{"id":3078,"date":"2010-02-15T19:03:37","date_gmt":"2010-02-15T17:03:37","guid":{"rendered":"http:\/\/www.largeur.com\/?p=3078"},"modified":"2010-02-15T20:12:42","modified_gmt":"2010-02-15T18:12:42","slug":"fraude","status":"publish","type":"post","link":"https:\/\/largeur.com\/?p=3078","title":{"rendered":"S\u00e9curit\u00e9 des entreprises: la menace vient de l\u2019int\u00e9rieur"},"content":{"rendered":"![\"large160210.jpg\"](\"\/wp-content\/uploads\/large160210.jpg\" "\\"large160210.jpg\\"")
\u00abEn mati\u00e8re de s\u00e9curit\u00e9, l\u2019\u00eatre humain repr\u00e9sente le gros maillon faible.\u00bb St\u00e9phane Adamiste, directeur d\u2019Ilion Security, une soci\u00e9t\u00e9 genevoise sp\u00e9cialis\u00e9e dans la s\u00e9curit\u00e9 informatique, ne le cache pas: \u00abSouvent la survenance d\u2019un incident de s\u00e9curit\u00e9 est le fait d\u2019un employ\u00e9 de l\u2019entreprise, qu\u2019il soit malveillant ou non.\u00bb Et les scandales se multiplient: Herv\u00e9 Falciani, ancien informaticien de la banque HSBC, a ainsi r\u00e9cemment \u00e9t\u00e9 au centre de l\u2019affaire fiscale opposant la France et la Suisse. Au c\u0153ur du d\u00e9bat, les donn\u00e9es bancaires de pr\u00e8s de 130\u2019000 personnes de toutes nationalit\u00e9s, dont 3\u2019000 Fran\u00e7ais, vol\u00e9es par ce Franco-italien de 32 ans. <\/p>\n
En 2008, Heinrich Kieber, d\u00e9frayait la chronique. Employ\u00e9 de la LGT Bank au Liechtenstein entre avril 2001 et novembre 2002, cet informaticien a, lui aussi, d\u00e9rob\u00e9 un CD de donn\u00e9es \u00e0 son employeur. R\u00e9sultat, pr\u00e8s de 1\u2019000 personnes et leurs informations personnelles r\u00e9v\u00e9l\u00e9es et un joli pactole pour Kieber: les services fiscaux allemands ont d\u00e9bours\u00e9 4,2 millions d\u2019euros pour ces informations.<\/p>\n
Dans un autre style, le serpent de mer Clearstream, du nom de la chambre de compensation internationale luxembourgeoise, fut \u00e9galement initi\u00e9 par le vol d\u2019un listing commis par un employ\u00e9: Florian Bourges, auditeur stagiaire de passage dans l\u2019institution financi\u00e8re en novembre 2001. \u00abLa majorit\u00e9 des fraudes \u00e9conomiques au sein des entreprises viennent de l\u2019int\u00e9rieur, note Nicolas Giannakopoulos, fondateur de l\u2019Observatoire du crime organis\u00e9 \u00e0 Gen\u00e8ve. Les employ\u00e9s connaissent les protections et savent comment les contourner.\u00bb<\/p>\n
Et ces affaires m\u00e9diatiques ne sont que l\u2019arbre qui cache la for\u00eat. Ainsi, le juge d\u2019instruction vaudois Jean Treccani ne compte plus les anecdotes sur des salari\u00e9s malveillants: \u00abJ\u2019ai r\u00e9cemment travaill\u00e9 sur le cas d\u2019un informaticien qui avait d\u00e9rob\u00e9 des informations tr\u00e8s sensibles concernant les salaires des autres employ\u00e9s. Il a ensuite diffus\u00e9 le document \u00e0 une tr\u00e8s large \u00e9chelle sur Internet pour cr\u00e9er des conflits au sein de l\u2019entreprise.\u00bb <\/p>\n
Plusieurs \u00e9tudes confirment le ph\u00e9nom\u00e8ne: selon une enqu\u00eate de PriceWaterhouseCoopers sur les \u00abwhite collar crime\u00bb, 37% des entreprises suisses se disent avoir \u00e9t\u00e9 victimes de d\u00e9lits \u00e9conomiques. Or, la moiti\u00e9 des auteurs de ces d\u00e9lits appartient au management m\u00eame des entreprises concern\u00e9es. Une autre \u00e9tude, men\u00e9e par l\u2019institut de Criminologie et de droit p\u00e9nal de l\u2019Universit\u00e9 de Lausanne (ICDP) aupr\u00e8s d\u2019entreprises du canton de Gen\u00e8ve, aboutit \u00e0 des r\u00e9sultats similaires: sur les 543 entreprises interrog\u00e9es (commerces et institutions financi\u00e8res), 35% ont \u00e9t\u00e9 victimes de d\u00e9lits \u00e9conomiques commis par leurs employ\u00e9s au cours des quatre derni\u00e8res ann\u00e9es. Dans plus de 60% des cas, l\u2019acte est r\u00e9p\u00e9t\u00e9 au moins cinq fois avant que l\u2019auteur soit appr\u00e9hend\u00e9.<\/p>\n
Face \u00e0 cette menace venue de l\u2019int\u00e9rieur, que peuvent faire les banques pour se prot\u00e9ger? Une question sensible que les institutions financi\u00e8res n\u2019abordent pas volontiers. Les experts, eux, se montrent plus loquaces. Le juge Treccani pointe en premier lieu la formation \u00e9thique des employ\u00e9s, en particulier celle des informaticiens qui ont souvent acc\u00e8s \u00e0 de nombreuses donn\u00e9es sensibles: \u00abIl y a des lacunes \u00e9normes en ce qui concerne l\u2019\u00e9thique des informaticiens, estime le juge vaudois. Dans leur formation, il n\u2019y a aucun cours sur ce sujet. Lorsque je les interroge, je m\u2019aper\u00e7ois que la plupart consid\u00e8re qu\u2019il est tout \u00e0 fait normal qu\u2019ils disposent de tous les acc\u00e8s.\u00bb<\/p>\n
\u00abEnsuite, les banques doivent tr\u00e8s bien se renseigner sur la personne qu\u2019elles comptent embaucher, souligne Nicolas Giannakopoulos. Beaucoup d\u2019entreprises v\u00e9rifient les CV pour les postes critiques, mais il est possible d\u2019aller beaucoup plus loin.\u00bb Autre pr\u00e9caution, la signature de clauses de confidentialit\u00e9 tr\u00e8s strictes qui pr\u00e9cisent clairement ce que les employ\u00e9s ont droit de faire et ce qui est interdit. Probl\u00e8me: \u00abM\u00eame si les suites juridiques peuvent \u00eatre tr\u00e8s lourdes, elles ne dissuadent que tr\u00e8s rarement un employ\u00e9 de passer \u00e0 l\u2019acte\u00bb, note Solange Ghernaouti-H\u00e9lie, professeure ordinaire au D\u00e9partement des syst\u00e8mes d\u2019information de HEC Lausanne et auteure du livre \u00abLa cybercriminalit\u00e9, le visible et l\u2019invisible\u00bb. <\/p>\n
D\u2019ailleurs, les cas r\u00e9cents d\u00e9montrent qu\u2019il n\u2019est pas toujours ais\u00e9 d\u2019obtenir apr\u00e8s coup la condamnation d\u2019un salari\u00e9. Ainsi, Herv\u00e9 Falciani vit actuellement \u00e0 Nice, sous protection de la police fran\u00e7aise. Quant \u00e0 Heinrich Kieber, dot\u00e9 d\u2019une nouvelle identit\u00e9 par le Bundesnachrichtendienst (BND), le Service f\u00e9d\u00e9ral de renseignement allemand, il jouit en toute impunit\u00e9 de l\u2019argent que lui a vers\u00e9 le fisc allemand. <\/p>\n
Reste pour les banques la possibilit\u00e9 de pr\u00e9venir les d\u00e9rapages via une surveillance accrue des salari\u00e9s et la mise en place de mesure d\u00e9di\u00e9e. \u00abLa mani\u00e8re la plus fr\u00e9quente pour sortir une information d\u2019une entreprise, c\u2019est le support physique (clefs USB, CD ou DVD), note Brian Mariani, ing\u00e9nieur responsable de la s\u00e9curit\u00e9 informatique, pour la soci\u00e9t\u00e9 de conseil en informatique CDI, \u00e0 Fribourg. Le premier contr\u00f4le doit donc se faire \u00e0 ce niveau en n\u2019autorisant pas tous les salari\u00e9s \u00e0 utiliser ces supports. Dans certaines banques, par exemple, il est d\u00e9sormais interdit d\u2019utiliser son propre t\u00e9l\u00e9phone portable, parce que ces appareils permettent d\u00e9sormais de transf\u00e9rer de nombreuses donn\u00e9es.\u00bb Mais, il n\u2019est pas possible de tout interdire. Les salari\u00e9s, selon leur fonction, ont besoin d\u2019envoyer des mails — mais il est facile de contr\u00f4ler ce qu\u2019ils contiennent sauf s\u2019ils sont crypt\u00e9s — ou d\u2019utiliser des clefs USB.<\/p>\n
