Plus dangereux que l'espionnage industriel : que peuvent les entreprises françaises face aux 60 % de leurs employés qui sont partis avec des données confidentielles<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
Economie
Les Français ne s’appliquent pas les mêmes règles entre les "mondes" professionnel et personnel.
Les Français ne s’appliquent pas les mêmes règles entre les "mondes" professionnel et personnel.
©Flickr / zigazou76

007

Une enquête menée par Symantec à l’échelle mondiale révèle que 60 % des employés français démissionnaires ou licenciés au cours de ces douze derniers mois ont conservé des données confidentielles appartenant à leur entreprise.

Michel  Van Den Berghe

Michel Van Den Berghe

Michel Van Den Berghe est président d'Atheos, société spécialisée dans la cyberdéfense des entreprises. 

Voir la bio »

Atlantico : Selon une enquête mondiale réalisée à la demande de Symantec, 60 % des employés français qui ont démissionné ou ont été licenciés au cours des 12 derniers mois ont conservé des données confidentielles appartenant à leur entreprise et 52 % prévoient de les utiliser dans le cadre de leur nouvel emploi (lire ici). Quelles sont pour les entreprises les conséquences et les risques d'un tel phénomène ? Peux-t-on chiffrer le manque à gagner, relativement à des formes plus explicites d'espionnage industriel ?

Michel Van Den Berghe :C'est hélas une pratique coutumière et peu nouvelle. Tout bon commercial se doit d'arriver chez son nouvel employeur avec sa base de prospects et de clients. Il y a 20 ans, il fallait sortir peu à peu de gros listing, aujourd'hui une simple clé USB suffit....On se demande parfois qui est recruté : le commercial ou sa belle base de clients venant du concurrent direct...

Les conséquences de ces comportements sont potentiellement les mêmes que pour tout vol d’informations. Il est d'ailleurs plus simple pour un salarié que pour un externe d’identifier les données confidentielles à sortir, sachant que la moitié d’entre eux, appartiennent au management de l’entreprise et que de fait, ils ont accès à ces données souvent sans contrôle de l’utilisation qui en est faite.

Le manque à gagner reste toutefois difficile à chiffrer en termes d’impact financier, d’image ou d’avantage concurrentiel sans connaitre avec précisions les données "volées" et les conditions dans lesquelles elles seront utilisées.

Si l’on ajoute le fait qu’une grande majorité des données professionnelles (60% statistiquement) sont encore stockées (ou dupliquées) sur le poste de travail de l’utilisateur, il devient très simple avec la miniaturisation des moyens de stockage d’exfiltrer des données. Ces pratiques sont effectivement régulières mais souvent anticipées et préparées par un salarié lors de sa (longue) période de préavis. Mais d’autres moyens de fuite d’informations peuvent être également utilisés après le départ du salarié tels que des accès non désactivés par l'entreprise à des applications hébergées dans le cloud par exemple.

Comment expliquer que la France se place bien au-dessus de la moyenne mondiale, celle-ci se situant environ 10 points en dessous ?

Les mauvaises "habitudes" françaises tout simplement. Même si l’on ne peut heureusement pas généraliser, les Français ne s’appliquent pas les mêmes règles entre les "mondes" professionnel et personnel. Ils ne dépensent pas l’argent de leur entreprise avec la même facilité que le leur et communiquent, par exemple, facilement leur mot de passe alors qu’ils ne donneraient pas leur code de carte bancaire ou les clés de leur maison et ont bien moins de soin du matériel fourni par l'employeur que le leur.

Enfin, 50% des salariés qui partent avec des données confidentielles le font  essentiellement pour améliorer leur condition financière, leur pouvoir ou pour démontrer leur importance.

Un manque de communication et de sensibilisation des employés sur les risques encourus et les bonnes pratiques à respecter favorise ces comportements.

Fait inquiétant, la moitié des employés français quittant leur entreprise pensent qu’ils ne commettent pas de délit en lui volant des données. Comment expliquer cette méconnaissance de la législation en vigueur ? Doit-on sensibiliser davantage les salariés ?

La peur du "gendarme" n’est pas forcément le moyen le plus efficace pour enrayer ces fuites d’informations mais permettrait certainement de mieux faire connaitre la législation en vigueur. Quand on sait également d’une grande majorité des fuites d’informations ne sont pas intentionnelles, une sensibilisation des utilisateurs sur les impacts potentiels pour l’entreprise et les pratiques à respecter devrait être mise en œuvre systématiquement et surtout plus régulièrement.

Les entreprises ont-elles tendance à sous-estimer le problème, en centrant leurs efforts davantage sur la lutte contre la cybercriminalité par exemple, ou sont-elles démunies ?

Oui le problème est souvent sous-estimé et les RSSI, par manque de budget et d’intérêt ou de sensibilisation de leur direction, sont contraints de faire des choix. La priorité est clairement donnée pour lutter contre la cybercriminalité plus médiatisée et tout aussi importante. Pour autant, ces deux phénomènes se rejoignent car ils ont le même objectif : voler de l’information.

Des moyens, à minima de traçabilité et de protection de l’information, existent et peuvent être efficaces pour lutter à la fois contre la cybercriminalité et les employés "indélicats". Il ne faut jamais oublier que les nouvelles menaces ne font pas disparaître les anciennes et qu'il ne sert a rien de lutter contre les nouvelles menaces de type APT capable d'extirper de l'information sur le réseau si n'importe quel employé peut envoyer par mail un fichier de données ultra confidentielles.

Comment peut-on améliorer dans les faits les systèmes de protection des données confidentielles des entreprises ? Quelles sont les précautions d’usage nécessaires pour respecter la propriété intellectuelle de l’entreprise ? 

Michel Van Den Berghe :La première des protections restera toujours de gérer les accès aux informations sensibles au travers de processus de gestion des habilitations efficaces et adaptés à la criticité des données accédées. Des moyens complémentaires de type chiffrement peuvent également être mis en œuvre pour se prémunir d’accès frauduleux ou contre le vol physique.

En complément indispensable, des solutions existent également  pour tracer l’utilisation des informations les plus critiques voir bloquer leur exfiltration. En dehors de l’intérêt évident en termes de traçabilité et de moyens de réaction, elles permettent de sensibiliser les utilisateurs et de faire prendre conscience aux directions des entreprises des risques réels sur la base d’événements avérés.

Quoi qu’il en soit, tous ces moyens ne constituent pas LA solution miracle mais sont des contres mesures pour améliorer la protection des données confidentielles, déceler ces fuites et en diminuer les impacts. Sans oublier les fuites d’informations (orales ou autres) qui n’utilisent pas les moyens numériques.

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !