Ces derniers mois, nous avons appris que les agences de sécurité intérieure pouvaient épier nos conversations les plus intimes ; que les employés d’un géant du numérique ne seraient plus autorisés à pratiquer le télétravail et que la Commission européenne aurait conseillé à ses représentants qui se rendent en Grèce de s’inventer de fausses histoires personnelles, de s’éloigner des fenêtres et de ne pas sortir de documents sensibles du bureau.
Ces trois informations ont deux points en commun : un, elles étaient toutes matérialisées par des documents écrits (en l’occurrence, une présentation et deux notes internes) ; deux, les documents en question ont délibérément été rendus publics.
Que vous considériez les coupables comme des dénonciateurs ou des salariés mécontents ayant soif de vengeance, le fait est que les émotions pèsent lourd dans la décision de révéler une information confidentielle qui risque de porter préjudice à la réputation d’un ancien employeur. Or c’est prendre de gros risques que de se décider à révéler des données sensibles. L’employé concerné prend le risque d’être ridiculisé, d’être renvoyé ou poursuivi en justice, quand son employeur s’expose à une catastrophe potentielle en terme d’image, à des pénalités pour non conformité aux règles toujours plus strictes de protection des données, voire à des poursuites pénales.
Récemment, nous avons mené une étude[1] auprès d’employés de bureau en Europe pour comprendre les raisons qui incitent les salariés à utiliser l’information pour se venger. Il en ressort que les employés envisagent de se venger en détournant des données quand ils ont le sentiment que le traitement qui leur est réservé est injuste. En haut de la liste des griefs, ils citent le fait d’être blâmés pour quelque chose dont ils ne sont pas responsables (21 %), suivi par le sentiment d’être méprisés (19 %).
Plus d’un quart des employés (27 %) se contentent d’exprimer leur mécontentement au bureau, et quasiment autant (24 %) déchargent la pression par e-mail, généralement à destination de leurs proches et amis, qui propageront peut-être la bonne parole… Enfin, un peu plus d’un sur dix (11 %) se dit prêt à sortir délibérément des informations sensibles ou confidentielles du bureau, qu’elles soient liées ou non à l’incident de départ.
Quel est donc le profil du salarié mécontent prêt à détourner des données pour se venger ? Les employés du service marketing sont les plus concernés, puisque 29 % déclarent qu’ils se vengeraient en cas de blâme injuste et 26 % s’ils se sentaient méprisés, contre 15 % et 13 % respectivement de ceux qui occupent des postes de direction.
Par contre, notre étude démontre que, de tous les postes de la hiérarchie, les directeurs sont les plus enclins à sortir des contenus sensibles ou confidentiels du bureau pour les consulter ultérieurement (13 %). Alors qu’ils sont les moins soumis aux traitements inéquitables, ce sont les hauts dirigeants qui exposent le plus leur entreprise aux risques de violation de données et de dégradation de la réputation en sortant négligemment des informations du bureau.
Tous postes confondus, les revers professionnels arrivent très loin dans la liste des motifs de vengeance : perte d’emploi (15 %), bilan de performance insuffisant (7 %), promotion ou augmentation de salaire manquée (7 %).
En d’autres termes, les attitudes des employés vis-à-vis de l’information sont davantage dictées par le cœur que par la raison, par des motifs personnels plus que professionnels.
Il y a quelques années, le Ponemon Institute avait interrogé 1 000 personnes qui avaient quitté leur emploi, soit pour avoir démissionné soit pour avoir été licenciées. Il en est ressorti que 61 % de ceux qui n’appréciaient pas leur ancien employeur avaient emporté des données avec eux, contre 26 % seulement de ceux qui gardaient de bons souvenirs de leur précédent poste.
Bien sûr, tous n’avaient pas accès à des contenus dont la révélation aurait pu avoir des conséquences désastreuses, mais ça ne signifie pas que la plupart des informations auxquelles les employés de bureau ont accès ne revêtent pas une importance stratégique. Les informations les plus convoitées sont, dans l’ordre[2], les bases de données clients (45 %) suivies par les présentations (39 %), les plans stratégiques (13 %), les propositions de la société (9 %), et les feuilles de route de produits/services (7 %) ; des documents qui, s’ils tombaient entre de mauvaises mains, pourraient porter préjudice au positionnement de la marque, à sa réputation et lui faire perdre des clients.
Il est extrêmement important que les employeurs mesurent l’ampleur du risque. Qu’ils réalisent que leur responsabilité vis-à-vis de la sécurité de l’information ne peut pas se limiter aux consignes et processus, elle passe aussi par la formation des employés et leur encadrement.
Les entreprises doivent veiller à identifier rapidement et à traiter équitablement les problèmes liés à la performance des salariés, et à prendre au sérieux toute préoccupation portant sur des soupçons de mauvais traitement ou d’irrégularité.
C’est une culture de la responsabilité vis-à-vis de l’information qu’il faut instaurer, laquelle établit les valeurs de confiance et de respect pour les employés et le respect de la valeur de l’information interne. Comme la CIA l’a appris à ses dépens cette année, on ne construit pas une culture d’entreprise en édictant des directives internes. L’organisation a lancé un programme confidentiel visant à lutter contre les fuites de données sensibles constatées à l’échelle de son réseau de renseignement. Il n’a pas fallu longtemps avant que cette note fuite et qu’elle se retrouve entre les mains de l’Associated Press.
Conclusion : entreprises et organisations doivent communiquer avec précaution sur la nécessité de protéger leurs données et leurs dirigeants doivent donner l’exemple.