Sécurité de l’information : même les PME peuvent être déstabilisées
L’investissement dans des dispositifs de sécurité (pare-feux, solutions anti-virus, techniques de chiffrement, alarmes, dispositifs biométriques…), mais aussi la formalisation de politiques de sécurité (gestion des mots de passe, des profils et des contrôles d’accès…) sont des éléments essentiels de la sécurité des entreprises.
Pour autant, aucune entreprise ne peut se considérer définitivement à l’abri d’une fuite d’information, qu’elle soit délibérée ou non. Car trop souvent, on a tendance à considérer les mesures techniques comme la parade ultime et de fait infaillibles.
Or il n’en est rien, il restera toujours un maillon faible : l’homme. A l’intérieur, comme à l’extérieur de l’entreprise.
Peu importe les mesures et politiques de sécurité mises en place, leur efficacité repose principalement sur les bons comportements de l’utilisateur et le respect des procédures.
Et dans les faits, toute organisation peut être victime de la négligence ou de la malveillance de ses collaborateurs ; certains diront que les règles sont faites pour être contournées, d’autres que ces règles nuisent à leur productivité…
Les salariés ne sont d’ailleurs pas les seuls concernés, certains chefs d’entreprises peuvent aller jusqu’à eux-même provoquer les dommages!
Citons le cas d’un chef d’entreprise dans le secteur de la distribution qui, soucieux « d’éviter de perdre du temps », avait ainsi fait abstraction de la sauvegarde régulière des données de son poste de travail et de la mise en place d’un mot de passe d’ouverture et de verrouillage de session.
C’est en rentrant de déjeuner, n’ayant pas verrouillé la porte de son bureau, confiant de la présence de salariés dans l’entreprise pour surveiller les allés et venues, qu’il a compris l’importance de ces procédures essentielles.
Son ordinateur avait été dérobé, impossible pour lui de récupérer les données datant de moins de trois mois, le voleur chanceux pouvant quant à lui accéder à l’ensemble de celles-ci. Un cas d’école.
Que ce soit dans l’enceinte de l’entreprise (attaques types social engineering, phishing, visites douteuses…) ou bien en dehors, notamment dans les lieux publics et en déplacement (au moins un ordinateur serait volé chaque jour dans le Thalys), c’est sur l’homme que reposera l’efficacité de toute politique de sécurité et la garantie de la protection du savoir et du savoir-faire de l’entreprise. Et c’est par son intermédiaire qu’un individu malveillant pourra le cas échéant arriver à ses fins.
Le cas classique est celui des déjeuners ou pots entre collègues en fin de journée, ou d’une simple conversation téléphonique dans un lieu public, au cours desquels un individu curieux guettera les indiscrétions de collaborateurs imprudents.
Les déplacements en train ou en avion offrent aussi autant d’occasions à une personne indélicate d’épier les collaborateurs travaillant sur des documents sensibles. On a trop souvent tendance à considérer que lieu public est synonyme d’anonymat. L’attention face au risque baisse, mais l’individu malveillant, lui, saura exploiter ces situations.
Et c’est bien sûr sans compter les menaces liées aux réseaux sociaux, aux faux entretiens de recrutement, aux informations que les collaborateurs laissent apparaître sur Internet, mais aussi à ce que l’entreprise communique pour mieux se vendre (par erreur, négligence ou naïveté, que ce soit dans les communiqués de presse, les rapports d’activités, les interviews…).
On n’insiste d’ailleurs pas assez sur l’importance du facteur humain, les limites de la fidélité de certains salariés et les possibles débauchages ou retournements (par la rétribution, la compromission – comme le sexe, notamment utilisé lors de déplacements à l’étranger pour compromettre et mieux approcher certains individus…).
Le cas de l’employé de Michelin qui avait tenté de revendre à Bridgestone des informations stratégiques avant d’être confondu ou l’affaire récente des trois cadres de Renault sont des exemples flagrants dont la presse s’est largement fait l’écho.
Mais on parle moins des PME (cibles de prédilection car les moins sensibilisées) qui peuvent aussi être confrontées à ce type d’approche, peu importe leur secteur d’activité.
Dans les faits, même les plus petites entreprises peuvent se faire déstabiliser, comme cette PME traditionnelle de quelques dizaines de salariés, dont l’un des cadres gérant l’ensemble des réseaux informels avec les fournisseurs et clients a été retourné.
Approché par un concurrent, et grâce à une proposition d’embauche alléchante et une défiance latente à l’égard de son précédent employeur, cet employé a cédé à la tentation en envoyant régulièrement pendant plusieurs semaines, avant de déposer son préavis, l’ensemble de la stratégie commerciale de son ancien employeur.
Pour avoir commis l’imprudence d’utiliser les adresses e-mail professionnelles lors de ces échanges, l’individu et le concurrent ont été confondus.
Bien sûr, il ne s’agit pas de tomber dans la paranoïa. Mais mal prendre conscience des risques expose aux pires maux pour l’entreprise : être devancée lors du lancement d’un nouveau produit, voire sa clientèle et ses marchés détournés, être déstabilisée par une information compromettante qui pourrait devenir publique…
Dans certains cas, l’entreprise victime aura bien du mal à s’en relever.
Des gestes et des comportements simples permettent de limiter les risques de fuite d’information émanant des collaborateurs:
- Se méfier de toute approche suspecte (convocation à un entretien, interview, appel téléphonique demandant d’outrepasser les règles établies quel que soit le prétexte);
- Vérifier les identités (une carte de visite ne peut être considérée comme une pièce d’identité!);
- Encadrer strictement les déplacements et utiliser des filtres de confidentialité sur les écrans des ordinateurs à l’extérieur de l’entreprise;
- Se déplacer avec le minimum de dossiers sensibles (il est d’ailleurs conseillé d’utiliser des ordinateurs dont la mémoire aura été complètement effacée avant le déplacement, et de ne transporter que les fichiers indispensables sur une clé USB savamment dissimulée);
- Etre conscient que lieu public n’est pas synonyme d’anonymat, faire attention aux informations évoquées à haute voix lors de conversations téléphoniques, sont déjà quelques règles indispensables.
Et du côté de l’employeur bien vérifier l’application de ces politiques et les clauses de non-concurrence notamment …
La prise en compte du point de vue de l’attaquant est essentielle. A la fois pour sensibiliser l’ensemble des collaborateurs aux menaces et techniques utilisées par l’adversaire pour mieux détecter les premiers signaux et savoir y faire face, mais aussi pour mieux cerner ses vulnérabilités.
Quelles sont mes failles ? Qu’est ce qui transparait de mon entreprise, directement ou indirectement, dans les cercles informels et sur le Web ? Comment un attaquant motivé procéderait-il pour me voler de l’information ou pour s’introduire dans l’enceinte de l’entreprise ? Quels sont mes collaborateurs clés et comment renforcer leur engagement ? Ne pas hésiter à pratiquer des audits de sécurité, et ce à tous les niveaux (SI, terrain, humain).
Autre élément important : garder à l’esprit qu’un collaborateur motivé sera toujours plus enclin à appliquer les consignes de sécurité qu’un collaborateur en état de défiance vis-à-vis de sa hiérarchie, qui augmentera les risques de négligence et de malveillance.
Managers et chefs d’entreprises, voilà une raison supplémentaire de prendre en considération les attentes de vos équipes !
