Pas de catégorie

La sécurisation de l’accès Internet des employés : un impératif et une obligation pour les entreprises

Avec la multiplication des terminaux mobiles et des réseaux sociaux, le contrôle des accès se complique. Et pourtant, ce sujet n’est pas toujours une priorité pour les PME. Or, leur responsabilité peut être engagée même à leur corps défendant.

La sécurité informatique serait-elle un échec ? Plusieurs experts dans ce domaine, mais aussi des organismes officiels comme l’ANSSI (Agence nationale de la sécurité des systèmes d’information), font ce constat désolant en s’appuyant sur diverses études.

Parmi celles-ci, il y a le rapport 2012 du Clusif (Club de la Sécurité de l’Information Français). Cette association indique que « les programmes de sensibilisation à la sécurité de l’information sont toujours peu répandus. La démarche semble s’essouffler : 17 % des collectivités ont lancé des actions dans ce domaine et 12 % en préparent. Soit à peu de chose près, la même proportion qu’il y a quatre ans ».

Cette sensibilisation très faible est une erreur, car les employeurs ont à la fois des obligations et des contraintes.

La sécurisation des accès à Internet répond à une triple obligation

  • La protection des données de l’entreprise
    • Actifs de l’entreprise
    • Données personnelles appartenant à l’entreprise, ses clients ou ses partenaires
  • Obligations légales
    • Empêcher l’accès aux sites non autorisés (drogue, pornographie)
    • Empêcher le téléchargement illégal (musique, films protégés par le droit d’auteur)
    • Conservation des logs de connexion
  • Limiter la perte de productivité
    • Eviter les pannes liées aux virus et autres logiciels téléchargeables
    • Limiter le temps perdu par le surf privé
    • Contrôler la bonne utilisation de la bande passante disponible

La protection des données

Les actifs de valeur (c’est-à-dire les données) doivent être protégés contre les menaces (infection par un virus, acte malveillant d’un salarié licencié, dégât des eaux…) qui conduisent à la perte, l’inaccessibilité, l’altération ou la divulgation inappropriée. Cela implique notamment le déploiement d’outils spécifiques (gestion des accès physiques, identification des utilisateurs, pare-feu, etc.).

La protection et la confidentialité des données passent aussi par le recours à la cryptographie et au hachage qui permet de vérifier la non-altération des données au cours de l’échange. Malgré ces termes encore abscons pour de nombreuses personnes, il existe aujourd’hui des solutions simples (dont certaines sont d’ailleurs intégrées à des systèmes d’exploitation comme Windows 8 ou à des distributions GNU/Linux) qui permettent de sécuriser toutes les informations sensibles. Il est en effet possible de chiffrer des partitions d’un disque dur (interne ou externe) et des répertoires (stockés en local ou dans le Cloud computing).

La protection des données personnelles

L’information est aujourd’hui partout. Les plateformes intranet et les bases de données clients partagées entre les services et/ou des filiales contiennent des données à caractère privé et/ou confidentiel. L’employeur doit donc mettre en place des mesures appropriées, mais c’est, hélas, rarement le cas.

Une étude a notamment révélé que 68 % des personnes composant les équipes informatiques d’une société estimaient avoir un accès plus facile aux contenus sensibles que les équipes des ressources humaines, de la finance ou encore à la direction. Plus grave, 39 % des informaticiens déclaraient avoir accès à des données non autorisées et sensibles.

Or, l’article 34 de la Loi Informatique & libertés impose à tout chef d’entreprise, collectant et traitant des informations à caractère personnel, de mettre en place des mesures de sécurité pour empêcher qu’elles ne soient déformées, endommagées ou que des tiers non autorisés y aient accès. À défaut, cela constitue une infraction pénale sanctionnée de 5 ans de prison et de 300 000 € d’amende (Article 226-17 du Code pénal). Pour les personnes morales, la peine d’amende encourue est quintuplée, soit 1 500 000 €.

Obligations légales : le filtrage des accès web

Contrairement à une idée trop souvent répandue parmi les salariés, une entreprise peut tout verrouiller. La loi, notamment l’Hadopi, prévoit en effet que les entreprises doivent veiller à l’utilisation qui est faite de leur accès internet, en particulier en matière de téléchargement. La société peut donc bloquer de manière unilatérale l’accès aux réseaux sociaux ou aux webmails. Grâce à différents logiciels, elle peut aussi opter pour un filtrage plus fin de certains sites précis, voire n’autoriser qu’un quota d’heures ou une tranche horaire d’accès.

Ce filtrage est essentiel pour les entreprises; il leur évite de s’exposer à des risques juridiques en cas d’activité illicite d’un salarié, comme le téléchargement illégal ou la consultation de contenus pédopornographiques. Pour les experts et juristes, il ne faut pas se focaliser sur la productivité à tout prix, surtout quand le temps professionnel passé chez soi augmente considérablement, notamment avec les smartphones.

Quel que soit le point abordé, la gestion de la sécurité doit toujours être la plus rapide et exhaustive possible. Cette problématique ne doit pas être réservée au seul responsable informatique de l’entreprise, mais à tous les services qui doivent renforcer leur communication.

