Auteur/autrice : Éric

Négocier son contrat de travail

Quand je discute avec mes employeurs j’ai parfois l’impression d’être le seul emmerdeur à discuter du contenu du contrat de travail. J’y tiens pourtant. Je ne veux pas m’engager à n’importe quoi, ou garder en permanence une épée au dessus de la tête à cause d’une clause beaucoup trop déséquilibrée.

Je suis agréablement surpris parce que visiblement je ne suis pas le seul. Une un gros tiers d’entre vous semble en faire autant.

https://twitter.com/edasfr/status/1384136682820161538

Le point essentiel :

Le contrat de travail est au bénéfice de l’employeur.

Votre salaire et votre poste sont déjà sur la promesse d’embauche. Vos modalités de temps de travail ou convention collective seront les mêmes que les autres, et facilement prouvables, donc il vous est inutile d’en avoir une copie à vous.

Sur le contrat de travail il y a surtout les clauses au bénéfice de l’employeur : l’exclusivité, la non-concurrence, la confidentialité, la mobilité, le non-débauchage, la propriété intellectuelle et j’en passe.

Tout ça fait partie du deal d’un travail salarié mais ça ne se signe que si c’est acceptable et suffisamment équilibré.

Comment ça se passe ?

Les départements RH sont plus souvent réceptifs à des changements motivés et raisonnables qu’on ne le croit.

Si vous ne comprenez pas quelque chose ou que vous n’êtes pas certain, posez la question par email. Si quelque chose vous gêne, proposez une modification raisonnable et expliquez pourquoi, là aussi par email.

Le bon moment

La première étape c’est de faire ça au bon moment : Quand on discute de l’offre, juste avant de l’accepter. Les conditions d’engagement font partie de l’offre, c’est normal de les demander, et éventuellement de les discuter. Certains trouveront peut-être ça inhabituel mais ça ne choquera personne : Demandez le brouillon du contrat de travail type à ce moment là.

C’est toujours faisable après coup à lors des premiers jours de travail quand on vous proposera le contrat déjà finalisé, mais ça arrivera comme un cheveux sur la soupe et ça sera bien plus difficile à négocier.

La confiance et la bonne intelligence

La chose difficile c’est de réfuter toute notion de confiance et de bonne intelligence. Bien entendu que vous faites confiance à votre employeur et qu’en cas de problème vous traiterez ça tous deux en bonne intelligence.

Le truc c’est que le contrat sert justement dans les autres cas, quand il y aura un conflit ouvert que vous ne pourrez pas le résoudre entre vous en confiance et/ou en bonne intelligence (ou que vous aurez une opinion différente de la dite bonne intelligence). C’est d’ailleurs pour ça que votre employeur vous en impose un. Là, ce sera le texte qui comptera. Si ce que dit le texte n’est pas bon dans ce contexte, alors il faut le changer.

Peut-être que vos interlocuteurs changeront et ne seront plus là pour tenir leurs interprétations ou engagements. Peut-être que la société elle-même changera de contrôle et imposera une autre vision.

C’est dans ce contexte qu’il faut discuter, et dès qu’on vous parle de confiance ou de bon intelligence, c’est probablement cette hypothèse qu’il faut rappeler.

Dans tous les cas la confiance et la bonne intelligence sont à double entrée. On ne peut pas vous mettre une clause large et punitive qui montre que eux n’ont pas confiance (et préparent le cas du conflit) tout en vous demandant à vous de faire confiance.

L’écrit

Faites un maximum d’échanges par email, quitte à vous-même faire un résumé de la discussion que vous enverrez par email. Les interprétations et réassurances qu’on vous donnera (et dans une bien moindre mesure celles que vous aurez résumé et qu’ils n’auront pas contesté) leur seront potentiellement opposables si besoin était.

Faute de faire changer les textes, si les engagements oraux vous semblent raisonnables, une possibilité peut aussi être de reposer les interprétations, réassurances et engagements qu’on vous a fait dans le courrier qui indique que vous acceptez leur offre.

J’ai bien noté dans nos échanges à propos du contrat de travail que […]. Merci de ces éclaircissements. Je suis donc heureux d’accepter cette offre […]

Vous pouvez d’ailleurs jouer aussi sur ce que vous ne comprenez pas (si effectivement vous ne le comprenez pas, ne faites pas semblant). Dire « je ne comprends toujours pas […] » est engageant parce que ce qu’on vous fait signer tout en sachant que vous ne le comprenez pas est potentiellement réfutable plus tard. C’est une bonne réponse si le département RH vous dit « ta gueule, c’est la version légale, ça ne compte pas et ça ne veut pas dire ce que tu crois » (en plus poli).

L’issue

Idéalement vous vous mettez d’accord et vous amendez le contrat. Vous pouvez aussi faire un avenant spécifique au contrat. Ça permet à l’employeur de ne pas toucher au contrat commun mais vous accorder des exclusions ou modifications spécifiques.

À défaut de modifications sur le texte lui-même, tout engagement ou interprétation explicitée par votre employeur a force de contrat, d’où les écrits proposés plus haut.

Enfin, si l’employeur ne lâche rien, à vous de voir quels compromis vous voulez faire. Leur refus est toutefois une information en soi : Voulez-vous vraiment travailler dans une entreprise qui a des clauses déséquilibrées ou inacceptables et un département RH qui refuse de transiger intelligemment ?

À quoi faire attention

Choisissez vos combats. Vous pouvez négocier le contrat de travail mais pas tout le réécrire. Si vous en faites trop, vous aller simplement braquer votre interlocuteur.

