Tribune libre : Sécurité de l’information : même les PME peuvent être déstabilisées

L’investissement dans des dispositifs de sécurité (pare-feux, solutions anti-virus, techniques de chiffrement, alarmes, dispositifs biométriques…), mais aussi la formalisation de politiques de sécurité (gestion des mots de passe, des profils et des contrôles d’accès…) sont des éléments essentiels de la sécurité des entreprises.

Pour autant, aucune entreprise ne peut se considérer définitivement à l’abri d’une fuite d’information, qu’elle soit délibérée ou non. Car trop souvent, on a tendance à considérer les mesures techniques comme la parade ultime et de fait infaillibles.

Or il n’en est rien, il restera toujours un maillon faible : l’homme. A l’intérieur, comme à l’extérieur de l’entreprise.

Et dans les faits, toute organisation peut être victime de la négligence ou de la malveillance de ses collaborateurs ; certains diront que les règles sont faites pour être contournées, d’autres que ces règles nuisent à leur productivité…

Les salariés ne sont d’ailleurs pas les seuls concernés, certains chefs d’entreprises peuvent aller jusqu’à eux-même provoquer les dommages!

Citons le cas d’un chef d’entreprise dans le secteur de la distribution qui, soucieux « d’éviter de perdre du temps », avait ainsi fait abstraction de la sauvegarde régulière des données de son poste de travail et de la mise en place d’un mot de passe d’ouverture et de verrouillage de session.

C’est en rentrant de déjeuner, n’ayant pas verrouillé la porte de son bureau, confiant de la présence de salariés dans l’entreprise pour surveiller les allés et venues, qu’il a compris l’importance de ces procédures essentielles.

Son ordinateur avait été dérobé, impossible pour lui de récupérer les données datant de moins de trois mois, le voleur chanceux pouvant quant à lui accéder à l’ensemble de celles-ci. Un cas d’école.

Que ce soit dans l’enceinte de l’entreprise (attaques types social engineering, phishing, visites douteuses…) ou bien en dehors, notamment dans les lieux publics et en déplacement (au moins un ordinateur serait volé chaque jour dans le Thalys), c’est sur l’homme que reposera l’efficacité de toute politique de sécurité et la garantie de la protection du savoir et du savoir-faire de l’entreprise. Et c’est par son intermédiaire qu’un individu malveillant pourra le cas échéant arriver à ses fins.

Le cas classique est celui des déjeuners ou pots entre collègues en fin de journée, ou d’une simple conversation téléphonique dans un lieu public, au cours desquels un individu curieux guettera les indiscrétions de collaborateurs imprudents.

Les déplacements en train ou en avion offrent aussi autant d’occasions à une personne indélicate d’épier les collaborateurs travaillant sur des documents sensibles. On a trop souvent tendance à considérer que lieu public est synonyme d’anonymat. L’attention face au risque baisse, mais l’individu malveillant, lui, saura exploiter ces situations.

Et c’est bien sûr sans compter les menaces liées aux réseaux sociaux, aux faux entretiens de recrutement, aux informations que les collaborateurs laissent apparaître sur Internet, mais aussi à ce que l’entreprise communique pour mieux se vendre (par erreur, négligence ou naïveté, que ce soit dans les communiqués de presse, les rapports d’activités, les interviews…).

On n’insiste d’ailleurs pas assez sur l’importance du facteur humain, les limites de la fidélité de certains salariés et les possibles débauchages ou retournements (par la rétribution, la compromission – comme le sexe, notamment utilisé lors de déplacements à l’étranger pour compromettre et mieux approcher certains individus…).

Le cas de l’employé de Michelin qui avait tenté de revendre à Bridgestone des informations stratégiques avant d’être confondu ou l’affaire récente des trois cadres de Renault sont des exemples flagrants dont la presse s’est largement fait l’écho.

(lire la fin de la chronique page 2)