Les accès au web : des excès sévèrement punis

Sur leur lieu de travail, les salariés peuvent surfer sur des sites qui n’ont pas de rapports directs avec leur activité. Mais il ne faut pas confondre permission et connexion excessive ! D’un côté, la jurisprudence (affaire Nikon, 2 octobre 2001) rappelle le droit pour les collaborateurs de disposer d’une sphère d’intimité au bureau et pendant leur temps de travail. Mais il convient de rester dans ce que l’on pourrait qualifier de « raisonnable ».

C’est ce qu’a précisé la Cour de cassation le 23 février 2013. Les juges ont validé le licenciement pour faute grave d’une salariée qui s’était connectée plus de 10 000 fois à des sites non professionnels (voyage, comparateurs de prix, sites de marques de prêt-à-porter…) sur son lieu de travail durant deux courtes périodes (14 jours puis 4 jours ; à moins d’un mois d’intervalle). Soit 555 connexions par jour environ ! Pour la Cour de cassation, « […] une telle utilisation d’internet […] pendant son temps de travail présentait un caractère particulièrement abusif et constitutif d’une faute grave ».

Ce licenciement rappelle les limites imposées aux salariés. Mais il convient parallèlement de préciser que les initiatives des entreprises sont également très encadrées :

  • L’utilisation du journal de connexion d’un serveur central est interdite pour détecter des accès excessifs : les informations recueillies sont par défaut assimilables à des données personnelles et leur collecte nécessite pour l’employeur de réaliser une déclaration préalable auprès de la CNIL.
  • L’usage de keylogger (un logiciel capable d’enregistrer les touches d’un clavier) est réglementé. Fin mars, la Commission nationale pour l’informatique et les libertés (CNIL) a adressé une mise en demeure à une entreprise ayant surveillé ses salariés par ce procédé. Pour cet organisme, ce type de programme « conduit celui qui l’utilise à pouvoir exercer une surveillance constante et permanente sur l’activité professionnelle des salariés concernés, mais aussi sur leur activité personnelle résiduelle effectuée à partir du poste informatique ».
  • Enfin, les instances représentatives du personnel doivent être informées ou consultées avant l’instauration d’un dispositif de contrôle de l’activité, et chaque employé doit être notamment informé des finalités poursuivies.

Ces trois précisions sont l’occasion de rappeler que les entreprises doivent établir une charte informatique afin d’informer les salariés sur les règles à respecter concernant leurs connexions internet et sur les processus de contrôle mis en place.

La perte de productivité

L’impact d’une mauvaise utilisation d’Internet peut porter atteinte au bon fonctionnement du système d’information de l’entreprise.

Eviter les pannes

Des dispositifs permettant d’empêcher que des téléchargements de logiciels divers et variés devront être déployés, en complément du respect scrupuleux des habituels conseils portant sur la présence et la mise à jour régulière d’un antivirus sur chaque poste, mais aussi au niveau des serveurs accédant à Internet.

Il est également recommandé d’empêcher l’installation de logiciels non validés par l’entreprise sur les postes de travail.

La perte de productivité – hormis celle directement générée par l’abus de surf privé – concerne d’abord le salarié qui va chercher à réparer son poste tout seul, puis avec l’aide de collègues, puis enfin en faisant appel au service informatique. Mais les conséquences peuvent également impacter toute l’entreprise en cas de panne des systèmes.

L’abus de surf personnel

On estime à près d’une heure par jour (+9% en deux ans) le temps passé pour surfer sur des sites à caractère personnels au bureau. L’usage personnel d’Internet coûte entre 5 000 et 13 000 € par an à l’entreprise pour chaque salarié, d’après Olféo (http://www.olfeo.com/sites/olfeo/files/pdf/etude-olfeo-realite-utilisation-internet-2013.pdf).

Le casse-tête de la mobilité et du home office

Le développement de la mobilité, du home-office, du phénomène BYOD et la multiplicité des terminaux pouvant accéder au SI obligent les entreprise à gérer de manière centralisée et globale ces parcs, en mettant en œuvre des solutions permettant de séparer la sphère privée du domaine professionnel.

BYOD et authentification

Les responsables informatiques doivent faire face à la volonté de plus en plus prononcée des salariés de travailler au bureau avec leurs propres outils, qu’il s’agisse de leur terminal mobile (smartphone et tablette) ou de leurs logiciels. Confrontées au BYOD (abréviation de « Bring your own device »), remplacé en France depuis mars 2013 par AVEC (abréviation d’« Apportez Votre Équipement personnel de Communication »), les entreprises doivent instaurer une double couche de sécurité.

Elle implique l’identification des utilisateurs au moyen d’une authentification à deux facteurs sans jeton (coordonnées de connexion personnelles et un numéro d’identification dynamique reçu sur un téléphone par exemple). Cette solution, techniquement et financièrement abordable aux PME, permet de réduire les accès non identifiés par piratage d’un mot de passe trop faible.

Ces obligations juridiques ne doivent pas occulter les conséquences d’une gestion défaillante des accès au web qui peuvent causer des dégâts importants en particulier en termes d’image de l’entreprise et d’E-réputation.

Advertisements

Discussion

Les commentaires sont fermés.

%d blogueurs aiment cette page :