Porno sur le lieu travail…
Le site d’une grande entreprise demeure inaccessible sans raison apparente. Une enquête révèle que l’ex-programmeur de la société avait installé un levier pour saboter le site. Le stratagème ne fut découvert lorsque l’on s’aperçut au cours de l’enquête que l’user-ID correspondait à celle de l’employé licencié. L’homme s’était servi de ses connaissances pour faire en sorte de toujours avoir accès aux systèmes de l’entreprise.
Fraude, sabotage, chantage,…
Mais il y a pire. Dans une autre entreprise, le gestionnaire système était sur le pied de guerre avec un autre collègue. Pour le discréditer, l’informaticien avait introduit des informations accablantes dans le répertoire de son collègue et avait fait en sorte que cela apparaisse au grand jour, dans l’espoir de le faire licencier.
“Ce n’est encore que le sommet de l’iceberg”, raconte Menno van der Marel, directeur de Fox-IT. “Il arrive par exemple aussi fréquemment que les informaticiens recherchent les noms des personnes qui vont être licenciées et les transmettent aux collègues concernés.”
Cela commence souvent de manière très innocente. Par simple curiosité, les informaticiens tentent de trouver des informations qui ne leur sont pas destinées. Essentiellement pour voir jusqu’où ils peuvent aller. Dans la plupart des cas, ils n’utilisent finalement pas les informations qu’ils découvrent, parce qu’ils ne savent souvent pas de quoi il s’agit, mais il leur arrive pourtant de temps à autre d’abuser de leur position.
“Il y a différentes façons d’abuser de la situation,” explique Carlo Schüpp de chez Deloitte, “mais les plus fréquentes sont la fraude, le sabotage et le chantage.” Ces actes sont très souvent commis par des employés licenciés qui veulent se venger ou par des employés qui veulent ainsi protéger leur job.
Beaucoup de managers sous-estiment la puissance que détient leur département IT, parce que son influence est invisible et que tout se déroule en coulisses. Mais plus la numérisation progresse, plus le pouvoir de l’informaticien grandit et plus il y a de risques pour l’entreprise. Le savoir est synonyme de pouvoir, et les informaticiens savent souvent quels sont les informations qui sont disponibles. Ils ont accès aux informations stratégiques de l’entreprise, peuvent modifier les mots de passe et même influencer tous les processus. Rares sont les managers qui savent précisément qui regarde par-dessus leurs épaules.
Chiffres
Une récente enquête de McAfee confirme ces cas d’abus. Sur 1 400 informaticiens américains, allemands, anglais et français interrogés, 60% reconnaissent avoir violé l’accès à des données d’entreprise. Selon cette même enquête, les abus ne concerneraient que 6% des cas. De plus, 61% des personnes interrogées déclarent que ce sont leurs collègues les principaux responsables des abus et de la fuite des informations par exemple. Les dommages subis par les entreprises en raison de ces abus s’élèvent selon eux en moyenne à 1,2 million d’euros.
“Mais ce n’est pas la seule constatation”, déclare C. Schüpp. “D’après notre propre enquête, il semble y avoir une grande différence entre ce que les hommes d’affaires savent à propos des éventuels incidents et ce que les informaticiens savent.” Deloitte a effectué une enquête auprès de quelque 300 entreprises portant notamment sur l’abus d’information et la communication à ce sujet.
Voici ce qu’il en est ressorti. Seuls 23% des informaticiens déclarent qu’il n’y a aucune fraude, contre 37% coté business. À la question concernant le vol de données, les informaticiens ont répondu que cela se produisait selon eux dans 12% des cas. Pour les hommes d’affaires, cela n’arrive que dans 7% des cas.
Bref, le département IT est au courant de très nombreux événements dont le coté business, le management par exemple, ne sait rien.
Limiter les risques
Votre informaticien détient un pouvoir énorme. Mais vous pouvez néanmoins limiter facilement les risques. Un point sur lequel C. Schüpp et M. van der Marel insistent. “Dans les entreprises, les informaticiens crient haut et fort qu’ils ont besoin de tous ses privilèges pour pouvoir accéder rapidement à un système, mais ce n’est pas le cas. Cela n’est nécessaire que dans des circonstances exceptionnelles”, affirme C. Schüpp. “Le problème se situe en effet au niveau de l’attribution des droits à l’informaticien”, déclare van der Marel. “Vous devez veiller à ce que les gestionnaires système aient uniquement accès aux informations qui leur sont destinées et pas aux autres.”
Van der Marel insiste aussi sur le fait qu’une entreprise doit veiller à scinder les responsabilités. La personne qui a par exemple accès à des systèmes précis ne peut pas être la même que celle qui gère l’accès à ces systèmes. Un collaborateur se voit donc autoriser l’accès uniquement aux informations qui lui sont absolument nécessaires pour effectuer son travail. Les collaborateurs à qui l’on attribue des droits supplémentaires doivent faire l’objet d’un suivi particulier. Des audits internes et externes réguliers permettent de contrôler si toutes les procédures sont correctement suivies et de limiter ainsi le risque d’abus au minimum.
“L’IT doit être contrôlée quant à sa façon d’agir avec ces processus et surtout en ce qui concerne l’attribution de ces privilèges”, ajoute C. Schüpp. “Ce n’est par exemple que lorsque le serveur de messagerie électronique tombe en panne qu’une personne peut demander des privilèges spécifiques et les obtenir. Mais un audit doit ensuite se dérouler après cette intervention et l’employé doit expliquer ses actions. On ajoute ainsi une protection supplémentaire.” Mais Schüpp est bien conscient que cela limite aussi fortement la flexibilité. “On peut finalement établir une comparaison avec l’entretien d’une maison. On a souvent l’habitude laisser les portes grandes ouvertes, mais si vous voulez réellement nettoyer votre chambre, vous devez commencer par fermer la porte.” Les systèmes actuels autorisent cette manière de travailler, mais d’après C. Schüpp, les informaticiens le cachent souvent au gens du business et de l’audit.
“C’est exact”, déclare M. van der Marel. “Tout cela est parfaitement possible.” Mais il admet lui aussi que cela n’est pas une sinécure. “En tant qu’entreprise, vous devez veiller à avoir une bonne politique de sécurité, mais son application est loin d’être facile. Cela vous demande par exemple de catégoriser toutes les informations circulant dans l’entreprise. Telle information est par exemple capitale, une autre l’est beaucoup moins. Après quoi, il faut décider qui y a accès ou non.”
Van der Marel souligne qu’il faut établir une séparation claire entre la gestion, la disponibilité et l’utilisation des informations. La responsabilité doit chaque fois incomber à une personne différente et une bonne répartition des informations est donc primordiale. “Mais j’admets que c’est un travail de titan”, ajoute van der Marel. “Cela n’est pas seulement chronophage mais aussi très coûteux.” Il convient toutefois de relativiser ce dernier point. Car en limitant les risques, vous limitez aussi les dommages éventuels qui peuvent être beaucoup plus élevés que le coût initial. Les deux spécialistes reconnaissent qu’il s’agit finalement d’un changement de mentalités. Et il n’est pas encore pour aujourd’hui ni pour demain.