Focalisez-vous sur les points les plus importants pour vous ainsi sur ceux qui à votre avis sont les plus faciles à entendre pour l’employeur.

Mon conseil : Si quelque chose est vraiment manifestement excessif ou illégal au point que ça ne pourra jamais être utilisé, n’en parlez pas. Une clause de non-concurrence illégale est tout à votre avantage : Vous pouvez espérer la faire exécuter si elle vous est bénéfique, tout en la faisant sauter si elle se révèle contraignante.

Mieux vaut porter l’attention sur ce qui peut réellement vous nuire, ainsi que ce qui est borderline ou dont l’interprétation peut varier.

Voici quelques points auxquels je fais attention (la liste n’est malheureusement pas exhaustive) :

Exclusivité

Est-ce que je peux écrire un livre en parallèle de mon activité ? Est-ce que je peux présider une association non lucrative ? Est-ce que je peux faire recommander un ami pour un recrutement ? Est-ce que je peux faire le mentor après d’un développeur ou manager plus junior ? Est-ce que je peux contribuer à des projets open source ou communautaires ?

C’est en partie parce que j’ai fait tout ça en parallèle de mes activités salariés que je suis qui je suis, là où je suis. M’interdire ces activités c’est en vouloir le résultat sans accepter de me laisser me développer.

Généralement l’employeur ne trouve rien à redire à ma liste, alors on retire la clause, ou on fait des exceptions explicites à l’écrit. C’est honnêtement une clause très simple à faire amender tant qu’on ne prétend pas faire un second boulot plein temps en parallèle du premier.

Non débauchage

Cette clause là est en général bien plus difficile à faire changer parce que les employeurs qui en ont une sont assez soupçonneux.

Le problème c’est que toutes les clauses de ce type que j’ai croisé sont excessivement larges. Elles interdisent en général toute sollicitation, directe ou indirecte, de n’importe qui.

Je ne cherche pas à débaucher mais je ne veux pas de problème si jamais un ancien collègue me rejoint. Je ne veux pas que lui soit mis dans l’impossibilité de le faire, puisque pour certains employeurs ces clauses sont autant là pour restreindre leurs possibilités des salariés actuels que pour éviter le non-débauchage.

Un argument qui porte parfois et qui m’est particulièrement important : Est-ce qu’une telle clause aurait pu m’empêcher de vous rejoindre si un ancien collègue travaillait déjà pour vous et que mon ancien employeur était devenu peu coopératif entre temps ? Si oui alors c’est incohérent (si ce n’est pas assumé) ou immoral (si ça l’est).

Secret ou confidentialité

Ces clauses sont généralement excessivement larges. Elles ne poseront probablement pas de problème à une grande partie des salariés mais permettront un arbitraire total si votre rôle est de communiquer à l’extérieur (conférences, recrutement, communauté, etc.).

De manière intéressante, c’est la seule clause qu’il est plus facile de négocier après le début du travail, parce qu’il y a la menace de l’appliquer de façon littérale avec « désolé, je ne peux pas, je suis interdit par contrat ».

Quand l’employeur accepte la discussion, une solution est de lui faire expliciter les cas dont il veut se protéger. Souvent ces cas sont déjà couverts par défaut par le droit du travail et le secret des affaires, et il n’est pas la peine d’en rajouter à ce point.

J’essaie d’être assez strict là dessus mais c’est souvent assez difficile à faire amender.

J’essaie par contre au moins de refuser la double contrainte. Je ne peux pas avoir pour rôle de communiquer à l’extérieur (ce qui est probablement le cas sur un poste de direction ou management informatique, où au minimum on vous demandera de partager des informations lors de recrutements) tout en ayant une interdiction totale et absolue de communiquer quoi que ce soit.

À minima j’essaie donc de faire préciser explicitement — idéalement dans la même clause, à défaut dans les missions — que j’ai un rôle de communication extérieure qui demande un certain degré d’autonomie dans ce que je peux avoir à dire.

Mobilité et réversibilité du télétravail

Là c’est assez simple : Étes-vous d’accord pour vous déplacer là où l’indique le contrat de travail, pour les durées indiquées ou de façon permanente le cas échéant ?

Si non, c’est à faire modifier. Si l’employeur tient à vous imposer une zone large malgré votre opposition, c’est peut-être un bon signe de sa façon de voir le salarié.

Même chose pour la réversibilité du télétravail. Si le télétravail est un élément essentiel, ce doit être indiqué comme tel et pas comme un élément sur lequel l’employeur peut revenir. Et, s’il y a une réversibilité, elle ne doit pas être à l’autre bout de la France.

Si vous voulez éviter l’arbitraire, vous pouvez aussi tenter de faire ajouter des conditions pour que les mobilités ne se fassent qu’à l’occasion du déplacement de toute l’équipe, ou de tout le bureau, et pas sur des critères individuels.

Temps de travail

Les probabilités qu’on modifie les temps de travail uniquement pour vous sont extrêmement faibles mais ça mérite d’en parler quand même.

Peut-être qu’ils ne proposent pas de RTT mais sont en réflexion pour le faire et que vous pourriez être un premier contrat pour ça, ou que votre rôle / position pourrait le justifier, ou qu’on peut vous assurer par contrat une autorisation d’un certain nombre de jours de congés sans solde.

Missions

J’en parle en dernier parce que c’est ce à quoi on pense tout le temps et qui ne me semble pas forcément le plus important.

