Services généraux

SECURITE INFORMATIQUE

- La malveillance reste marginale

- La tentation malthusienne
- La plupart se contentent du strict minimum
- Interdire ou autoriser ne suffit pas
- La sensibilisation est très insuffisante

Négligence plus que malveillance

Péril en la demeure
Le risque interne est encore trop souvent négligé

Webmails, USB, réseaux sociaux, logs, URL, bridage.

Contrairement aux idées reçues, le risque informatique dans les entreprises est
principalement généré aux salariés qui, par négligence ou par malveillance, met-
tent en danger le réseau de leur société. Si les cas de dommages volontaires sont
marginaux et plus difficilement évitables, les risques liés à une pratique insou-
ciante des technologies mises à la disposition des employés peuvent être circons-
crits. Première option, le refus des techniques les plus modernes. Un choix
économiquement contestable. Deuxième option, de nombreuses solutions tech-
niques existent. Elles ne doivent pas faire oublier que le meilleur allié dans cette
lutte reste le salarié lui-même. Il faut donc veiller, bien plus que ce n’est actuel-
lement le cas, à l’associer aux mesures de sécurité.

Par Sébastien Dumoulin

L
orsqu’on parle de sécurité infor-
matique,le risque interne,posé par
les salariés de l’entreprise eux-mê-
mes, est souvent négligé. “On se bar-
ricade face à des menaces extérieures. Les flux
entrants sont bloqués tant que possible. Mais vis-à-
vis des utilisateurs, on autorise tout”, s’étonne
Thierry Karsenti,directeur technique pour la zone
Europe de Check Point, une société de sécurité in-
formatique.Qu’est-ce qu’on autorise ? Comment ?
A qui ? A quels horaires ? Autant de questions que
se posent trop peu d’entreprises où le réseau in-
formatique s’est mis en place sans réflexion d’en-
semble. Ce qui est paradoxal, dans la mesure où
la majorité des menaces sont internes. “Le mythe
du grand méchant hacker chinois a la vie dure.
Pourtant, 80 % des risques relatifs au système infor-
matique dans l’entreprise viennent de l’interne”,
confirme Yann Padova, secrétaire général de la
Cnil (Commission nationale de l’informatique et
des libertés). Parmi les explications possibles, le
fait que ce risque soit mouvant par essence, car lié
aux usages. “Il y a des phénomènes de mode. Dans
les années 1990, les salariés se plaignaient davantage
des filtres à la navigation. Aujourd’hui la jurispru-
dence sur ce sujet est assez claire. Mais ensuite il y a
eu les blogs et aujourd’hui les problématiques autour
des comptes Facebook”, égrène Yann Padova. La
problématique n’est pas nouvelle. Elle existait
déjà du temps du courrier ou du téléphone. Mais quitté l’entreprise en emportant un disque dur
elle a pris énormément d’ampleur en dix ans,avec contenant des milliers de fichiers avant de pro-
l’arrivée massive d’Internet et des moyens de com- poser à Bridgestone, le concurrent du fabricant
munication dans l’entreprise. Et doit être prise en de pneumatique clermontois,de lui vendre des in-
compte à sa juste valeur,puisque “l’homme est tou- formations.Cependant,dans une étude sur les fui-
jours le maillon faible de la chaîne”, comme le rap- tes d’informations,la société Check Point a trouvé
