Avec la multiplication des terminaux mobiles et des réseaux sociaux, le contrôle des accès se complique. Et pourtant, ce sujet n’est pas toujours une priorité pour les PME. Or, leur responsabilité peut être engagée même à son corps défendant.
La sécurité informatique serait-elle un échec ? Plusieurs experts dans ce domaine, mais aussi des organismes officiels comme l’ANSSI (Agence nationale de la sécurité des systèmes d’information), font ce constat désolant et terrifiant à la fois en s’appuyant sur diverses études. Parmi celles-ci, il y a le rapport 2012 du Clusif (Club de la Sécurité de l’Information Français). Cette association indique que « les programmes de sensibilisation à la sécurité de l’information sont toujours peu répandus. La démarche semble s’essouffler : 17 % des collectivités ont lancé des actions dans ce domaine et 12 % en préparent. Soit à peu de chose près, la même proportion qu’il y a quatre ans ».
Cette sensibilisation très faible est une erreur, car les employeurs ont à la fois des obligations et des contraintes.
La protection des données de l’entreprise
Les actifs de valeur (c’est-à-dire les données) doivent être protégés contre les menaces (infection par un virus, acte malveillant d’un salarié licencié, dégât des eaux…) qui conduisent à la perte, l’inaccessibilité, l’altération ou la divulgation inappropriée. Cela implique notamment le déploiement d’outils spécifiques (gestion des accès physiques, identification des utilisateurs, pare-feu, etc.). La protection et la confidentialité des données passent aussi par le recours à la cryptographie et au hachage qui permet de vérifier la non-altération des données au cours de l’échange. Malgré ces termes encore abscons pour de nombreuses personnes, il existe aujourd’hui des solutions simples (dont certaines sont d’ailleurs intégrées à des systèmes d’exploitation comme Windows 8 ou à des distributions GNU/Linux) qui permettent de sécuriser toutes les informations sensibles. Il est en effet possible de chiffrer des partitions d’un disque dur (interne ou externe) et des répertoires (stockés en local ou dans le Cloud computing).
La protection des données personnelles
L’information est aujourd’hui partout. Les plateformes intranet et les bases de données clients partagées entre les services et/ou des filiales contiennent des données à caractère privé et/ou confidentiel. L’employeur doit donc mettre en place des mesures appropriées. Mais c’est, hélas, rarement le cas. Une étude a notamment révélé que 68 % des personnes composant les équipes informatiques d’une société estimaient avoir un accès plus facile aux contenus sensibles que les équipes des ressources humaines, de la finance ou encore à la direction. Plus grave, 39 % des informaticiens déclaraient avoir accès à des données non autorisées et sensibles.
Or, l’article 34 de la Loi Informatique & libertés impose à tout chef d’entreprise, collectant et traitant des informations à caractère personnel, de mettre en place des mesures de sécurité pour empêcher qu’elles ne soient déformées, endommagées ou que des tiers non autorisés y aient accès. À défaut, cela constitue une infraction pénale sanctionnée de 5 ans de prison et de 300 000 d’amende (Article 226-17 du Code pénal). Pour les personnes morales, la peine d’amende encourue est quintuplée, soit 1 500 000 .
BYOD et authentification
Les responsables informatiques doivent faire face à la volonté de plus en plus prononcée des salariés de travailler au bureau avec leurs propres outils, qu’il s’agisse de leur terminal mobile (smartphone et tablette) ou de leurs logiciels. Confrontées au BYOD (abréviation de « Bring your own device »), remplacé en France depuis mars 2013 par AVEC (abréviation d’« Apportez Votre Équipement personnel de Communication »), les entreprises doivent instaurer une double couche de sécurité. Elle implique l’identification des utilisateurs au moyen d’une authentification à deux facteurs sans jeton (coordonnées de connexion personnelles et un numéro d’identification dynamique reçu sur un téléphone par exemple). Cette solution, techniquement et financièrement abordable aux PME, permet de réduire les accès non identifiés par piratage d’un mot de passe trop faible.
Les accès au web : des excès sévèrement punis
Sur leur lieu de travail, les salariés peuvent surfer sur des sites qui n’ont pas de rapports directs avec leur activité. Mais il ne faut pas confondre permission et connexion excessive ! D’un côté, la jurisprudence (affaire Nikon, 2 octobre 2001) rappelle le droit pour les collaborateurs de disposer d’une sphère d’intimité au bureau et pendant leur temps de travail. Mais il convient de rester dans ce que l’on pourrait qualifier de « raisonnable ».
C’est ce qu’a précisé la Cour de cassation le 23 février 2013. Les juges ont validé le licenciement pour faute grave d’une salariée qui s’était connectée plus de 10 000 fois à des sites non professionnels (voyage, comparateurs de prix, sites de marques de prêt-à-porter
) sur son lieu de travail durant deux courtes périodes (14 jours puis 4 jours ; à moins d’un mois d’intervalle). Soit 555 connexions par jour environ ! Pour la Cour de cassation, « [
] une telle utilisation d’internet [
] pendant son temps de travail présentait un caractère particulièrement abusif et constitutif d’une faute grave ».
Ce licenciement rappelle les limites imposées aux salariés. Mais il convient parallèlement de préciser que les initiatives des entreprises sont également très encadrées. :
L’utilisation du journal de connexion d’un serveur central est interdite pour détecter des accès excessifs : les informations recueillies sont par défaut assimilables à des données personnelles et leur collecte nécessite pour l’employeur de réaliser une déclaration préalable auprès de la CNIL.
L’usage de keylogger (un logiciel capable d’enregistrer les touches d’un clavier) est réglementé. Fin mars, la Commission nationale pour l’informatique et les libertés (CNIL) a adressé une mise en demeure à une entreprise ayant surveillé ses salariés par ce procédé. Pour cet organisme, ce type de programme « conduit celui qui l’utilise à pouvoir exercer une surveillance constante et permanente sur l’activité professionnelle des salariés concernés, mais aussi sur leur activité personnelle résiduelle effectuée à partir du poste informatique ».
Enfin, les instances représentatives du personnel doivent être informées ou consultées avant l’instauration d’un dispositif de contrôle de l’activité, et chaque employé doit être notamment informé des finalités poursuivies.
Ces trois précisions sont l’occasion de rappeler que les entreprises doivent établir une charte informatique afin d’informer les salariés sur les règles à respecter concernant leurs connexions internet et sur les processus de contrôle mis en place.
Le filtrage des accès web
Contrairement à une idée trop souvent répandue parmi les salariés, une entreprise peut tout verrouiller. La loi, notamment l’Hadopi, prévoit en effet que les entreprises doivent veiller à l’utilisation qui est faite de leur accès internet, en particulier en matière de téléchargement. La société peut donc bloquer de manière unilatérale l’accès aux réseaux sociaux ou aux webmails. Grâce à différents logiciels, elle peut aussi opter pour un filtrage plus fin de certains sites précis, voire n’autoriser qu’un quota d’heures ou une tranche horaire d’accès.
Ce filtrage est essentiel pour les entreprises; il leur évite de s’exposer à des risques juridiques en cas d’activité illicite d’un salarié, comme le téléchargement illégal ou la consultation de contenus pédopornographiques. Pour les experts et juristes, il ne faut pas se focaliser sur la productivité à tout prix, surtout quand le temps professionnel passé chez soi augmente considérablement, notamment avec les smartphones.
Quel que soit le point abordé, la gestion de la sécurité doit toujours être la plus rapide et exhaustive possible. Cette problématique ne doit pas être réservée au seul responsable informatique de l’entreprise, mais à tous les services qui doivent renforcer leur communication.