Toutefois : Si une mission vous gêne, faites la enlever. Si vous voulez faire quelque chose (recrutement, communication extérieure, architecture, que sais-je…), faites le ajouter.

Autres ajouts

Autant faire modifier des choses n’est pas toujours aisé, autant en faire ajouter l’est beaucoup plus qu’on ne le croit.

On vous parle de congés sans soldes ? Faites-le écrire. On vous parle de formations ou de conférences ? Faites-le écrire. On vous parle d’augmentation au bout d’un ou deux ans ? Faites-le écrire.

Écrire ce qui est évident ou déjà acté ne coûte rien à personne et ça offre toujours un peu de garanties au cas où le contexte change dans la direction de l’entreprise.

19 avril 2021
On peut

Je supporte de moins en moins le « on ne peut pas » en politique.

Honnêtement, on peut.

On peut vacciner toute la planète en moins de 6 mois. On est capables de monter des centaines ou milliers d’usines du jour au lendemain et de créer de toutes pièces la logistique adéquate.

On peut garantir un logement à tous dans le pays. On peut éliminer la faim dans le monde et assurer une vie décente à tous. On peut faire transformer notre société vis à vis du climat.

Je ne dis pas que c’est simple, que c’est sans conséquences, ou même que c’est souhaitable. Je dis juste qu’aujourd’hui, au regard des capacités technologies, industrielles et humaines de nos civilisations actuelles, l’humanité peut quasiment tout ce qu’elle veut. Elle n’a qu’à le vouloir.

Cette différence entre pouvoir et vouloir est importante en politique.

Dire qu’on ne peut pas c’est couper le débat en masquant le choix. C’est refuser de remettre en cause un existant. Oser dire qu’on ne veut pas est un peu plus humble, c’est oser se regarder dans les yeux avec ses choix et ses contradictions.

Tout ça est particulièrement vrai avec l’excuse du « pas les moyens ». En fait on a les moyens. On a la technologie, les ressources, les compétences, la main d’œuvre. Ce qu’on n’a éventuellement pas ce sont des chiffres libellés en euros sur une base de données électroniques quelconque. Ce qu’on ne veut pas c’est remettre en cause l’organisation financière et sociale pour choisir d’autres priorités collectives.

Encore une fois, je ne dis pas que c’est simple et sans conséquences, ou même souhaitable, mais ça fait réfléchir.

En général quand on aborde la question on fait surtout face à beaucoup de FUD, caricatures et fantasmes. Le changement radical est difficile à appréhender, surtout quand ceux qui se posent la question sont finalement ceux dont la situation est la plus favorable. C’est de bonne foi, pas volontaire, souvent même pas conscient. C’est juste humain.

Le savoir, le prendre en compte, chercher un peu de recul, permettrait peut-être d’envisager autre chose et de dire cette fois « en fait on peut si on le veut vraiment, et si on le faisait ? »

Oui je suis un rêveur, un idéaliste, un utopique même peut-être. Peut-être qu’on devrait tous l’être, parce que c’est comme ça qu’on avance aussi.

16 avril 2021
Un peu de respect et d’empathie

Ce matin Jean-Pierre, ton collègue de bureau, a annoncé avoir débuté son nouveau régime. Tu as le droit de prendre deux fois du dessert mais évite de lancer « super le dessert ce midi, qui en a pris deux fois ? » dans l’open space ; juste pas ce jour là, ou pas formulé ainsi.

C’est juste une marque de délicatesse et d’empathie.

Tu as oublié le régime de Jean-Pierre ou tu n’avais pas réalisé ce que ça impliquait et tu as effectivement lancé « super le dessert ce midi, qui en a pris deux fois ? » juste ce jour là dans l’open space ?

Tu n’as rien fait de grave mais t’excuser de cette maladresse montrerait un peu d’empathie et de respect envers Jean-Pierre.

Le vrai fond n’est pas dans la maladresse ou dans l’excuse, même si on peut espérer que c’est une évidence pour toi.

Le vrai fond c’est que, si tu choisis de t’excuser, ça ne devrait pas générer un torrent de haine contre ton choix de t’excuser, ni contre Jean-Pierre ou tous ceux qui choisissent de faire des régimes, ni contre les régimes eux-même. Ça devrait encore moins générer des cris au nom de la liberté d’expression et de la défense de notre constitution.

Tu penses que les régimes des magazines sont des attrape-nigauds ? Tu crois, tu sais ou tu as lu d’une autorité quelconque qu’il est quand même possible de manger des desserts pendant les régimes, que des écarts ponctuels devraient être acceptables, ou que ces desserts là apportent des éléments indispensables à la bonne santé ?

Peu importe, ça n’est pas le sujet. Si tu connais bien Jean-Pierre et que tu sais que ton avis sur le sujet est bienvenu, alors tu pourras éventuellement lui dire en privé par ailleurs.

Pour autant, dans tous les cas, tu évites quand même de lancer dans l’open space cette remarque maladroite vis à vis du dessert de ce midi, pas ce jour là du moins. Ça ne coûte rien et ça montre à Jean-Pierre qu’il compte à tes yeux quand bien même tu ne partages pas ses choix.

Je dis ça je dis rien mais ça fonctionne aussi si tu vends de l’eau en bouteille et que tu exprimes « qui a bu son litre d’eau aujourd’hui ? » en pleine journée sur Twitter le jour même du début du ramadan où un nombre significatif de personnes tente de renoncer un maximum à boire en journée, et que tu choisis de t’excuser de ta maladresse après en avoir pris conscience.

