LATITUDES

Sécurité des entreprises: la menace vient de l’intérieur

Le scandale récent des données volées à la banque HSBC montre que l’arsenal technique ne suffit pas pour se prémunir de salariés malveillants. La gestion des ressources humaines fournit des clés de protection. Les voici.

«En matière de sécurité, l’être humain représente le gros maillon faible.» Stéphane Adamiste, directeur d’Ilion Security, une société genevoise spécialisée dans la sécurité informatique, ne le cache pas: «Souvent la survenance d’un incident de sécurité est le fait d’un employé de l’entreprise, qu’il soit malveillant ou non.» Et les scandales se multiplient: Hervé Falciani, ancien informaticien de la banque HSBC, a ainsi récemment été au centre de l’affaire fiscale opposant la France et la Suisse. Au cœur du débat, les données bancaires de près de 130’000 personnes de toutes nationalités, dont 3’000 Français, volées par ce Franco-italien de 32 ans.

En 2008, Heinrich Kieber, défrayait la chronique. Employé de la LGT Bank au Liechtenstein entre avril 2001 et novembre 2002, cet informaticien a, lui aussi, dérobé un CD de données à son employeur. Résultat, près de 1’000 personnes et leurs informations personnelles révélées et un joli pactole pour Kieber: les services fiscaux allemands ont déboursé 4,2 millions d’euros pour ces informations.

Dans un autre style, le serpent de mer Clearstream, du nom de la chambre de compensation internationale luxembourgeoise, fut également initié par le vol d’un listing commis par un employé: Florian Bourges, auditeur stagiaire de passage dans l’institution financière en novembre 2001. «La majorité des fraudes économiques au sein des entreprises viennent de l’intérieur, note Nicolas Giannakopoulos, fondateur de l’Observatoire du crime organisé à Genève. Les employés connaissent les protections et savent comment les contourner.»

Et ces affaires médiatiques ne sont que l’arbre qui cache la forêt. Ainsi, le juge d’instruction vaudois Jean Treccani ne compte plus les anecdotes sur des salariés malveillants: «J’ai récemment travaillé sur le cas d’un informaticien qui avait dérobé des informations très sensibles concernant les salaires des autres employés. Il a ensuite diffusé le document à une très large échelle sur Internet pour créer des conflits au sein de l’entreprise.»

Plusieurs études confirment le phénomène: selon une enquête de PriceWaterhouseCoopers sur les «white collar crime», 37% des entreprises suisses se disent avoir été victimes de délits économiques. Or, la moitié des auteurs de ces délits appartient au management même des entreprises concernées. Une autre étude, menée par l’institut de Criminologie et de droit pénal de l’Université de Lausanne (ICDP) auprès d’entreprises du canton de Genève, aboutit à des résultats similaires: sur les 543 entreprises interrogées (commerces et institutions financières), 35% ont été victimes de délits économiques commis par leurs employés au cours des quatre dernières années. Dans plus de 60% des cas, l’acte est répété au moins cinq fois avant que l’auteur soit appréhendé.

Face à cette menace venue de l’intérieur, que peuvent faire les banques pour se protéger? Une question sensible que les institutions financières n’abordent pas volontiers. Les experts, eux, se montrent plus loquaces. Le juge Treccani pointe en premier lieu la formation éthique des employés, en particulier celle des informaticiens qui ont souvent accès à de nombreuses données sensibles: «Il y a des lacunes énormes en ce qui concerne l’éthique des informaticiens, estime le juge vaudois. Dans leur formation, il n’y a aucun cours sur ce sujet. Lorsque je les interroge, je m’aperçois que la plupart considère qu’il est tout à fait normal qu’ils disposent de tous les accès.»

«Ensuite, les banques doivent très bien se renseigner sur la personne qu’elles comptent embaucher, souligne Nicolas Giannakopoulos. Beaucoup d’entreprises vérifient les CV pour les postes critiques, mais il est possible d’aller beaucoup plus loin.» Autre précaution, la signature de clauses de confidentialité très strictes qui précisent clairement ce que les employés ont droit de faire et ce qui est interdit. Problème: «Même si les suites juridiques peuvent être très lourdes, elles ne dissuadent que très rarement un employé de passer à l’acte», note Solange Ghernaouti-Hélie, professeure ordinaire au Département des systèmes d’information de HEC Lausanne et auteure du livre «La cybercriminalité, le visible et l’invisible».

D’ailleurs, les cas récents démontrent qu’il n’est pas toujours aisé d’obtenir après coup la condamnation d’un salarié. Ainsi, Hervé Falciani vit actuellement à Nice, sous protection de la police française. Quant à Heinrich Kieber, doté d’une nouvelle identité par le Bundesnachrichtendienst (BND), le Service fédéral de renseignement allemand, il jouit en toute impunité de l’argent que lui a versé le fisc allemand.

