Le rendez-vous des PME et de l'Intelligence Economique

Ingénierie sociale, nouvelle menace pour les entreprises

Les fuites internes sont à l’origine de près d’une perte d’information sur deux (Baromètre du vol et de la perte d’information 2010, cabinet d’études KPMG). Effacement involontaire de données, perte ou vol d’ordinateurs ou encore espionnage industriel, les salariés sont au cœur de la problématique liée à la perte d’information stratégique pour les entreprises. On ne peut donc penser protéger son information sans passer par la maîtrise du risque représenté par les salariés.

Les employés sont les premiers détenteurs de l’information et du savoir-faire de l’entreprise, et le risque de perte d’information se situe dans la nature même de l’être humain : on ne peut prédire les comportements des salariés et une erreur est vite arrivée. Le risque humain peut ainsi prendre de multiples formes.

La malveillance interne représentait 21 % des incidents provoquant la perte d’information en 2010, selon le Baromètre de KPMG,  soit une augmentation de 20 % en trois ans (incidents comptabilisés entre janvier et juin 2010). Qu’il s’agisse d’espionnage industriel dans le but de vendre des informations à la concurrence ou tout simplement de la démission d’un salarié qui va travailler chez un concurrent en emportant avec lui son savoir-faire et éventuellement des données clés pour l’entreprise, les conséquences peuvent être dramatiques. A titre exemple, l’entreprise Cuir CCM a vu son chiffre d’affaire divisé par trois en dix ans à la suite du débauchage de neuf de ses salariés par un concurrent. Insatisfaction professionnelle, frustration, déception, besoin d’argent, goût du jeu… la liste des raisons poussant un salarié à la malveillance est longue. Le risque interne est d’autant plus fort qu’avec la crise économique, le besoin d’argent, l’incertitude face à l’avenir et les frustrations sont des situations de plus en plus répandues et qui fragilisent les salariés.

 Un autre type de risque humain est relatif aux réseaux sociaux, qui, on ne le dira jamais assez, représentent un puissant vecteur de fuite d’information pour les entreprises, soit parce que les salariés mettent en ligne des informations confidentielles sur leur travail, soit parce que les hackers se servent des données récoltées sur les profils des employés pour deviner leurs mots de passe ou encore pour gagner leur confiance afin de leur soutirer des informations. Ces deux dernières techniques font partie de ce que l’on appelle l’ingénierie sociale. Un test réalisé à l’occasion de la conférence Defcon sur le hacking en juillet 2010 a soumis 135 employés de 17 grandes compagnies (Coca-Cola, Ford, Wal-Mart etc.) à des techniques d’ingénierie sociale. Le résultat obtenu est alarmant : 96 % de ces employés, démarchés par téléphone ou par mail, ont divulgué des informations sensibles (version du système d'exploitation, logiciels antivirus, navigateurs utilisés dans l'entreprise, etc.). Alors comment expliquer le boom de l’ingénierie sociale et notamment le fait que tant d’information arrive à filtrer via les réseaux sociaux ? On peut invoquer le fait que les salariés ont du mal à distinguer la frontière entre leur vie professionnelle et leur vie personnelle. Ils n’ont de plus pas conscience des multiples façons dont les informations qu’ils mettent en ligne peuvent être utilisées.

Qu’elles relèvent de l’ingénierie sociale ou non, les tentatives d’approche des salariés sont multiples et variées et représentent un risque important à prendre en compte. Faux entretiens d’embauches, de journalistes, de chercheurs, etc., les prétextes sont nombreux pour amener les salariés à divulguer des informations. Ils peuvent également se faire approcher par le biais de leur entourage (famille, amis, amants). Ces tentatives d'approches s’appuient parfois sur des principes et méthodes psychologiques complexes, qui les rendent très difficiles à prévenir. Et souvent, le salarié ne se rend compte de rien ! L'être humain, du fait de sa nature même, regorge de failles et est donc extrêmement manipulable. La naïveté des salariés qui livrent des informations sans s’en rendre compte par besoin de parler, d’être écouté est à mettre en cause. Les sentiments de frustration des employés représentent aussi de véritables mines d’or à exploiter pour les spécialistes du renseignement humain. En trouvant les failles du salarié, ils vont réussir à le manipuler en lui laissant entrevoir une satisfaction future à délivrer des informations confidentielles. 