RT Si vous avez déjà bu 1L aujourd’hui ! 💧💦
— evian France (@evianFrance) April 13, 2021

Bonsoir, ici la team Evian, désolée pour la maladresse de ce tweet qui n’appelle à aucune provocation!
🤍💧✨
— evian France (@evianFrance) April 13, 2021

Ça ne devrait lancer aucune polémique pour critiquer le choix de s’excuser, aucune pancarte « on ne peut plus rien dire », aucune haine envers les musulmans et leurs pratiques, aucun mouvement parlant de liberté d’expression brandissant la constitution (surtout si c’est au final pour reprocher à quelqu’un d’avoir exprimé des excuses, soyons un peu cohérents).

On parle d’empathie et de respect. Vous avez le droit d’être inaptes sur ces émotions de base mais évitez de reprocher aux autres d’avoir des comportements humains corrects, et évitez d’en profiter pour déverser votre haine.

15 avril 2021

CTO, VP engineering, manager, … C’est quoi tout ça ?

Ma matrice est à deux colonnes et à cinq lignes.

En colonne je place le périmètre d’action. Pour simplifier je parle d’humain et de technique. Côté humain j’ai le management et l’animation des équipes, le suivi des livrables en termes d’agenda et de qualité, l’organisation interne et le budget. Côté technique j’ai les choix technologiques, l’aboutissement de la R&D, et l’adéquation aux besoins.

En lignes je place la portée des actions. Ça va de la portée individuelle jusqu’à la direction de l’entreprise. Les étapes intermédiaires sont assez arbitraires, elles servent juste à illustrer..

	Humain	Technique
Comité exécutif
Ensemble de la tech
(sous)-Département
Équipe(s)
Individuel

On joue ?

Classement simple

De manière générale on a la hiérarchie suivante :
CxO > VP > Head > Director > Staff > Lead

	Humain	Technique
Comité exécutif	VP of Engineering	CTO
Ensemble de la tech	VP of Engineering Head of Engineering	CTO Director of Architecture Principal Engineer
(sous)-Département	VP of … Director of … Tribe director	Staff Engineer (Lead) Architect
Équipe(s)	Engineering Manager	Lead developer
Individuel	Senior developer	Senior developer

Ok mais le CTO ?

Quand il est seul, le CTO s’occupe à la fois de la technique et de l’humain. C’est probablement le cas sur la plupart des structures de moins de 25 ingénieurs.

À l’inverse, parfois sur des grandes structures on a un CTO qui est essentiellement au niveau du comité exécutif et des actionnaires (la première ligne) et l’opérationnel est laissé à un couple VP of Engineering / Principal Engineer (la seconde ligne).

Enfin, on a parfois un CTO co-fondateur qui passe la main au fur et à mesure que la structure grandit. Il peut alors continuer sur un rôle proche du principal engineer en gardant son titre de CTO. Celui qui a le vrai rôle de CTO est alors le vp of engineering plus expérimenté qu’on fait venir pour prendre la suite.

Ok mais en français ?

En français on a le directeur technique qui correspond aux quatre cases du haut de la grille, parfois même aux six premières.

On peut avoir un directeur technique qui est au niveau d’un directeur de département (director of …), sous la responsabilité du DSI. On peut à l’opposé avoir un directeur technique au niveau du comité exécutif et un DSI au niveau du département support informatique interne.

Bref, en français directeur technique et DSI ne disent pas grand chose. On sait juste que s’il n’y a pas « directeur » mais « responsable », alors on n’est pas sur la première ligne de la grille mais à priori sur la seconde (peut-être) ou sur la troisième (probablement).

Pire, en France on utilise le terme de CTO sans la connotation CxO qu’il a chez les anglo-saxons. On alors un CTO qui n’est pas au comité exécutif mais juste un titre reluisant qu’on donne au responsable d’une petite équipe R&D, ou au développeur lead de la seule équipe présente.

L’autre particularité française par rapport à la grille plus haut, c’est que les rôles humains et techniques ont tendance à être fusionnés, ou à ne pas porter de titres distincts.

S’il fallait une hiérarchie ça serait la suivante :
Vice Président > Directeur > Responsable > Chef > Lead.

Attention donc, un directeur en France n’est pas un director anglo-saxon. Ce dernier correspond plus à responsable en France.

Pourquoi tout ça ?

Honnêtement les titres on s’en fout un peu, ou on devrait.

Pour autant, s’il est réfléchi, le titre qu’on vous donnera est révélateur du niveau de responsabilité et du niveau de décision où on vous attendra. Ça permet d’éviter les incompréhensions, ou de les résoudre.

Le titre c’est aussi ce qui sera vu par les tiers à l’extérieur de l’entreprise. Ça peut impliquer qui on vous mettra en face lors de discussions, ou sur quel périmètre on vous jugera pertinent.

Un ancien titre peut aussi crédibiliser un futur poste (mais un titre ronflant pour un rôle qui ne correspond pas peut aussi décrédibiliser votre position).

9 avril 2021

Protégé : Quelques nouvelles

Cette publication est protégée par un mot de passe. Pour la voir, veuillez saisir votre mot de passe ci-dessous :

Mot de passe :

2 avril 2021
Impunité policière

Juste quelques liens, à mon propre usage parce qu’à chaque fois qu’on me demande des références sur ce type de cas, je ne sais pas les retrouver. D’autres s’ajouteront probablement avec le temps.