pelle Emmanuel Lehmann, consultant spécialisé que,dans 99 % des cas, elle était involontaire.“Les
et auteur de Petit traité d’attaques subversives contre erreurs coûtent plus cher que la malveillance. La né-
les entreprises : théorie et pratique de la contre-ingé- gligence n’est pas à négliger”, résume Pascal Loin-
“80 % des risques relatifs
au système informatique dans l’entreprise
viennent de l’interne”
rence économique (Chiron, 2009). Il cite ainsi tier, le président du Clusif (Club de la sécurité de
l’exemple des réseaux de certains ministères et l’information français, une association qui ras-
entreprises où des postes “sas” doivent être em- semble 278 sociétés et collectivités publiques).A
pruntés pour utiliser une clef USB. “Il est toujours l’origine de la plupart des dommages, des erreurs
plus simple de passer directement et l’erreur humaine basiques. Comme l’envoi au mauvais destinataire
est inévitable.” d’un document confidentiel après avoir tapé un
peu rapidement une adresse reconnue automati-
La malveillance reste marginale quement par la messagerie.
Les cas de destruction volontaire de données,d’in-
troduction délibérée de virus ou d’espionnage in- La tentation malthusienne
dustriel par ses propres salariés ne doivent certes Face aux risques liés aux nouvelles technologies,
pas être exclus. Le cas médiatisé de l’ancien cadre la tentation est parfois forte de restreindre à tout-
de Michelin condamné à deux ans d’emprison- va. “Certains clients ont soudé les ports USB de tout
nement avec sursis et 5 000 euros d’amende en leur parc informatique, portables compris, pour les
juin dernier est emblématique. Le salarié avait rendre inutilisables”, explique Thierry Karsenti.
Cependant, pour des raisons de productivité, les
techniques de dissociation du réseau de l’entre-
prise de l’Internet se marginalisent. “Les bornes
Internet, encore présentes dans beaucoup d’entrepri-
ses il y a quelques années, tendent à disparaître”, ex-
plique Pascal Lointier.Il convient plutôt de définir
ce qui pose un risque réel. Ce peut être le cas des
messageries instantanées ou des réseaux sociaux,
mais aussi des webmails, qui représentent une
porte d’entrée vers le réseau de l’entreprise. “Un
antivirus protège généralement la messagerie d’en-
treprise et constitue un premier filtre sur le poste de
travail. En passant par un webmail, le salarié court-
circuite ce filtre”, explique Pascal Lointier. Autre
problème, aujourd’hui que le trafic de données a
dépassé la voix sur les téléphones,c’est l’usage des
smartphones qui fait débat, mais aussi des net-
books ou des tablettes graphiques, moins proté-
gés que les bons vieux PC de bureau. Chaque
nouvelle technologie voit débarquer dans ses sou-
tes de nouveaux risques et de nouvelles réticen-
ces. D’autant que certains outils peuvent avoir un
usage pour certains collaborateurs et pas pour
d’autres. Ainsi, “Facebook est de plus en plus utilisé
par les services de ressources humaines comme outil
de recrutement”, rappelleThierry Karsenti.
La plupart se contentent du strict minimum
Loin des extrémistes de la limitation d’accès, la

