Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Olfeo : Les 10 étapes clés pour réussir son projet de filtrage

février 2012 par Olfeo

L’utilisation d’Internet au bureau, met les entreprises face à cinq enjeux majeurs à maitriser pour un bon fonctionnement du système d’information :

- les enjeux juridiques : le non respect d’une obligation légale de la part d’une entreprise ou d’un usage illicite d’un salarié sur Internet depuis son poste de travail engage systématiquement la responsabilité du dirigeant et de l’entreprise.

- les enjeux liés à la baisse de productivité : Au bureau en 2010, 94 minutes par jour étaient consacrées au surf sur Internet, dont 63 % à des fins personnelles (soit 59 minutes par jour)*

- les enjeux liés à la sécurité du système d’information : le web 2.0, les sites de paiement en ligne, d’actualités, de téléchargement de fichiers … sont autant d’opportunités pour les pirates de pénétrer le réseau et se propager au sein de toute l’entreprise et ainsi endommager le système d’information ou récupérer des données sensibles.

- les enjeux liés à la performance du réseau : aujourd’hui, on regarde la télévision et on écoute la radio en streaming, on publie des vidéos personnelles sur son réseau social favori, … Ces usages demandent des besoins en bande passante considérables et se font bien souvent au détriment des applications professionnelles.

- les enjeux liés à la fuite d’informations : outre le risque d’intrusion par des logiciels malveillants, l’utilisateur peut être, volontairement ou involontairement la source de fuites d’informations. La généralisation de l’utilisation des plateformes Web 2.0 y participe très largement.

Pour maîtriser ces enjeux, il ne subsiste plus de doutes concernant le besoin et l’obligation de filtrer. Mettre en place une solution de filtrage, n’est pas une décision anodine car c’est à la fois protéger l’entreprise et respecter le droit du travail, le droit à la liberté résiduelles des salariés, ... Cette mise en œuvre doit donc respecter un certain nombre d’étapes afin que celle-ci soit efficace.

1/ Auditer le trafic Internet de l’entreprise afin d’identifier clairement et précisément les risques pour l’entreprise et le système d’information face à l’utilisation d’Internet.

Existe-il un risque juridique pour l’entreprise : téléchargements illicites, jeux d’argent en ligne n’ayant pas l’accord de l’ARJEL ? La remise en cause de la sécurité du système d’information est-elle due à de la fuite d’informations possible sur les réseaux sociaux ? La baisse de la productivité est-elle due à une utilisation à titre personnel d’Internet de façon abusive ? A quel(s) moment(s) de la journée ?... La baisse de performance du réseau est-elle liée à la consultation de sites professionnels ou non professionnels comme les radios en ligne ou encore la consultation de vidéos sur les plateformes dédiées ou de chaînes de télévision ? ...

Les risques sont différents d’une entreprise à l’autre et d’un pays à un autre. Appliquer des règles générales à tous est un non sens. L’outil déployé pour réaliser cet audit doit permettre de détecter les risques réels de l’entreprise au regard de la législation en vigueur et la culture du pays.

2/ Remonter les informations obtenues à la direction. Après cette phase d’audit, il appartient au DSI de mettre en évidence les risques et les problématiques majeurs auxquels l’entreprise est confrontée auprès de sa direction générale. Il doit également apporter des solutions afin de répondre à ces risques. En l’absence de cette étape, le DSI peut voir sa responsabilité engagée pour négligence fautive en cas de litige.

3/ Choisir la solution. Le choix de la solution doit se faire sur des critères juridiques, culturels et techniques.

Une solution de filtrage pertinente doit inclure un choix de catégories correspondant au droit pénal (exclure les sites et protocoles illicites). Elle doit également permettre un filtrage non discriminatoire dans le traitement des données à caractère personnel et collecter les logs nominatifs en cas de réquisition judiciaire.
La solution doit offrir un taux de reconnaissance élevé sur des sites visités par les salariés et une excellente qualité de classement (que les sites soient répertoriés dans les bonnes catégories au regard de la législation et la culture du pays).

Le choix d’une solution en amont permet de structurer les démarches suivantes.

4/ Impliquer la direction de l’entreprise et la direction des Ressources Humaines afin de définir les conditions d’utilisation d’Internet, tout en prenant en compte les besoins de chaque métier dans l’entreprise.
Ainsi, la direction de la communication peut avoir davantage besoin d’utiliser Linkedin ou Twitter, tout comme d’autres départements dans l’entreprise peuvent avoir besoin de se rendre sur des sites spécifiques à leur métier. Il peut par exemple se révéler utile de demander à chaque chef de service de fournir une liste spécifique avec les catégories de sites à autoriser, à bloquer sur certaines plages horaires ou encore des sites soumis à des quotas en temps. Cette étape permet à la fois de définir les politiques de filtrage selon les groupes ou les utilisateurs et de commencer la rédaction de la charte ou d’un document d’information lié à l’utilisation d’Internet dans l’entreprise.