#Bouhafs : Le policier poursuit
« Je comprends même pas qu’on doive se justifier et s’expliquer autant sur le fond, la forme. Cela me dépasse un peu. Je dois dire que dans ma carrière, j’ai déjà fait des choses bien plus grave. Et je n’ai pas dû me justifier autant… »
— Vincent Vantighem (@vvantighem) March 10, 2021

Le policier se défend à propos d’un menottage sans justification. Peu avant il a été prouvé par vidéo que l’interpellation ne correspondait pas à son PV et qu’il n’y avait pas eu la rébellion pour laquelle il portait plainte.

2 policiers brutalisent une collègue, la menottent & la jettent violemment dans une cellule. Résultat ? poignet fracturé.

Pour éviter les soucis, ils font accuser un gardé à vue. Il allait être jugé en octobre mais la policière a fini par tout avouer.https://t.co/Eops8SK4Ma
— Sihame Assbague (@s_assbague) March 10, 2021

Ce serait, dit-on, un bizutage courant dans certains commissariats. Sauf que ce 16 mai 2020, les policiers y vont fort en la jetant dans la geôle. La jeune gardienne de la paix se fracture le poignet. Elle a beau se plaindre, ses deux collègues la laissent mariner aux fers.
Le lendemain, ils sont obligés de constater que la jeune femme ne jouait pas la comédie : son poignet est bien abîmé. Qu’à cela ne tienne, ces deux membres d’une brigade de jour convainquent leur collègue de mettre sa blessure sur le compte du premier venu. Cela tombe bien, ils viennent de procéder à l’interpellation un peu musclée d’un individu qui a refusé de se laisser contrôler et a résisté. L’homme est placé en garde à vue et un procès-verbal est dressé, détaillant par le menu de quelle manière il s’en est pris violemment à la policière. La preuve : celle-ci voit un médecin qui lui délivre un arrêt de travail et établit son incapacité temporaire totale (ITT) à plusieurs dizaines de jours.
Au commissariat de Vanves, deux policiers brutalisent une collègue et font accuser un tiers

Si la jeune policière n’avait pas craqué, non seulement rien ne se serait su mais les dégâts causés par les deux compères auraient pu être pires dans les mois à venir. Ils étaient sur le point d’obtenir leur habilitation BAC https://t.co/l2JUOmkpub
— Le Monde (@lemondefr) March 10, 2021

Les policiers qui ont frappé Maria n’ont jamais assumé leurs actes, pas même pour les justifier. Aucun collègue, aucun supérieur ne les a dénoncés. Sur les images, ils ne reconnaissent personne. Il ne peut pas y avoir de procès https://t.co/LXe80QrLAN
— Camille Polloni (@CamillePolloni) March 10, 2021

Indignés par les peines de prison ferme prononcées contre les fonctionnaires, leurs collègues ont manifesté devant le tribunal de Bobigny. Le ministère de l’Intérieur a jugé la condamnation « disproportionnée »
[…]
Ce jour-là, un policier est blessé à la jambe, percuté par une voiture de police lors une course-poursuite. Lui et ses collègues décident alors de mentir et accusent dans leur procès-verbal le conducteur de la voiture qu’ils poursuivaient. Ce dernier est placé en garde à vue pour tentative d’homicide sur fonctionnaire de police, un crime passible de la perpétuité.
Polémique après la condamnation de 7 policiers

Dans leur rapport, ils avaient indiqué que l’homme s’était livré à une transaction douteuse avant de s’enfuir et de les percuter à deux reprises alors qu’ils lui demandaient de s’arrêter.
Sur les images de vidéo surveillance de la ville, « on ne voit pas de crime ou de délit commis par le conducteur du scooter », mais « on voit qu’un agent municipal percute le scooter avec son vélo et va au contact du conducteur » […]
A la suite de cette affaire, le maire de Belfort Damien Meslot avait suspendu « pour une durée indéterminée » certaines actions de coopération entre la police municipale et la police nationale. Il jugeait alors la garde à vue des deux policiers municipaux « disproportionnée ».
Belfort: deux policiers municipaux mis en examen pour « faux en écriture »

3 policiers sont dans un train.

Ils discutent méthodes d’interpellation & donc clé d’étranglement. Au fil de la discussion, l’un des agents propose à sa collègue de la pratiquer sur elle.

Bilan ? 2 vertèbres déplacées & « sa vie qu’elle a vu défiler ».https://t.co/kzcnjuSA5k pic.twitter.com/TI3FDMXnJs
— Sihame Assbague (@s_assbague) June 25, 2020

11 mars 2021
Sécurité de Have I Been Pwned?
Concernant Have I Been Pwnd? il y a pas mal de gens réticents à l’utiliser de peur que ça aspire ce qu’ils saisissent. Et c’est aussi prendre le risque qu’un site frauduleux se fasse passer pour lui.
https://mastodon.tetaneutral.net/@Natouille/105820437840086551

Il y a deux parties à Have I Been Pwnd?. La première partie c’est une solution pour laisser son email et être averti dès qu’une brèche concerne un de vos comptes.

Là dessus il n’y a aucun risque de sécurité, que du bénéfice. Si vous ne vous êtes pas enregistré, faites-le.

On laisse certes son email mais pour l’instant personne n’a relevé de spam sur ce service (et croyez-moi, il doit y avoir des milliers d’informaticiens qui ont du essayer de mettre une adresse de test spécifique).

La seconde partie propose de saisir son mot de passe et regarde s’il est présent dans la base de données des mots de passe déjà connus.

