Abonnez-vous Identifiez-vous

Identifiez-vous

Vos codes d'accès sont erronés, Veuillez les saisir à nouveau. Mot de passe oublié ?

Protégez vos données des espions

,

Publié le

Toute information confidentielle, même numérique, peut être protégée. La méthode : former le personnel et instaurer des solutions techniques.

Protégez vos données des espions
Le problème... c'est l'homme.
© D.R. ; REA; HENRIK SPOHLER/LAIF-REA

Cent fois sur le métier... Les entreprises connaissent le dicton, sans pour autant l'appliquer à leur politique de sécurité. Pour protéger les données sensibles, les solutions techniques existent. Mais les récentes affaires d'espionnage industriel montrent bien que le principal risque est avant tout humain. « Chaque entreprise doit s'interroger sur qui a intérêt à voler ou à détruire des informations », conseille Pascal Lointier, le président du Club de la sécurité de l'information français (Clusif). Un employé qui s'apprête à quitter l'entreprise, parce qu'il vient d'être licencié ou a trouvé un autre emploi, est par exemple un sujet à risque. Il agira par intérêt (emmener des informations) ou par vengeance. Mais souvent, la transmission de données confidentielles est fortuite. Toute politique de sécurité devra donc s'interroger sur les droits d'accès et de transmission en interne des documents, mais aussi et surtout sur les comportements des collaborateurs en condition de mobilité. Pour l'aider dans sa démarche, l'entreprise peut s'appuyer sur une nouvelle norme internationale, ISO 27001, adoptée en 2009.

 

1 - SENSIBILISER LES COLLABORATEURS

 

Avant d'envisager la technique, il faut penser aux hommes. Selon la Chapter association of certified fraud (ACFE), la fraude interne coûterait 7 % du chiffre d'affaires des sociétés, soit environ 90 milliards d'euros pour la France. La formation et la sensibilisation de l'ensemble du personnel constituent donc l'indispensable brique de base d'une politique de sécurité. « Nous avons une charte concernant l'utilisation du système d'information annexée au contrat de travail », explique Édouard Jeanson, le responsable pratiques de sécurité chez Sogeti. Mais une charte signée lors de l'embauche ne suffit pas. Des piqûres de rappel sont nécessaires. Une entreprise a même eu l'idée de réaliser des tee-shirts rappelant les principaux messages : changer régulièrement son mot de passe, avoir le bon réflexe, adopter les comportements convenables. « Il ne faut jamais parler du travail en dehors de l'entreprise », rappelle Édouard Jeanson. Un principe de bon sens souvent oublié.

« Sur certaines lignes aériennes ou de TGV, on rencontre souvent les mêmes personnes. Il est facile d'écouter les conversations ou de lire sur les écrans », constate Stéphane Salies. « Dans nos modules de formation, destinés à tous les collaborateurs de l'entreprise, nous abordons la sécurité de manière globale, au niveau physique, informatique, mais surtout sur le plan comportemental », ajoute Corinne Margot, la directrice des ressources humaines chez Soitec. Sans oublier que la peur du gendarme fonctionne. L'explication même des mesures de contrôle mise en place par l'entreprise peut inciter les collaborateurs, tentés de subtiliser des informations, à rester dans le droit chemin.

 

2 - HIÉRARCHISER LES INFORMATIONS

 

Quelles sont les informations réellement confidentielles ? Volées par un concurrent, mettraient-elles à néant un avantage compétitif ? Et lesquelles sont indispensables au fonctionnement de l'entreprise ? Se poser ces questions est primordial. « Il faut mettre en place un scénario de risque et se demander ce qui se passerait si telle information sortait de l'entreprise ou était détruite », explique Pascal Lointier du Clusif. Cette réflexion évite de dépenser de l'énergie pour sécuriser des informations anodines et de pratiquer une politique de « portes ouvertes » pour d'autres, plus sensibles. À partir de là, il faudra définir les droits d'accès en fonction de la position dans l'entreprise. « L'utilisation d'un logiciel de gestion des profils des utilisateurs facilitera la tâche, argumente Stéphane Salies, le directeur de l'entité Systèmes critiques et sécurité chez Bull, et évitera qu'après son départ, un employé conserve des droits, comme l'accès à sa messagerie, parce que l'on a oublié d'effectuer les modifications nécessaires. » Avec un nombre plus restreint de collaborateurs ayant des accès à un certain type d'information, il sera plus facile, en cas de besoin, de surveiller les échanges de fichiers réalisés par les employés à risque. De même, l'impression d'un document peut être liée à une authentification.