Le nouvel Economiste - n°1538 - Du 14 au 20 octobre 2010 - Hebdomadaire 43


“Il y a un basculement d’une logique d’obligation
de moyens – avec les chartes – à une logique
d’obligation de résultat – avec l’implication du
salarié”, remarque Thierry Karsenti chez Check
Point.
plupart des entreprises se contentent du strict mi-
nimum, la bonne vieille combinaison Antivi-
rus/Firewall. “Très peu de gens ont conscience qu’un
antivirus est une protection minimum. Certains vi-
“Les erreurs coûtent plus cher
que la malveillance
rus, chevaux de Troie, keyloggers,… ne seront pas re-
connus”, prévient Emmanuel Lehmann. “C’est
comme le port de la ceinture pour la sécurité routière.
Indispensable mais insuffisant”, selonThierry Kar-
senti. Les moyens de filtrage sont cependant
“lourds et coûteux – que ce soit les logiciels ou le per-
sonnel affecté”, estimeThibault Grouas, juriste au
Forum des droits sur l’Internet, ce qui explique
l’intérêt d’une charte informatique et la commu-
nication autour de celle-ci, notamment dans les
petites entreprises qui n’ont pas les moyens d’in-
vestir dans le contrôle physique. “La charte d’u-
sage n’est pas obligatoire. C’est une bonne pratique,
que la Cnil recommande”, explique Yann Padova.
Faire connaître les règles du jeu est toujours une
bonne tactique.Mais “il faut être très rigoureux.D’a-
bord sur la communication. La charte doit être por-
tée à la connaissance de tout le monde. Ensuite sur le
contenu : utilisation des outils informatiques, in-
stallation de logiciels,messageries,réseaux sociaux...”,
conseilleThibault Grouas. Et la pratique doit être
en accord avec le verbe. Inutile d’interdire l’accès
à certains sites si un minimum de filtrage n’est pas
mis en place. “Cela décrédibilise la charte, jugeThi-
bault Grouas.Il faut se couvrir juridiquement et tech-
La surveillance au travail
Les limites légales
Sur 5 000 plaintes reçues à la Cnil chaque année, un
quart concernent la surveillance au travail, de plus en
plus utilisée, de plus en plus intrusive et donc de plus
en plus contestée. Il en va de l’usage d’Internet, mes-
sageries incluses, comme du téléphone : une certaine
tolérance pour les usages privés est admise. “Le sala-
rié a droit à la vie privée sur son lieu de travail”, rappelle
Yann Padova. C’est le principe fort de l’arrêt Nikon, pro-
noncé en 2001, qui stipule “que le salarié a droit, même
au temps et au lieu de travail, au respect de l’intimité de
sa vie privée ; que celle-ci implique en particulier le sec-
ret des correspondances ; que l’employeur ne peut dès
“Le secret des conversations privées
est protégé civilement et pénalement.
On ne peut pas le contourner”
lors sans violation de cette liberté fondamentale pren-
dre connaissance des messages personnels émis par
le salarié et reçus par lui grâce à un outil informatique
mis à sa disposition pour son travail et ceci même au
cas où l’employeur aurait interdit une utilisation non
professionnelle de l’ordinateur.”En ce qui concerne les
fichiers et messages, tout ce qui se trouve sur le réseau
de l’entreprise est présumé professionnel, sauf si la
mention “personnel” figure dans le nom, le répertoire
ou l’objet. Alors seulement, l’employeur n’aura pas le
droit de les regarder. “L’administrateur réseau a accès
à l’ensemble du contenu sur le parc informatique de
l’entreprise. Y compris les données personnelles. Mais
il ne peut pas les communiquer à la direction. Il est tenu
à un strict respect de la confidentialité”, explique
Thibault Grouas, s’appuyant sur un arrêt de la Cour de
cassation du 17 juin 2009. Certaines personnes vont
s’abriter derrière l’étiquette “personnel” pour des acti-
vités illégales ou dommageables pour l’entreprise. Il
faudra alors porter plainte pour qu’un juge autorise un
huissier de justice à contrôler les fichiers incriminés.
44
Services généraux
SECURITE INFORMATIQUE
niquement.” L’inverse est d’ailleurs vrai. Si par
exemple les ports USB du parc informatique sont
bridés sans qu’aucune information sur le sujet
n’ait été distribuée,“il y a un risque de contentieux”,
prévient le juriste. La déconnexion entre deux
univers, juridique et technique, ne relevant pas
“L’antivirus est
comme le port de la ceinture pour la sécurité routière.
Indispensable mais insuffisant”
des mêmes directions dans les grosses structures,
pose souvent problème. La charte informatique
est cependant loin de constituer la panacée.
D’une, si elle est trop prohibitive, elle se heurtera
aux droits d’expression du salarié sur le lieu de tra-
