Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Benjamin Roos, Lexsi : Comment se protéger contre la fuite d’informations avec le départ des collaborateurs ?

janvier 2014 par Benjamin Roos, consultant sécurité chez Lexsi

En France, 6 employés sur 10 ayant quitté leur entreprise au cours des 12 derniers mois conservent des données confidentielles appartenant à leur ancienne entreprise [1]. Le départ d’un collaborateur constitue souvent un maillon faible de la sécurité du patrimoine informationnel qu’il faut donc s’efforcer de renforcer. 1. Les employés quittant l’entreprise sont-ils malveillants ?

Au niveau juridique : il est très difficile d’obtenir une décision sanctionnant la copie frauduleuse de données numériques du fait d’un vide juridique existant entre copie et vol de données numériques. En considérant le projet Carayon (visant à réprimer les atteintes au secret des affaires) qui a été voté à l’assemblée nationale en Janvier 2011, mais qui n’est toujours pas passé à l’ordre du jour, nous sommes amenés à penser que ce manque ne sera pas comblé tout de suite. 1er cas en France de sanction d’un vol de données numériques : Après son départ de la société X, une ex-employée crée sa société Zinselle et se sert d’informations sensibles de la société X. Le 26 septembre 2011, un jugement la condamne à 3 mois de prison avec sursis, pour avoir copié sur une clé USB des fichiers clients de la société X, qu’elle a ensuite tenté de revendre. La société X ne touchera cependant pas les 750.000 € de dommages et intérêts demandés par manque de preuve du dommage.

D’une part, le risque de malveillance interne est particulièrement accru lors d’un départ, puisqu’un licenciement ou une démission constituent un motif de malveillance. De plus, les actes de malveillance peuvent se produire alors que l’employé n’a pas encore quitté l’entreprise, et peut donc encore accéder facilement aux données. En effet, 68% des fraudes internes sont réalisées dans les 3 semaines précédant le départ prévu de l’employé fautif [2]… D’autre part, seules 28% des fuites d’information internes sont de nature malveillante [3]. Une étude, réalisée par le Ponemon Institute [4], met en avant que la plupart des employés pensent qu’il est légitime de s’approprier les documents sensibles sur lesquels ils travaillaient. Dans le monde, 53% de ces employés pensent ainsi à tort que ce comportement est raisonnable car cela ne crée aucun préjudice à leur ancienne société. Le problème majeur repose donc sur la responsabilisation des employés. Par conséquent, la première étape de protection des données pour l’entreprise devrait consister à mettre en place les mesures organisationnelles suivantes, visant à encadrer les comportements.

Check-list des mesures organisationnelles

En amont : création d’une culture de confidentialité

 ? Rédaction de clauses de confidentialité, de non concurrence et de restitution des documents sensibles : Faites prendre conscience à vos collaborateurs que le vol de propriété intellectuelle constitue un délit ! En plus d’être opposables, ces clauses dissuadent certains employés de partir à la concurrence avec les documents de votre entreprise.

 ? Rédaction d’une charte informatique : Tout comme pour la rédaction des clauses, le but est double :
o Prise de conscience et dissuasion des collaborateurs
o Protection juridique en cas de litige.

 ? Sensibilisation : Seule une campagne de sensibilisation permet de traiter efficacement le facteur humain ! Même pour le management, ou pour l’employé qui ne quitte pas l’entreprise, cette étape apporte de la valeur, car elle leur fait prendre conscience de la confidentialité des informations qu’ils traitent. En aval : s’assurer que les informations ne partent pas avec l’employé

 ? Enregistrement des départs, et exécution d’actions protectives : Enregistrez formellement tous les départs, en collaboration avec la partie RH, de façon à initier les procédures de récupération du matériel, de suppression et d’archivage des données de l’employé, et de suppression des comptes utilisateurs. Par ailleurs, il est judicieux de faire un point de départ avec l’employé afin de le sensibiliser de nouveau et de vérifier qu’il reconnait le cadre restrictif qu’il doit respecter.

