1. Devez-vous surveiller vos employés de près ?

Dossier par Vivien Derest avec IDG news service, 804 mots

Dans une époque économiquement difficile, les menaces internes augmentent les risques pour la sécurité IT. Jusqu'où les responsables des technologies de l'information doivent-ils aller pour protéger les données de leurs entreprises ?

1. Devez-vous surveiller vos employés de près ? Le risque venu de l'intérieur a toujours existé, mais il est d'autant plus important dans une ère de bouleversements et d'incertitudes économiques.

C'est un point qui a été mis en relief par un récent sondage de l'institut Ponemon portant sur 945 personnes ayant été licenciées ou ayant quitté leur emploi en 2008 :

- 59 % admettent avoir volé des informations à leur entreprise
- 67 % admettent avoir utilisé des informations confidentielles de leur précédente entreprise pour obtenir un nouvel emploi.

Trouver le bon équilibre
Jusqu'où les responsables des technologies de l'information doivent-ils aller pour protéger les données de leurs entreprises ? « Il faut un équilibre », répond Max Reissmueller, Responsable des opérations IT et de l'infrastructure chez Pioneer Electronics. « Je n'aimerais pas que des responsables viennent me demander de garder un oeil sur un employé en particulier, afin de savoir ce qu'il fait à chaque minute. »

Parallèlement, la société Pionneer est déterminée à protéger sa propriété intellectuelle, ses listes de clients, et ses autres données sensibles. « Je ne veux pas qu'un employé mécontent essaie de voler des informations. », reconnaît Max Reissmueller. C'est la raison principale pour laquelle la firme a installé un outil de contrôle d'accès au réseau pour surveiller l'accès aux "joyaux de la couronne", et savoir si les employés essayent d'outrepasser leurs droits.

Détecter les comportements suspects
A l'aide d'un commutateur ConSentry Networks et d'un contrôle d'accès au réseau, Pioneer surveillera les comportements qui pourraient se révéler suspects afin de les bloquer. « Mais je ne veux pas que mon personnel de sécurité se transforme en Big Brother. », poursuit Max Reissmueller.

En pratique, et comme d'habitude, il suffit d'un cas de fuite de données pour obliger une organisation à renforcer sa surveillance : C'est ce qui est arrivé à l'Université d'Arizona. Celle-ci a du faire des annonces officielles à propos des données personnelles qui avaient été exposées au public, commente Eric Case, en charge de la sécurité de l'information à l'université.

Ne pas oublier de données sensibles
C'est ce qui a poussé le bureau d'information et de sécurité de l'Université à donner le coup d'envoi d'un programme qui consistait notamment à vérifier que le personnel de la faculté n'abandonnait ou n'oubliait pas de données sensibles dans ses ordinateurs.

Afin de s'en assurer, l'Université a déployé un logiciel gratuit de prévention des fuites de données appelé Spider. Cet outil peut vérifier une machine cible et voir si elle contient des données qui ne devraient pas y être. Il peut alors les supprimer ou les déplacer vers un serveur plus sécurisé.

Photo : IDG News Service



Bien que le personnel de sécurité ait expliqué en détail ses objectifs, « Une partie des gens étaient très inquiets que nous ayons accès à leurs données », avait expliqué Eric Case lorsqu'il avait abordé le sujet durant la récente conférence Infosec World. « Ils étaient fâchés. »

"Mais après avoir rassuré les gens, la prévention des fuites de données devait prendre effet au plus vite car nous savions que nous avions des données éparpillées partout », continue Éric Case. « Avons-nous réduit les risques ? Oui, beaucoup. »

Des réglements liés au contexte médical
Rick Haverty, le Directeur de l'infrastructure des systèmes d'informations au centre médical de l'Université de Rochester à New York, explique de son côté que son organisation est soumise à des lois et des réglementations particulières en ce qui concerne les informations de soin des patients. "Nous devons nous rendre compte quand il apparaît qu'un employé pourrait ne pas avoir respecté les règles. L'une de nos préoccupations est qu'un employé jette un coup d'oeil sans raisons au dossier médical de quelqu'un d'autre".

«Des gens ont été licenciés pour cette raison», précise-t-il, ajoutant que l'enquête commence souvent par des rumeurs à propos de la situation médicale d'un patient. L'inspection débute alors par l'étude des journaux d'historiques afin de déterminer s'il n'y a pas eu d'accès inapproprié aux dossiers.

L'analyste du Gartner John Pescatore estime que le mot-clé est de savoir jusqu' il faut surveiller les employés : « Il y a assurément une nécessité de surveiller les fuites de données critiques pour l'entreprise dont les employés sont responsables. Il y a aussi un besoin de savoir ce qui arrive dans leurs ordinateurs pour se protéger de codes malveillants. », commente-t-il.

« Cependant, en pratique, il est moins urgent de surveiller chaque action entreprise par un utilisateur, ou de lui interdire l'accès à tout site non relié au travail, de l'empêcher d'utiliser son ordinateur de bureau pour toute autre chose que le travail, ou d'utiliser son ordinateur personnel pour le travail. »

L'évolution vers un mélange bureau/maison pour travailler est en cours, et « la sécurité ne peut pas stopper cette évolution, pas plus qu'elle n'avait arrêté internet, le Wifi ou d'autres évolutions par le passé. », termine-t-il.

Sommaire du dossier