vail. De deux, “la charte a surtout un intérêt juri-
dique.Si l’entreprise se retrouvait aux prud’hommes,
la signature d’une charte par le salarié renforcera sa
position”, estime Pascal Lointier. “Mais d’un point
de vue psychosociologique, son impact est très faible.”
Et quand bien même une charte est signée à l’ar-
rivée du salarié, deux ans plus tard qu’en reste-t-
il ? La question du suivi est au moins aussi
importante que celle de la mise en place de la
charte.
Interdire ou autoriser ne suffit pas
“Interdire ou autoriser n’est souvent pas un réglage
assez fin pour les entreprises”, assure Thierry Kar-
“Les données de connexion ne doivent pas être
conservées, sauf nécessité commerciale ou
judiciaire”, prévient Yann Padova, secrétaire
général de la Cnil.
“Le secret des conversations privées est protégé civile-
ment et pénalement. On ne peut pas le contourner”,
assène Yann Padova. Fort heureusement, les cas de
malveillance sont largement minoritaires. En ce qui
concerne les restrictions d’accès, le principe qui pré-
vaut en matière de restrictions d’accès est celui de la
proportionnalité avec les risques encourus. “Dès lors
que les conditions d’utilisation sont générales, et non
individualisées, communiquées au personnel et pro-
portionnées, il n’y a pas de problème”, résume Yann
Padova. Naturellement, c’est sur ce dernier point de la
proportionnalité que portent les contentieux. “La pro-
portionnalité est subjective, mais c’est le cœur de notre
métier”, rappelle Yann Padova. La Cnil a le pouvoir de
juger de la justification des mesures prises à l’encont-
re de la liberté des salariés. La question de la disponi-
bilité de la bande passante peut être une justification
suffisante pour, par exemple, restreindre ou interdire
l’accès aux sites de vidéo en ligne qui saturent rapide-
ment les serveurs, compromettant ainsi le bon fonc-
tionnement de l’entreprise. Un principe d’égalité doit
également prévaloir. Si tous les commerciaux ont droit
à un accès distant, sauf untel, mis à l’index parce que
posant un risque particulier, la mesure sera jugée dis-
criminatoire. “Imposer des mesures limitatives à l’é-
chelle d’un service est possible. A l’échelle d’une per-
sonne, cela devient discriminant”, prévient Yann
Padova. Enfin, quoi qu’il en soit, deux conditions pré-
alables de forme sont indispensables à toute mesure
restrictive : informer les salariés et consulter les instan-
ces représentatives dans les entreprises de plus de
50 personnes.
S.D.
senti. Des solutions techniques peuvent alors par
exemple permettre de n’utiliser que les clefs USB
de son entreprise ou uniquement les clefs chif-
frées, impossible à utiliser à l’extérieur. “Le cryp-
tage reste peu utilisé,regrette Emmanuel Lehmann,
sans doute à cause d’une apparente complexité.”Cer-
tains logiciels permettent de ne pouvoir les utili-
ser qu’en lecture et non en écriture, ce qui évite la
divulgation d’informations. D’autres désactivent
l’autorun. Si un cheval deTroie est présent sur une
clef USB, cela ralentit pour le moins la contami- “La charte d’usage est signée à l’arrivée, mais le
nation potentielle. Idem pour les mails. Des sys- suivi n’est que très rarement assuré”, regrette
tèmes de filtrage peuvent être mis en place en Pascal Lointier, le président du Clusif.
fonction de la confidentialité des pièces jointes,
ou si le corps du mail comprend des coordonnées teurs infectés par un virus pendant trois jours
bancaires, ou bien encore si une copie cachée du pour une décontamination qui ne prenait qu’une
message est envoyée en dehors de l’entreprise. demi-journée. “Un commercial privé de sa machine
“Avec le développement de la mobilité, il faut pro- pendant trois jours ressent fortement la gêne. A l’in-
mouvoir le contrôle d’accès et les systèmes de chiffre- verse, si l’on se contente de lui faire observer que sa né-
ment. Il n’est pas normal qu’un dossier sensible soit gligence coûte à l’entreprise 50 euros de l’heure pour
sur une clef USB non chiffrée et puisse être oubliée désinfecter, il y a de grandes chances pour qu’il ne re-
dans un hôtel ou un taxi”, s’exclame Pascal Loin- lève même pas.” Pas question pour autant de lais-
tier. Les autorités elles-mêmes considèrent le pro- ser de côté certains utilisateurs. Une organisation
blème de la sécurité des données avec une n’est jamais aussi forte que le plus faible de ses
attention accrue.En août dernier,la Financial Ser- maillons. “La secrétaire n’est souvent pas sensibili-