5/Rédiger les conditions d’utilisation du SI ou plus spécifiquement d’Internet. Une charte s’inscrit dans une démarche d’explication et de sensibilisation quant aux enjeux et aux risques. L’objectif est de faire adhérer les collaborateurs et de définir une politique cohérente entre réalité technique et politique RH afin de maîtriser l’ensemble des risques. C’est d’ailleurs la réelle raison d’être d’une charte.

6/ Déclarer l’outil de filtrage à la CNIL. En France, la loi Informatique et libertés, vise ce que l’on nomme les données à caractère personnel et les traitements de données à caractère personnel. Les données des outils de filtrage peuvent être collectées, saisies, enregistrées, consultées, éditées. Elles font donc l’objet d’un traitement. Par conséquent, un dispositif de filtrage constitue un traitement soumis à la législation relative à la protection des données à caractère personnel. A partir du moment où l’outil retenu va collecter des données nominatives, il est nécessaire de déclarer la solution à la CNIL. Cette déclaration doit notamment préciser : - la finalité du traitement, - les données à caractère personnel traitées, - la ou les catégories de personnes concernées, - la durée de conservation des données et l’indication de la date à laquelle les instances représentatives du personnel ont été consultées sur la mise en place des outils de filtrage. L’outil de filtrage peut être déployé dès la réception du récépissé de la CNIL.

Dans trois cas seulement, la DSI n’est pas obligée de faire cette déclaration :
- les employés de l’entreprise sont rendus anonymes
- l’entreprise dispose d’un Correspondant Informatique et Libertés (CIL)
- le dispositif de filtrage ne permet pas un contrôle individuel du salarié

7/ Consulter les institutions représentatives du personnel. Lors de l’introduction d’une nouvelle technologie, les institutions représentatives du personnel doivent être consultées. L’introduction d’une technologie de filtrage est soumise à l’avis du comité d’entreprise ou du comité technique pour les administrations. Il en va de même pour la charte informatique. C’est avant tout une démarche de sensibilisation et les discussions doivent jouer un rôle pédagogique. Il convient de préciser qu’un avis négatif du comité d’entreprise ou du comité technique ne lie pas l’employeur, et ne l’empêche pas de mettre en place une nouvelle technologie au sein de son entreprise ou de son administration. En revanche, le défaut de consultation du comité d’entreprise correspond à un délit d’entrave sanctionné à ce titre par le Code du travail.

Cette étape est d’autant plus indispensable qu’elle permet de faciliter l’acceptation de la solution et des conditions d’utilisation d’Internet par le plus grand nombre.

8/ Informer les salariés. Dès lors que l’entreprise collecte des données à caractère personnel, les salariés doivent être informés individuellement et collectivement.
L’implémentation collective de la charte informatique passe par son affichage au sein de l’entreprise.
Quant à l’information individuelle, il est important de s’assurer que chaque salarié ait bien pris connaissance individuellement des règles d’utilisation du SI en cas de litige. Lors de l’arrivée d’un nouveau collaborateur, la charte peut bien entendu être jointe au contrat de travail. La question est plus compliquée lorsqu’il s’agit de la mise à jour d’une charte existante. Certaines solutions proposent un outil permettant de diffuser individuellement la charte soit à la première connexion Internet d’un salarié soit lors de la mise en vigueur d’une nouvelle version de la charte. Cet outil permet également de conserver les logs des employés ayant validé la prise de connaissance de la charte à une date précise.
Il faut également savoir que la charte informatique n’est opposable aux salariés que si les étapes précédentes ont été respectées et si celle-ci a été déposée au greffe des prud’hommes et à l’inspection du travail en 2 exemplaires.

9/ Respecter les dispositions réglementaires. Une fois l’implémentation juridique de la mise en œuvre de l’outil de filtrage traitée (droit du travail et droit informatique et libertés en particulier), il est indispensable d’assurer un maintien en conditions opérationnelles de la solution de filtrage et de sa conformité au droit.

Il s’agit en particulier de s’assurer de la conformité légale du paramétrage tant au niveau des listes d’exclusions, qui pourraient être considérées comme discriminatoires, que dans le traitement des salariés qui doit être égalitaire. Il est également important de respecter les procédures permettant d’assurer l’utilisation précontentieuse ou contentieuse des éléments issus de l’outil de filtrage.

10/ Conserver les logs et suivre les statistiques des employés : La dernière étape permet d’être en conformité avec la législation puisqu’il s’agit ici de conserver 365 jours de logs conformément au code des postes de communication modifié par la loi n=°2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme. Enfin, il reste essentiel de suivre les statistiques de navigation des salariés afin de prévenir tous risques liés à de nouvelles habitudes de surf.




Voir les articles précédents

    

Voir les articles suivants