Reste pour les banques la possibilité de prévenir les dérapages via une surveillance accrue des salariés et la mise en place de mesure dédiée. «La manière la plus fréquente pour sortir une information d’une entreprise, c’est le support physique (clefs USB, CD ou DVD), note Brian Mariani, ingénieur responsable de la sécurité informatique, pour la société de conseil en informatique CDI, à Fribourg. Le premier contrôle doit donc se faire à ce niveau en n’autorisant pas tous les salariés à utiliser ces supports. Dans certaines banques, par exemple, il est désormais interdit d’utiliser son propre téléphone portable, parce que ces appareils permettent désormais de transférer de nombreuses données.» Mais, il n’est pas possible de tout interdire. Les salariés, selon leur fonction, ont besoin d’envoyer des mails — mais il est facile de contrôler ce qu’ils contiennent sauf s’ils sont cryptés — ou d’utiliser des clefs USB.

Autre dispositif mis en place par les banques, la journalisation des actions. «Il s’agit d’assurer une traçabilité des actions effectuées par les utilisateurs du système d’information, explique Stéphane Adamiste. On peut ainsi détecter des opérations potentiellement non-légitimes. A ce niveau, les banques sont censées appliquer la loi du moindre privilège, en limitant l’accès aux données en fonction de l’activité de chaque salarié. Il n’est pas normal qu’un employé dispose d’un accès aux informations non strictement nécessaires à l’exécution de ses tâches quotidiennes.»

Lors de l’affaire HSBC, Hervé Falciani avait accès aux informations clients stockées dans les bases de données de la banque. Un statut justifié par ses fonctions d’informaticien, mais qui n’est pas sans poser problème: «Ce qui fait qu’une personne passe à l’acte, c’est avant tout qu’elle en a la possibilité», rappelle Solange Ghernaouti-Hélie. «A ce niveau, je suis étonné que, dans les entreprises, il n’existe pas de double contrôle pour accéder aux données sensibles, à l’instar de ce qui existe en matière de signatures sociales, poursuit le juge Treccani. Une idée que la plupart des informaticiens rejettent généralement.»

Un avis que partage Stéphane Adamiste: «Une bonne pratique consiste à mettre en place une ségrégation des taches, afin qu’une seule personne ne puisse pas réaliser une action sensible toute seule. Dans certains établissement existe même une rotation des postes, afin qu’un employé n’ait pas le temps d’identifier les moyens de contourner les contrôles de sécurité en place.» Reste qu’une telle mesure se heurte souvent à ce que Jean-Marc Jutzet, le directeur de CDI, nomme «le syndrome du manager» qui veut disposer de tous les droits d’accès. «Plus un employé est important, plus il désire avoir accès à toute l’information et travailler avec beaucoup de liberté». Ainsi, un dirigeant haut placé dans une banque romande n’hésite pas à pester contre une mesure de sécurité imposée par un informaticien de son établissement: «Il m’a donné un ordre comme s’il était mon supérieur hiérarchique! J’ai tout bonnement refusé.» En dépit des consignes de sécurité…

Un dispositif encore assez peu utilisé par les banques pour traquer les salariés malveillants est l’analyse comportementale. «Un système analyse les requêtes faites par un employé sur le système d’information, mais aussi ses habitudes comme ses heures d’arrivées et de départ ou son utilisation d’Internet, explique Stéphane Adamiste. Si son comportement change et qu’il commence à différer de ses habitudes, cela peut constituer un signal d’alarme précoce pour l’entreprise.»

«Mais, estime Brian Mariani de la société de conseil CDI, même avec tous ces moyens informatiques, un salarié qui veut vraiment voler des informations trouvera toujours un moyen pour le faire…» Un avis partagé par Nicolas Giannakopoulos: «Les entreprises sont à la merci de leurs employés. Alors, je suis d’accord, il faut de la surveillance informatique. Mais il ne faut pas en abuser. Plus un salarié est fliqué, plus il se sent dévalorisé et plus il a tendance à passer à l’acte. La plupart des préjudices sont commis par des salariés en colère.»

Ainsi, loin d’avoir agi uniquement par messianisme, comme il a pu le prétendre, Hervé Falciani serait passé à l’acte parce que son employeur avait revu son salaire à la baisse, a révélé le quotidien Le Temps. «Il faut comprendre que lorsque des personnes manipulent des dossiers qui valent 100’000 fois leur salaire, la tentation est forte, surtout si elles ne se sentent dévaluées dans leur entreprise, poursuit Nicolas Giannakopoulos. Pour changer cela, il faut améliorer la communication au sein des entreprises. Expliquer la situation économique, ne pas laisser place aux rumeurs, surtout en période de crise où l’incertitude est grande pour les salariés.»

En d’autres termes, les sociétés devraient éviter à tout prix d’instaurer un régime de défiance, très préjudiciable. Ainsi, dans son rapport, l’ICDP note que si «la cupidité reste une des raisons principales poussant un employé à commettre un délit, la frustration et le fait de traverser une crise constituent aussi des mobiles solides». «Il faut offrir de bonnes conditions de ressources humaines aux employés, résume Solange Ghernaouti-Hélie de HEC Lausanne. Cela ne résoudra pas tout, mais le mal-être conduit souvent à des passages à l’acte. Les ouvriers se suicident, les cols blancs volent des données!»
_______

Une version de cet article est parue dans le magazine Private Banking.