vices Authority, l’organisme chargé de réguler le sée. Or, elle est tout aussi susceptible, voire plus, d’être
16 % seulement des entreprises assurent
une formation périodique
de tout le personnel
secteur financier en Grande-Bretagne, infligeait approchée pour obtenir des renseignements à son
ainsi une amende record de 2,7 millions d’euros à insu, par des techniques de social engineering par
une grande compagnie d’assurance pour la perte exemple”, s’inquiète Emmanuel Lehmann. Une
de données personnelles de quelque personne qui appelle en se faisant passer pour la
46 000 clients, incluant numéros de comptes et de DSI en demandant un mot de passe ou le télé-
cartes bancaires. Une amende qui envoie un mes- chargement d’un correctif, une clef USB remise
sage fort aux entreprises pour qu’elles protègent sur un salon… autant d’armes contre lesquelles
leurs données sensibles.Aujourd’hui c’est donc la un minimum d’information du personnel suffit
biométrie qui se développe. La reconnaissance
des empreintes digitales par un ordinateur por-
table par exemple réduit considérablement les
risques de fuite d’information. S’il est possible de
bloquer des URL, d’interdire l’accès aux réseaux
sociaux, ces restrictions pourront-elles être ex-
haustives ? “Facebook va être ciblé parce que emblé-
matique.MaisViadeo ? Linkedin ? Ou d’autres encore
que vous ne connaissez pas ?”, s’interroge Pascal
Lointier. Une salariée récemment envoyée en
poste en Espagne pour son entreprise s’amuse
ainsi que son compte Facebook lui soit accessible,
contrairement à ses collègues, parce que l’adresse
du site en France n’est pas bloquée par l’admi-
nistrateur réseau.Il y aura toujours une faille.Sans
devenir paranoïaque pour autant, il faut donc
d’une part évaluer les risques, d’autre part infor-
mer et impliquer les salariés. “Le régime juridique pour la surveillance des
activités des salariés est contraignant”, explique
La sensibilisation est très insuffisante Thibault Grouas, juriste au Forum des droits sur
l’Internet.
Seules 16 % des entreprises assurent une forma-
tion périodique de tout le personnel. “C’est effa-
rant ! L’être humain oublie. Ne pas assurer le souvent à se prémunir. Un mot d’ordre : commu-
rafraîchissement de l’information, c’est laisser les sa- niquer. “Le responsable sécurité dans l’entreprise est
lariés à leur paresse et à leurs éventuelles velléités de trop souvent vu comme Monsieur Non, celui qui
malveillance”, juge Pascal Lointier. Pourtant leur contraint les usages. L’un des grands défis de sa mis-
rôle est essentiel. Dans la gestion des mails par sion est de dépasser cette image”, analyse Thierry
exemple, le rôle du receveur qui vérifie l’expédi- Karsenti. Le profil même du métier d’adminis-
teur et la cohérence d’un mail par exemple est es- trateur évolue peu à peu de la technique infor-
sentiel pour éviter la propagation d’un virus. Les matique vers la communication. �
nouveaux usages liés à la mobilité nécessitent éga-
lement l’implication du salarié, alors que l’infor-
matique n’est plus physiquement dans
l’entreprise. Ce peut même être alors à l’utilisa-
teur de se responsabiliser. Ainsi, lors de la
connexion à un réseau social, un pop-up peut ap-
CHIFFRES REVELATEURS
paraître, rappelant la politique maison en la ma-
tière et demandant au salarié s’il souhaite Un risque sous-estimé
continuer et pourquoi. “Ce type de dispositif inter-
actif remplit la même fonction que les radars auto- 30 % des entreprises ont réalisé un inventaire complet
matiques sur les autoroutes”, analyse Thierry de leurs données. Parmi celles-ci, à peine un quart a
Karsenti. Deux conditions pour une sensibilisa- effectué une classification des informations recensées.
tion réussie : adapter son discours au public et tou- Un tiers des entreprises n’a pas mis en place de charte.
cher tout le monde. Pour obtenir un 27 % des salariés sont sensibilisés à leur arrivée. 16 %
comportement adapté, impossible de s’adresser seulement font l’objet d’une formation récurrente.
de la même façon à un informaticien ou à un chef
de produit. “Pour chaque classe d’acteurs, il faut un
vocabulaire adapté et une explication sur les risques
qui les concernent en particulier”, conseille Pascal Lire les dossiers précédents
Les archives numériques
Lointier. Le président du Clusif se souvient d’un nouveleconomiste.fr
service informatique qui conservait les ordina- (consultation gratuite)
Le nouvel Economiste - n°1538 - Du 14 au 20 octobre 2010 - Hebdomadaire