Autre dispositif mis en place par les banques, la journalisation des actions. \u00abIl s\u2019agit d\u2019assurer une tra\u00e7abilit\u00e9 des actions effectu\u00e9es par les utilisateurs du syst\u00e8me d\u2019information, explique St\u00e9phane Adamiste. On peut ainsi d\u00e9tecter des op\u00e9rations potentiellement non-l\u00e9gitimes. A ce niveau, les banques sont cens\u00e9es appliquer la loi du moindre privil\u00e8ge, en limitant l\u2019acc\u00e8s aux donn\u00e9es en fonction de l\u2019activit\u00e9 de chaque salari\u00e9. Il n\u2019est pas normal qu\u2019un employ\u00e9 dispose d\u2019un acc\u00e8s aux informations non strictement n\u00e9cessaires \u00e0 l\u2019ex\u00e9cution de ses t\u00e2ches quotidiennes.\u00bb <\/p>\n
Lors de l\u2019affaire HSBC, Herv\u00e9 Falciani avait acc\u00e8s aux informations clients stock\u00e9es dans les bases de donn\u00e9es de la banque. Un statut justifi\u00e9 par ses fonctions d\u2019informaticien, mais qui n\u2019est pas sans poser probl\u00e8me: \u00abCe qui fait qu\u2019une personne passe \u00e0 l\u2019acte, c\u2019est avant tout qu\u2019elle en a la possibilit\u00e9\u00bb, rappelle Solange Ghernaouti-H\u00e9lie. \u00abA ce niveau, je suis \u00e9tonn\u00e9 que, dans les entreprises, il n\u2019existe pas de double contr\u00f4le pour acc\u00e9der aux donn\u00e9es sensibles, \u00e0 l’instar de ce qui existe en mati\u00e8re de signatures sociales, poursuit le juge Treccani. Une id\u00e9e que la plupart des informaticiens rejettent g\u00e9n\u00e9ralement.\u00bb<\/p>\n
Un avis que partage St\u00e9phane Adamiste: \u00abUne bonne pratique consiste \u00e0 mettre en place une s\u00e9gr\u00e9gation des taches, afin qu\u2019une seule personne ne puisse pas r\u00e9aliser une action sensible toute seule. Dans certains \u00e9tablissement existe m\u00eame une rotation des postes, afin qu\u2019un employ\u00e9 n\u2019ait pas le temps d\u2019identifier les moyens de contourner les contr\u00f4les de s\u00e9curit\u00e9 en place.\u00bb Reste qu\u2019une telle mesure se heurte souvent \u00e0 ce que Jean-Marc Jutzet, le directeur de CDI, nomme \u00able syndrome du manager\u00bb qui veut disposer de tous les droits d\u2019acc\u00e8s. \u00abPlus un employ\u00e9 est important, plus il d\u00e9sire avoir acc\u00e8s \u00e0 toute l\u2019information et travailler avec beaucoup de libert\u00e9\u00bb. Ainsi, un dirigeant haut plac\u00e9 dans une banque romande n\u2019h\u00e9site pas \u00e0 pester contre une mesure de s\u00e9curit\u00e9 impos\u00e9e par un informaticien de son \u00e9tablissement: \u00abIl m\u2019a donn\u00e9 un ordre comme s\u2019il \u00e9tait mon sup\u00e9rieur hi\u00e9rarchique! J\u2019ai tout bonnement refus\u00e9.\u00bb En d\u00e9pit des consignes de s\u00e9curit\u00e9\u2026<\/p>\n
Un dispositif encore assez peu utilis\u00e9 par les banques pour traquer les salari\u00e9s malveillants est l\u2019analyse comportementale. \u00abUn syst\u00e8me analyse les requ\u00eates faites par un employ\u00e9 sur le syst\u00e8me d\u2019information, mais aussi ses habitudes comme ses heures d\u2019arriv\u00e9es et de d\u00e9part ou son utilisation d\u2019Internet, explique St\u00e9phane Adamiste. Si son comportement change et qu’il commence \u00e0 diff\u00e9rer de ses habitudes, cela peut constituer un signal d\u2019alarme pr\u00e9coce pour l\u2019entreprise.\u00bb <\/p>\n