Plus simplement, un salarié peut commettre une négligence conduisant à une fuite d’information sensible. Qu’il s’agisse de conversations tenues dans les lieux publics, de travail sur un PC portable dans un train ou un avion, ou encore d’une discussion en apparence banale avec un client potentiel lors d’un salon professionnel, les salariés ont l’habitude de beaucoup parler de leur travail, sans se soucier du lieu où ils se trouvent ou de la personne qu’ils ont en face d’eux. Ils n’ont en effet pas conscience qu’on puisse les écouter. L’excès de confiance, attitude typiquement française est aussi en cause : les gens ont tendance à parler facilement à des personnes qu’ils connaissent à peine. Or les concurrents sont sans cesse à l’affût et il se trouve toujours quelqu’un pour récupérer une information stratégique laissée échappée. La perte ou le vol de documents ou supports informatiques est aussi un gros vecteur de fuite d’information, de même que la mauvaise utilisation des moyens informatiques. Ce dernier cas est souvent dû à une mauvaise connaissance des procédures et des risques.

La plupart du temps, les fuites d’information incriminables aux salariés surviennent de façon involontaire, mais les conséquences peuvent être dramatiques, surtout pour les PME dont l’équilibre est fragile et qui sont dotées de peu de moyens de protection.

En général, les employés  ne se sentent pas concernés par la protection de l'information, ils ne pensent pas qu'ils détiennent des informations importantes. La nécessité de protéger l’information n’est pas quelque chose qu’ils ont de présent à l’esprit, et ils n’ont pas conscience des dommages que la fuite d’information peut causer à leur entreprise.

Alors quelles solutions envisager pour réduire le risque représenté par les salariés ?

La première chose à faire est de s’interroger sur le bien-être des salariés au travail. En cultivant l’écoute, la reconnaissance et la valorisation des employés, les managers développeront le sentiment de loyauté des salariés envers l’entreprise et la prémuniront contre les comportements déviants. Il sera beaucoup plus facile de détecter les éventuelles fuites d’information : les employés se sentant en confiance, ils oseront davantage parler à leur manager d’une erreur qu’ils auraient pu commettre ou de doutes qu’ils ressentiraient à l’égard d’une situation donnée. Le bien-être des salariés au travail se cultive à travers les comportements de la hiérarchie, mais peut aussi être boosté par la mise en place de séminaires d’équipes, destinés à renforcer les liens de confiance entre l’équipe et la ligne managériale.

Ensuite, il est important de sensibiliser l’ensemble des salariés de l’entreprise à la nécessité de protéger l’information. Il faut leur faire prendre conscience des risques liés aux fuites d’information ainsi que des méthodes utilisées par les « rapaces » de l’information. Ils doivent également connaître les nombreuses situations au cours desquelles ils doivent se montrer vigilants ainsi que les comportements sécuritaires à adopter. Le meilleur moyen est d’utiliser des exemples concrets, proches du quotidien du salarié, et de répéter régulièrement le message de sensibilisation. Une simple mise en garde orale de la part de hiérarchie peut éviter à l’entreprise une fuite d’information. Les membres de l’équipe dirigeante ont d’ailleurs un rôle d’exemple à jouer envers leurs employés. Les entreprises sachant cultiver un climat de confiance augmenteront la réceptivité de leurs employés au message de sensibilisation.

Parallèlement à ces actions, l’entreprise doit mettre en place une protection juridique dans les contrats : clauses de discrétion, de non concurrence, brevets etc. Cela la protège juridiquement en cas de fuite d’information avérée et a aussi le mérite de sensibiliser et responsabiliser les salariés.

De la même manière, les procédures et moyens techniques contribuent à protéger l’entreprise des risques humains, notamment au niveau du système informatique : automatiser le verrouillage des sessions et le changement régulier de mot de passe contraint les salariés à prendre ces mesures élémentaires de protection, qu’ils en aient envie ou non. 

D’une façon générale, se prémunir contre le risque humain en matière de fuite d’information sensible n’est ni compliqué ni coûteux lorsque l’on a compris que le management représente la clé de voûte de toute démarche.  Axé sur la valorisation et la reconnaissance des employés, il doit permettre d’instaurer un climat de confiance et de bien être dans l’entreprise qui développera le sentiment d’appartenance.