Troy Hunt a établi un protocole qui permet de vérifier si un mot de passe est dans la base sans avoir à transmettre ce mot de passe au serveur. C’est simple à lire et à comprendre, et ça ne laisse aucune part au doute : Tant qu’on suit ce protocole, tester un mot de passe ne présente aucun risque de divulgation. Aucun.

La seule vraie question est « pouvons-nous faire confiance au site web dans lequel nous saisissons le mot de passe pour suivre ce protocole et ne pas envoyer notre saisie quelque part sur un serveur ? »

Il n’y a pas eu de brèche ou de malveillance sur Have I Been Pwned? jusqu’à présent mais, évidemment, ça n’est en rien une garantie absolue pour l’avenir.

Si vous voulez plus de sécurité, deux possibilités :
- Utiliser un site web ou un outil en qui vous avez plus confiance pour qu’il implémente correctement le protocole de Have I Been Pwned?
- Télécharger la base en local sur votre poste, et utiliser un outil en qui vous avez confiance pour chercher dedans.
Des gestionnaires de mots de passe comme Dashlane et Bitwarden proposent de tester directement vos mots de passe depuis le logiciel. Il faut avoir confiance mais, si vous les utilisez comme gestionnaire de mots de passe, c’est à priori déjà le cas.

Ce que je proposais quand je parlais de mot de passe fort et interface c’est exactement ça : C’est au logiciel ou au site web à qui vous allez confier votre mot de passe de toutes façons de le vérifier auprès de la base Have I Been Pwnd? (qu’ils auront téléchargé en local sur leur serveur). Ainsi il n’y a aucun besoin de faire confiance à un acteur tiers, aucun risque supplémentaire.

Ok, mais c’est quoi ce protocole ? Comment peut-on vérifier mon mot de passe sans le divulguer ?

On utilise des condensats, ici SHA1.

Plus exactement on calcule la somme SHA1, sur 40 caractères hexadécimaux, et on envoie les 5 premiers caractères au serveur. Le serveur nous répond avec la liste des sommes SHA1 de mots de passe connus qui partagent les mêmes 5 premiers caractères. À moi de vérifier que le mien ne fait pas partie de cette liste.

Vous lirez que SHA1 n’est pas idéal pour des mots de passe, encore moins sans ajout d’un sel aléatoire. Pour autant il n’y a aucun moyen connu à ce jour pour même imaginer trouver une information partielle à propos de votre mot de passe à partir des 5 premiers caractères de la somme SHA1.

La seule chose possible c’est éventuellement se dire « c’est peut-être un des mots de passe connus qui partagent le même début de somme de contrôle ». L’information ne présente aucun intérêt puisque si justement c’était un de ceux-ci, vous auriez été informés de ne pas l’utiliser. Du coup, en creux, l’information devient « Quelqu’un utilise un mot de passe, et ce ne sera pas un mot de passe connu ». Bref, c’est exactement notre objectif, tout va bien.
4 mars 2021
Diceware
Règle générale : Laissez votre gestionnaire de mots de passe générer des mots de passe outrageusement complexes.

Vous n’aurez jamais besoin de les taper ou vous en souvenir vous-même. Vous n’avez en fait même pas besoin de voir ou de savoir à quoi ces mots de passe ressemblent. Laissez-le faire.

Le générateur de mot de passe interne de Bitwarden

Et puis parfois on a besoin d’un mot de passe dont on doit se souvenir, un qu’on doit pouvoir taper au clavier ou un qu’on doit pouvoir dicter au téléphone.

Et dans ce cas là je vous invite à utiliser des mots français plutôt que des lettres, chiffres et symboles incompréhensibles.

La raison est simple : il est plus facile de retenir 4 mots connus que 8 lettres chiffres et symboles aléatoires.

La seule contrainte c’est d’utiliser des mots réellement aléatoires et pas ceux auxquels on pense en essayant naïvement de trouver des mots soi-même. Votre gestionnaire de mots de passe devrait savoir vous générer cette suite de mots. Si ce n’est pas le cas la méthode diceware est à votre disposition :
1. Cherchez une liste de mots de votre langue en cherchant « diceware » sur votre moteur de recherche favori. Ce sont généralement des listes de 7776 mots qui vont de 11 111 à 66 666.
2. Lancez 5 fois un dé à 6 faces, regardez le mot qui correspond dans votre grille. Recommencez autant de fois que vous avez besoin de mots.
Calcul d’entropie pour différentes combinaisons (les paliers de couleur sont arbitraires à respectivement 48, 56, 72, 96, 128 et 256 bits d’entropie)

La sécurité c’est parfois contre intuitif : Il suffit de 4 mots français pour être aussi robuste que 8 caractères accessibles au clavier, symboles inclus.

À 5 mots vous avez l’équivalent d’un mot de passe de 10 caractères clavier totalement aléatoires en comptant 28 symboles possibles en plus des lettres et des chiffres.

À 6 mots vous vous avez l’équivalent d’un mot de passe de 12 caractères totalement aléatoires, probablement suffisant pour quasiment tous les usages aujourd’hui. Si vous êtes paranoïaque, 8 mots c’est l’équivalent de 16 caractères totalement aléatoires.

Tout ça n’est pas nouveau. XKCD en parlait déjà il y a plusieurs années. Cette bande dessinée a été parfaite pour démocratiser l’idée mais trop de gens oublient que ça ne fonctionne que pour des mots réellement tirés au hasard.

XKCD 936 : Password Strength

Attention toutefois : L’humain est très mauvais pour piocher au hasard.

