Naïveté et confiance mal placée composent un cocktail potentiellement dangereux dans le monde de l’entreprise. C’est encore plus vrai en ce qui concerne la gestion des risques pour l’information. Une étude récente[i] révèle que 87 % des entreprises en Europe ne pensent pas que leurs employés emportent des informations quand ils quittent la société. Pour 81 % des personnes interrogées, cette confiance s’explique par l’adoption de mesures strictes : faire signer des contrats de confidentialité, bloquer l’accès aux réseaux IT de l’entreprise des anciens salariés, empêcher que l’on puisse copier des données sur des disques ou des clés USB, escorter à l’extérieur ceux qui occupent des postes à risque dès l’instant où ils remettent leur démission. Bon, tout va bien alors…
Sauf que les trois quarts des répondants n’ont jamais vérifié que ces mesures suffisaient effectivement à empêcher toute fuite d’information. Une autre étude[ii], qui s’intéresse cette fois-ci aux pratiques vis-à-vis de l’information des employés qui quittent une société, dépeint d’ailleurs un tout autre tableau. Elle montre en effet qu’ils sont nombreux à n’éprouver aucun scrupule à emporter des documents sensibles ou hautement confidentiels avec eux. La plupart n’y voient aucun mal.
Ils sont deux tiers à reconnaître qu’ils emporteraient volontiers des informations qu’ils estiment avoir contribué à produire, ou à l’avoir déjà fait, et 72 % estiment que ces informations pourraient leur être utiles à leur nouveau poste.
En Europe, les employés de bureau qui ont déjà emporté des informations reconnaissent avoir quitté leur entreprise en ayant sous le bras des présentations [46 %], propositions [21 %], plans stratégiques [18 %] et feuilles de route de produits/services [18 %]. Plus inquiétant encore, la moitié (51 %) se servent directement dans les bases de données client confidentielles, en dépit des lois de protection des données en vigueur. Et si les mesures qui bloquent l’accès aux informations se déclenchent dès l’instant où l’employé remet sa démission, alors il y a de grandes chances que les documents soient subtilisés juste avant.
La confiance exprimée par les employeurs apparaît donc en total décalage. Surtout quand on mesure la valeur de l’information pour les professionnels interrogés pour l’étude : cabinets juridiques, services financiers, assurances, fabrication industrielle, génie civil et industrie pharmaceutique.
Il est extrêmement important que les employeurs appréhendent l’ampleur du risque. Qu’ils réalisent que mettre en place des procédures dissuasives pour gérer le risque pour l’information que posent les salariés ne suffit pas, encore faut-il contrôler leur efficacité.
Autrement dit, supprimer l’accès au réseau interne de l’entreprise le jour-même où la personne démissionne relève certes d’une bonne intention, mais ça ne rime à rien si, la semaine qui précède, l’employé a pu imprimer en toute tranquillité des documents sensibles ou s’envoyer des bases d’infos clients sur son adresse e-mail privée.
Le tableau n’est pas non plus totalement noir. Deux tiers (67 %) des employeurs disent mesurer le risque que constituent les départs de salariés pour la sécurité de l’information. La plupart estiment qu’ils ont pris les mesures qui s’imposaient. Que pourraient-ils donc faire de plus ou de mieux ?
La réponse se trouve dans l’information et la sensibilisation des employés. Il est essentiel qu’ils comprennent ce que sont les informations confidentielles et qu’ils mesurent les conséquences légales ou les préjudices de réputation que peut occasionner une fuite de données.
Une conclusion très intéressante ressort de l’étude 2012 : le comportement des employés est directement lié à l’existence ou non d’une politique de protection des données dans l’entreprise et à la manière dont elle leur est communiquée. Par exemple, 80 % des sondés allemands disent comprendre les consignes vis-à-vis des informations qu’il est ou non possible de sortir de l’entreprise, contre une moyenne européenne de 57 % et un tiers seulement a déjà emporté des documents qu’ils avaient produits eux-mêmes, contre une moyenne européenne de 56 %. Conclusion, les employés qui connaissent les règles agissent en conséquence.
En ce qui concerne les données les plus sensibles et confidentielles, des mesures de sécurité supplémentaires sont envisageables, comme d’empêcher les employés d’enregistrer des données sur leur PC. Il est possible également de limiter l’accès en lecture seule, et sur demande exclusivement, aux données conservées dans un référentiel central (les dossiers de patients ou les statistiques de recherches, par exemple). Cette dernière pratique est déjà largement adoptée dans le secteur de la santé.
Le message est clair. Pour garantir la protection des données en continu et non seulement au moment du départ, c’est une culture de responsabilité vis-à-vis de l’information qu’il faut instaurer, fondée sur la confiance et le respect de la valeur de l’information, électronique et sur papier, doublée de mesures de sécurité strictes.