\u00abMais, estime Brian Mariani de la soci\u00e9t\u00e9 de conseil CDI, m\u00eame avec tous ces moyens informatiques, un salari\u00e9 qui veut vraiment voler des informations trouvera toujours un moyen pour le faire\u2026\u00bb Un avis partag\u00e9 par Nicolas Giannakopoulos: \u00abLes entreprises sont \u00e0 la merci de leurs employ\u00e9s. Alors, je suis d\u2019accord, il faut de la surveillance informatique. Mais il ne faut pas en abuser. Plus un salari\u00e9 est fliqu\u00e9, plus il se sent d\u00e9valoris\u00e9 et plus il a tendance \u00e0 passer \u00e0 l\u2019acte. La plupart des pr\u00e9judices sont commis par des salari\u00e9s en col\u00e8re.\u00bb <\/p>\n
Ainsi, loin d\u2019avoir agi uniquement par messianisme, comme il a pu le pr\u00e9tendre, Herv\u00e9 Falciani serait pass\u00e9 \u00e0 l\u2019acte parce que son employeur avait revu son salaire \u00e0 la baisse, a r\u00e9v\u00e9l\u00e9 le quotidien Le Temps. \u00abIl faut comprendre que lorsque des personnes manipulent des dossiers qui valent 100’000 fois leur salaire, la tentation est forte, surtout si elles ne se sentent d\u00e9valu\u00e9es dans leur entreprise, poursuit Nicolas Giannakopoulos. Pour changer cela, il faut am\u00e9liorer la communication au sein des entreprises. Expliquer la situation \u00e9conomique, ne pas laisser place aux rumeurs, surtout en p\u00e9riode de crise o\u00f9 l\u2019incertitude est grande pour les salari\u00e9s.\u00bb <\/p>\n
En d\u2019autres termes, les soci\u00e9t\u00e9s devraient \u00e9viter \u00e0 tout prix d\u2019instaurer un r\u00e9gime de d\u00e9fiance, tr\u00e8s pr\u00e9judiciable. Ainsi, dans son rapport, l\u2019ICDP note que si \u00abla cupidit\u00e9 reste une des raisons principales poussant un employ\u00e9 \u00e0 commettre un d\u00e9lit, la frustration et le fait de traverser une crise constituent aussi des mobiles solides\u00bb. \u00abIl faut offrir de bonnes conditions de ressources humaines aux employ\u00e9s, r\u00e9sume Solange Ghernaouti-H\u00e9lie de HEC Lausanne. Cela ne r\u00e9soudra pas tout, mais le mal-\u00eatre conduit souvent \u00e0 des passages \u00e0 l\u2019acte. Les ouvriers se suicident, les cols blancs volent des donn\u00e9es!\u00bb
\n_______<\/p>\n
Une version de cet article est parue dans le magazine Private Banking.<\/p>\n","protected":false},"excerpt":{"rendered":"
Le scandale r\u00e9cent des donn\u00e9es vol\u00e9es \u00e0 la banque HSBC montre que l\u2019arsenal technique ne suffit pas pour se pr\u00e9munir de salari\u00e9s malveillants. La gestion des ressources humaines fournit des cl\u00e9s de protection. Les voici.<\/p>\n","protected":false},"author":19489,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5],"tags":[],"class_list":["post-3078","post","type-post","status-publish","format-standard","hentry","category-latitude","latitude"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts\/3078","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/users\/19489"}],"replies":[{"embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3078"}],"version-history":[{"count":0,"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts\/3078\/revisions"}],"wp:attachment":[{"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3078"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3078"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3078"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}