Même avec toute la bonne volonté du monde et en vous croyant machiavélique dans votre choix, il est probable que vous ne piocherez que dans quelques centaines de mots, éventuellement un ou deux milliers.

Le problème d’ailleurs aussi pour les mots de passe « classiques ». « Nicolas2012! » et « Julie+Marc2307 » sont de très mauvais mots de passe bien qu’ils respectent parfaitement toutes les règles.

Je donne là une évidence mais c’est plus général que ça. Un mot de passe qui est généré sans aide d’un générateur d’aléatoire est un mauvais mot de passe, peu importe à quoi il ressemble de loin. Les chiffres et symboles sont quasiment aux mêmes positions. Certaines lettres et chiffres sont peu voire pas du tout utilisés.

Tout ça diminue significativement la robustesse du mot de passe, même quand vous essayez de vous même d’y palier en cherchant compliqué. Utilisez une machine ou un système externe quel qu’il soit, quitte à ce que ce soit une paire de dés lancés à la main.
1 mars 2021
Mot de passe fort

Je rage à chaque fois que je vois des règles complexes sur les mots de passe saisis. J’ai l’impression qu’on a échoué à expliquer la sécurité.

Une fois qu’on exclut les mots de passe uniquement en chiffres, il n’y a quasiment plus que la longueur du mot de passe qui compte. Vous voulez un mot de passe sûr avec uniquement des lettres ? Il suffit d’ajouter un unique caractère supplémentaire. Autant dire pas grand chose quand on est déjà à 9 ou 10.

En réalité la différence est encore plus réduite que ça parce qu’en demandant d’ajouter des chiffres et symboles ce sont toujours les mêmes qui apparaissent, mis à la fin ou en remplacement des mêmes lettres (a qui donne @ par exemple).

Pire : Pour retenir un mot de passe complexe avec majuscules, chiffres et symboles, l’utilisateur risque de mettre quelque chose de connu ou déjà utilisé ailleurs. On est parfois dans le contre-productif.

Si vous deviez utiliser des règles de saisie du mot de passe, gardez n’en qu’une : la longueur. Le reste c’est de la littérature.

Maintenant, et si vous changiez de stratégie ? Aidez l’utilisateur et expliquez-lui ce qu’il se passe au lieu de lui apporter des contraintes.

Commencez par lui proposer un mot de passe par défaut, avec une liste de mots connus et à orthographe simple.

Proposez ensuite un indicateur pour la force du mot de passe. Là vous pouvez prendre en compte la longueur mais aussi la présence dans la base Have I Been Pwnd.

Une fois passé le strict minimum, c’est à l’utilisateur de décider ce qu’il veut. Ne lui imposez pas un mot de passe de 12 caractères pour réaliser un sondage sur la date de sa prochaine soirée entre amis.

Votre rôle c’est de lui donner les clefs pour faire son choix, pas de le faire à sa place.

L’indicateur de complexité peut tout à fait avoir plusieurs paliers en fonction de la présence de différentes classes de caractères. Vous pouvez aussi essayer de détecter des dates, le fait que le dernier caractère soit juste un chiffre ou un point d’exclamation, et des suites un peu trop classiques comme 123 ou ou azerty.

Si vous détectez des espaces alors c’est probablement une phrase (s’il y a des petits mots facilement reconnaissables comme « le », « la », « il », « ce », « est », etc. ) ou des suites de mots (dans le cas contraire). Vous pouvez là aussi adapter votre calcul de complexité et la longueur recommandée.

Au bout d’une certaine résistance parlons uniquement amélioration.

27 février 2021
Longueur du processus de recrutement
Le processus classique des entretiens de recrutement en informatique c’est :
1. Une prise de connaissance
2. Un entretien orienté technique
3. Un entretien orienté humain
4. Un entretien de confirmation
Suivant les entreprises, l’entretien humain vient avant ou après l’entretien technique. C’est d’ailleurs intéressant parce que ça en dit parfois long sur ce que la boite priorise dans ses recrutements.

Sur les postes à responsabilité on a souvent une multitudes de discussions avec différents acteurs clefs de la société entre les deux entretiens principaux et l’entretien de confirmation.

La totalité du processus décrit ici c’est entre 3 et 6 heures au total.

Ok, mais est-ce bien raisonnable tout ça ?

Le fond c’est que le candidat et l’entreprise ont tout intérêt à s’assurer que la relation est bonne avant de se taper dans la main et d’entamer la période d’essai. On n’est jamais certain à 100 % mais on ne peut pas non plus s’engager au hasard pour un boulot qui représentera la majorité de notre temps non contraint pour les prochaines années et qui impactera durablement notre vie en cas de mauvais choix.

Oui mais, en détail ?

La prise de connaissance c’est souvent 15 minutes pour confirmer ce qu’il y a derrière l’annonce (pour le candidat), ce qu’il y a derrière le CV (pour l’entreprise) et que les deux correspondent avant de demander à chacun d’investir du temps. Quand la communication passe bien et que le candidat a du temps ou des questions ça peut aller jusqu’à 45 minutes, rarement plus.

L’entretien humain semble la partie la moins comprise autour de moi quand j’en discute. On me parle de test psy et de marketing bullshit. Pour moi c’est de la discussion et c’est littéralement le plus important dans tout le processus, que ce soit côté candidat ou côté employeur. Il s’agit de s’assurer que le candidat, la boite et les autres salariés vont s’entendre. Si le terme de valeurs est galvaudé, il y a beaucoup de ça. On parlera aussi fonctionnement de l’entreprise, évolution des postes, organisation, motivations, management, etc.
Sur cet partie j’apprécie un temps long parce qu’il s’agit d’ouvrir une discussion au delà des discours préparés.

