[Paru dans Le Temps, le 4 September 2013] Christoph Meili ; Bradley Birkenfeld ; Rudolf Elmer ; Hervé Falciani, ou encore le cas récent de ce banquier auquel l’ex employé de la CIA, Edward Snowden, aurait soutiré des informations capitales… Autant de noms et d’affaires qui ont défrayé la chronique depuis plus de 15 ans. Tous, ont d’une manière ou d’une autre, « trahis » leur banque en transmettant des données confidentielles à des tiers, généralement un État étranger… Ces divulgations ont causé des dommages politiques, financiers, concurrentiels et réputationnel considérables à la Suisse et sa place financière.
Bien qu’il soit possible de sécuriser des “systèmes informatiques” avec un certains degré d’efficacité, en définissant des règles et en gérant un certains nombre de paramètres techniques, il n’en va pas de même avec l’humain… La gestion du facteur humain dans les risques qu’il induit au niveau de la sécurité des systèmes d’information, et respectivement de la protection du patrimoine informationnel et réputationnel de l’entreprise, est généralement sous-estimé… Et de plus en plus difficile à gérer en raison d’un contexte économique et social qui se détériore au fur et à mesure des différentes crises que notre société traverse. C’est pour cela que la sécurité de l’information doit englober autant la sécurité des systèmes informatiques et des données, que la sécurité humaine. On comprendra dès lors que la réponse à apporter à ce problème, et respectivement la capacité à sécuriser ses avoirs informationnels, ne repose pas uniquement sur la technologie, mais aussi sur la capacité de l’entreprise à prévenir et à anticiper ce genre de comportements (humains).
L’humain est une « machine complexe »… La relation entre un employeur et un employé est similaire à celle d’un couple. Par analogie, on peut estimer qu’un employé est “pacsé” avec son entreprise. La « reconnaissance » ; la « loyauté », ainsi que la « réciprocité » sont les principales valeurs qui « cimentent » une relation. Que ça soit dans une entreprise, ou au sein d’un couple. Lorsque l’un se sent trahi, il y a des chances qu’il trahisse à son tour. Christophe Dejours, psychiatre et psychanalyste français, dit « la reconnaissance que peut apporter le travail s’inscrit dans la dynamique de construction et de stabilisation de l’identité. Le travail est un ingrédient essentiel de la santé mentale mais, il peut également contribuer à désorganiser l’identité, voire à la détruire et il devient alors un facteur pathogène de grande puissance. »
Prenez l’affaire des employés de banque dénoncés par leurs employeurs. Il y a des risques qu’ils livrent leur banque en retour. Surtout quand l’actualité démontre que cette “trahison” peut être des plus profitables (affaire Birkenfeld)… Une étude de KPMG réalisée auprès d’experts en informatique, démontrait que 66% d’entre eux pourraient travailler pour le « côté obscur de la force » s’ils s’estimaient mal considérés ou pensaient qu’ils allaient se faire licencier. Une autre étude menée par le «Ponemon Institute» aux États-Unis sur 945 employés a démontré que 60 % des personnes interrogées seraient prêtes à subtiliser des données appartenant à leur entreprise si elles venaient à être licenciées.
Il est donc primordial de se poser la question de savoir comment intégrer le facteur humain dans la sécurisation des données. Comment est-ce qu’on sécurise l’humain? Tant à l’intérieur qu’à l’extérieur de l’entreprise.. La gestion de la relation de confiance entre l’employé et son employeur, de même que la sensibilisation des employés à ce type de risque est devenue un élément central.
Les mesures à prendre pour sécuriser son patrimoine informationnel vont de la surveillance d’un certain nombre d’indices généralement rattaché au DRH (absentéisme, charge de travail, stress, conflits, primes, psychopathologies, conduites addictives, etc), à hiérarchisation et une analyse pointue des flux de données qui circulent au sein de l’entreprise (identification des informations stratégiques pour l’entreprise leurs lieux de stockage, et les personnes qui y ont accès. « DPI » : analyse approfondie des informations qui circulent sur le réseau, ainsi que les téléchargements et transferts de données sur des supports externes, de même que les impressions de documents, etc…). Ce qu’il est important de comprendre c’est que ces « mesures de surveillance », doivent non seulement figurer dans le contrat de travail, mais aussi être présentées aux employés en toute transparence, par le biais de « sensibilisation » aux risques auxquels l’entreprise et ses employés sont confrontés.
Il ne faut pas négliger non plus les attaques possibles de la part d’États étrangers… A l’aune de ce qu’a révélé E. Snowden, il est tout a fait vraisemblable qu’un État utilise des cybers mercenaires, ou des agents de services de renseignement se faisant passer pour tels, et tente de pénétrer les systèmes de l’entreprise par le biais d’attaque informatiques, ou par celui d’attaques de types « Social Engineering »… La dématérialisation des données à permis aux entreprises d’accroître la productivité, mais elle a aussi amené beaucoup de complexité dans la gestion de leur sécurité… Et dans le contexte actuel de « guerre économique », la maîtrise le la sécurité est devenue un facteur prépondérant à la pérennité de leurs activités…
Stéphane Koch, Vice-Président d’ImmuniWeb SA