 ? Procédures exceptionnelles : Étant donné que 68% des fraudes internes sont réalisées dans les 3 semaines précédant le départ prévu de l’employé fautif [5], il est prudent en cas de départ litigieux de se protéger de façon préventive. Vous pouvez par exemple en cas de suspicion envisager d’enlever l’ordinateur d’un collaborateur supposé malveillant, ou encore tracer les actions qu’il effectue. Assurez-vous cependant avec le service juridique de la légalité dans votre contexte de ces actions, qui doivent rester exceptionnelles et justifiées.

Au niveau juridique : Si de forts soupçons de risques ou des événements particuliers interviennent, il est possible de consulter le poste à disposition du salarié, y compris les documents indiqués comme personnels. Cependant, il est recommandé de le faire sous contrôle d’huissier voire avec une ordonnance sur requête du juge.

 ? Procédures d’urgence : Lorsque l’entreprise se sépare d’un employé de façon imprévue, ou lorsque l’employé n’est plus à son poste pour des raisons que l’entreprise ignore, il convient alors de mettre en place des procédures d’urgence visant à retirer tous les moyens d’accès de l’utilisateur, sans pour autant retirer ses droits. 3. Les approches « techniques » : choisir son outillage Une des raisons majeures menant les employés à penser qu’il est légitime de s’approprier les données de l’entreprise est que ces informations sont généralement accessibles et non sécurisées [6]. Nous présentons
rapidement ci-dessous différents outillages à considérer afin d’accompagner les mesures définies précédemment.

 ? Classification : Protéger ses données… Encore faut-il savoir quoi ! La classification permet d’effectuer un inventaire détaillé des actifs critiques, et d’identifier ce qui est à protéger en priorité. Il s’agit donc d’un chantier transverse, préalable à l’implémentation des autres techniques décrites ci-dessous.

 ? IAM : L’Identity Access Management est un projet transverse et complet de sécurité du patrimoine informationnel, reposant sur les notions d’Identification, d’Authentification et d’Habilitation. Ce chantier peut être approché de façon ciblée, en se consacrant par exemple uniquement à l’élaboration d’un outil de gestion des habilitations. Pour plus d’informations sur ce sujet, se référer à l’article « Recette pour 100g d’IAM » sur le weblog LEXSI. ? Revue des habilitations : Le focus doit être placé sur les règles à appliquer lors d’un départ, afin d’éviter par exemples qu’un ex-employé garde un accès en ligne au réseau suite à l’absence de communication entre le département RH et DSI. Cela est également valable lorsqu’un employé change de service : si la revue des droits est oubliée lors d’une mobilité interne, elle le sera surement également lors du départ.

 ? DLP : La Data Loss Prevention est un ensemble de mesures organisationnelles et techniques permettant d’identifier et de surveiller l’information. Contrairement à l’IAM, ce chantier détermine et contrôle ce que les utilisateurs peuvent faire des informations sensibles. Les solutions de DLP sont spécialement conçues pour faire face aux fuites d’informations, mais ne sont pas des outils magiques : il s’agit toujours d’un projet long et complexe, qui englobe notamment un chantier de classification des données sensibles, et un chantier de définition des règles et de la politique de la DLP. Quels que soient les outils choisis, ces chantiers considérés comme « techniques » reposent en fait sur la politique de sécurité liée à la fuite d’information, et sont à adapter à votre organisation et à vos risques. Il s’agit de projets d’entreprise, intégrant généralement les parties RH, DSI, RSSI, la direction des risques ainsi que les dirigeants de l’entreprise. La partie réellement technique correspond à l’industrialisation des mesures, règles et procédures définies. La majeure partie du travail est donc une fois de plus stratégique et organisationnelle.


1, 4 et 6 : Etude du Ponemon Institute “What’s Yours is Mine : How Employees are Putting Your Intellectual property at Risk”

2 et 5 : Conférence RSA, San Francisco (2009)

3 : Source : datalossdb.org


Voir les articles précédents

    

Voir les articles suivants