L’entretien technique c’est le plus litigieux pour moi. La plupart comprennent « test technique » mais je n’ai jamais vu pour l’instant de test technique que je trouve vraiment pertinent. On arrive souvent bien mieux à qualifier les choses en montrant le code source, en discutant autour, ou éventuellement en parlant en codant ensemble.
Plus que qualifier le niveau technique, on qualifie aussi que ça se passera bien sur la base de code, sur comment l’équipe travaille, etc. C’est de la discussion et donc ça prend du temps aussi.

L’entretien de confirmation c’est pour toutes les questions qui restent. On reparle souvent de valeur. On discute des questions levées par les entretiens précédents. On parle de l’avenir et des objectifs de l’entreprise. On parle rémunération.
C’est entretien est aussi important en ce qu’il permet de faire intervenir une autre personne et d’avoir un feedback différent, que ce soit pour le recruteur ou pour le candidat.

Si on prend le temps de la discussion, on arrive plus à 5 heures qu’à 3 heures, et je ne vois rien d’inutile à faire sauter là dedans.

À chaque étape la question est essentiellement « Est-ce qu’on veut travailler ensemble ? pourquoi ? qu’est-ce qui pourrait coincer ? ». À l’entretien technique on peut éventuellement ajouter « Où positionner le candidat par rapport aux salariés actuels au niveau compétences et rémunération ? ». Le reste c’est de la littérature.

On peut par contre moduler.

Je disais que je n’ai jamais vu de test technique vraiment pertinent, encore moins ceux à réaliser chez soi, mais j’ai à moitié menti. Il y a une chose qui a assez bien fonctionné : « Tiens, je te donne accès à notre code source et nos PR, tu peux fouiller comme tu veux et c’est à toi de nous dire si tu as les compétences et l’envie de travailler là dessus. Si oui on t’invite à la discussion technique et tu verras si tu veux travailler avec nous. ».

Du coup l’entretien technique lui même est essentiellement « Passe une demie journée avec un développeur à discuter du code, de l’équipe, de son organisation, et faire du pair programming. Tu pourras nous confirmer ensuite si tu as bien envie de travailler avec nous. »

C’est plus long mais quand c’est possible ça me parait une approche plus saine et plus efficace que la démarche de test. Les retours des candidats ont tous été très positifs, plus que sur les autres processus que j’ai pu superviser. Vu que ça permet bien de cerner la personne on peut réduire d’autant les autres étapes et on arrive à garder une durée totale assez similaire.

Ça c’est ce que je préfère vis à vis de mes valeurs et mes fonctionnements. D’autres boites appuieront plus sur les compétences techniques. D’autres préféreront vous faire discuter avec les équipes produit ou un directeur. En fait tout ça est intéressant, ça en dit long aussi sur ce qui est jugé important par la société, donc ça permet au candidat de savoir lui aussi où il met les pieds.

Est-ce encore trop ?

Possible. Je n’ai pas de réponse universelle. Je ne donne que mes retours et mon expérience.

L’idée c’est de proposer un processus « idéal » et ensuite de l’adapter autant que possible aux circonstances et aux personnes, par exemple pour qui habite loin, qui ne peut pas se libérer en journée, ou qui ne peut pas se permettre d’être vu dans les locaux avant que ce ne soit officiel.

Ce qui m’apparait certain c’est que je ne sais pas évaluer un employeur, son équipe, son organisation, ses valeurs et le poste qu’il propose en deux heures. J’ai vécu des environnements et directions toxiques. Croyez-moi si je dis que jamais ne ne conseillerai à quiconque de s’engager en CDI rapidement sans faire un vrai processus.

C’est vrai aussi dans l’autre sens. En tant qu’employeur je ne sais pas faire évaluer l’adéquation d’un candidat sur des discussions de moins d’une heure ou après avoir vu une seule personne.

Que faire alors pour qui ne peut ou ne veut investir plus de 2 heures ?

Je ne sais pas. Je suis ouvert aux suggestions mais ma réponse pour l’instant est « je ne sais pas faire ».

On parle de s’engager pour 6 à 8 heures par jour, 5 jours par semaine, pour 2 à 10 ans. Tout ça ne se résume pas en quelques questions et « je fais mon job tu me payes, pas besoin d’ergoter ».

Ça serait très différent pour une mission courte ou un rôle de consultant (ou en tout cas ça l’a été pour moi vu que j’ai aussi ces expériences là).

Pour compléter :

https://twitter.com/edasfr/status/1364840708675424257

Aujourd’hui près de 60% des réponses est entre 3 ou 6 heures ou plus de 6 heures.

https://twitter.com/edasfr/status/1364840711393325059

Et c’est là que ça devient intéressant. Quand on demande le processus idéal, les répondant n’excluent pas du tout les entretiens de 3 à 6 heures, au contraire. C’est même la réponse la plus mise en avant.

Ce n’est représentatif que des gens qui ont répondu, mais je trouve ça intéressant quand même. Je ne semble pas être le seul à trouver important de qualifier la relation avant d’entrer en période d’essai.

L’enjeu est pour moi beaucoup plus de ce qu’on met dans les différentes étapes du processus que de sa longueur effective (tant qu’on reste dans le raisonnable, on m’a parlé de tests techniques de 15 h à faire chez soi et ça… juste non). Je veux des discussions libres à double sens et pas des tests unilatéraux.
25 février 2021