Finalement, protéger son système d'information des intrusions venant de l'extérieur s'avère presque plus facile, grâce aux outils logiciels de type pare-feu, détection de logiciels espions... Ils sont assez efficaces, sous réserve de mise à jour permanente et d'accepter d'y mettre le prix. « Certaines contraintes techniques peuvent rendre leur mise en place complexe et coûteuse », reconnaît toutefois Stéphane Salies.

 

3 - CRYPTER PAR DÉFAUT, SURTOUT EN MOBILITÉ

 

Malgré les protections, il peut toujours arriver de perdre ou de se faire voler des informations. Les micro-ordinateurs portables constituent une cible privilégiée. Selon une étude menée par le Ponemon Institute, 733 ordinateurs sont déclarés volés en moyenne chaque semaine à l'aéroport Paris Roissy-Charles de Gaulle. « C'est de la folie de ne pas chiffrer les données sur un micro-ordinateur portable », affirme abruptement Édouard Jeanson. Sans oublier que les smartphones sont devenus de véritables ordinateurs. « Les solutions existent et ne sont pas contraignantes pour l'utilisateur, encourage Stéphane Salies. Il suffit d'entrer un mot de passe au début de la session. » De la même manière, les données enregistrées sur une clé USB doivent être chiffrées, mais il est également possible d'interdire la copie de fichiers sur une clé. Pour le transport de données, il existe un disque dur externe hautement sécurisé, comme le Globull de Bull, doté d'un processeur de chiffrement. Attention, pour les nomades, au risque d'intrusion lors de l'utilisation d'un point d'accès Wi-Fi public. La parade passe par l'obligation d'utiliser un réseau privé virtuel pour accéder au serveur de l'entreprise et à lui seul. C'est à partir de ce dernier qu'il sera ensuite possible d'accéder à internet, en profitant des systèmes de sécurité de l'entreprise.

 

4 - FILTRER TOUS LES ÉCHANGES

 

Dernière parade : mettez en place des outils de prévention contre la perte de données. Ces logiciels, connus sous le nom de DLP (datalost prévention), s'apparentent à l'arme absolue anti-espion, au moins sur le plan technique. Il peut contrôler tous les flux sortants de l'entreprise et bloquer tout contenu non autorisé à sortir, même si une partie d'un document a été copiée puis collée dans un e-mail ou dans une page Word. « Un système de DLP est donc efficace pour détecter les fuites qui ne sont pas intentionnelles, notamment à cause d'une erreur d'adressage d'un e-mail », précise Stéphane Salies. Adopté par Nature et Découvertes, cet outil surveille les flux et bloque l'accès à certains sites web, comme ceux de dialogue instantané. Un niveau d'autorisation a été défini pour chaque profil de poste. Il fonctionne sur le réseau de l'entreprise et contrôle aussi les nomades.

Il est également possible de freiner la diffusion de documents physiques, avec l'utilisation de papier infalsifiable et impossible à photocopier, ou de maîtriser la fin de vie du document. Dans ce domaine, les entreprises ont encore du chemin à parcourir, comme le souligne Jean-Pierre Blanger, le directeur R et D de Ricoh France. « Les technologies sont encore peu utilisées, car la gouvernance de la gestion du document reste décentralisée ». La pédagogie s'avère la meilleure arme pour sécuriser ses données.

Créez votre compte L’Usine Connect

Fermer
L'Usine Connect

Votre entreprise dispose d’un contrat
L’Usine Connect qui vous permet d’accéder librement à tous les contenus de L’Usine Nouvelle depuis ce poste et depuis l’extérieur.

Pour activer votre abonnement vous devez créer un compte

Créer votre Compte
Suivez-nous Suivre Usine Nouvelle sur Facebook Suivre Usine Nouvelle sur Twitter RSS Usine Nouvelle