et personnelles, menaces de poursuites pour incompétence, etc.) m'ordonnant d'appliquer leur demandes ou "être prêt à faire face à des conséquences très graves"

Si vous ne l'avez pas déjà fait, allez-y et exportez ces e-mails vers un autre endroit au cas où vous ne pourriez pas accéder aux e-mails pour quoi que ce soit raison.

Ensuite, vous avez dit à votre patron et montré les courriels expliquant tout ce qui pouvait arriver. Maintenant, c'est un jeu d'attente. S'ils vous jettent sous le bus, vous pouvez parier que vos e-mails disparaîtront mystérieusement et que vous avez viré.

Tous les e-mails ont déjà été transmis à ma patronne, elle les a rouges.Elle a également écrit le dernier e-mail par elle-même.
@JackJack Par curiosité, les avez-vous transmis avant ou après avoir effectué les modifications?


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...