![\"large02022017.jpg\"](\"\/wp-content\/uploads\/112016\/large02022017.jpg\" "\\"large02022017.jpg\\"")
<\/p>\n<\/p>\n
Les alliances se sont \u00e9chang\u00e9es au printemps dernier. Credit Suisse et Palantir s\u2019appr\u00eatent \u00e0 se marier, via une joint venture baptis\u00e9e Signac. Son but? Traquer les traders voyous. Pour ce faire, l\u2019institut financier se pr\u00e9parait \u00e0 surveiller les comportements de ses traders afin de percer d\u2019\u00e9ventuelles violations de codes de conduite, et ce avant m\u00eame qu\u2019ils ne repr\u00e9sentent un risque de nuisance.<\/p>\n
La d\u00e9marche n\u2019\u00e9tait pas tout \u00e0 fait in\u00e9dite. Bien qu\u2019aucune ne se f\u00fbt transform\u00e9e en joint venture auparavant, plusieurs exp\u00e9riences de ce type de collaboration ont \u00e9t\u00e9 adopt\u00e9es dans le monde de la finance. Le New York Post le proclamait en septembre 2015: \u00abFa\u00e7on Big Brother, les banques de Wall Street s\u2019allient \u00e0 des soci\u00e9t\u00e9s high-tech capables de traquer chaque mouvement de leurs employ\u00e9s sur les r\u00e9seaux sociaux ou le \u2018Dark Web\u2019, et m\u00eame de rep\u00e9rer si leurs comptes bancaires sont affect\u00e9s par des activit\u00e9s irr\u00e9guli\u00e8res; \u00e0 quelle fr\u00e9quence ils envoient des e-mails de leurs comptes priv\u00e9s; retirent de l\u2019argent aux distributeurs; \u00e0 quel moment ils p\u00e9n\u00e8trent dans le b\u00e2timent ou le quittent; quand ils planifient des conversations personnelles.\u00bb<\/p>\n
Des logiciels financ\u00e9s par la CIA<\/strong><\/p>\n Historiquement, les premiers objectifs de soci\u00e9t\u00e9s d\u2019analyses de donn\u00e9es du type de Palantir (partiellement financ\u00e9e gr\u00e2ce \u00e0 des fonds de la CIA) ont envelopp\u00e9 la pr\u00e9vention d\u2019attaques terroristes ou l\u2019anticipation de p\u00e9rils g\u00e9opolitiques. Les usagers: des pouvoirs \u00abgouvernementaux\u00bb. \u00abC\u2019est le r\u00e8gne du \u2018TIA\u2019, le \u2018Total Information Awareness\u2019, initi\u00e9 aux Etats-Unis en 2003\u00bb, souffle un lobbyiste sp\u00e9cialiste de s\u00e9curit\u00e9 de l\u2019information. Toutefois, apr\u00e8s avoir capt\u00e9 le potentiel de la lutte contre la criminalit\u00e9 et le terrorisme, les promesses de l\u2019activit\u00e9 se d\u00e9portent sur le secteur priv\u00e9. Chez les banquiers. Dans la technologie de pointe. L\u00e0 o\u00f9 la cybercriminalit\u00e9 peut provoquer des d\u00e9g\u00e2ts majeurs.<\/p>\n Parmi les dangers, les \u00abinsider threats\u00bb sont prises tr\u00e8s au s\u00e9rieux. \u00abSelon certaines estimations, la menace est interne dans deux tiers des cas, qu\u2019elle provienne d\u2019employ\u00e9s ou de prestataires\u00bb, explique Lennig Pedron, directrice RH & Communication de la soci\u00e9t\u00e9 suisse SecuLabs sp\u00e9cialis\u00e9e dans la s\u00e9curit\u00e9 informatique. Pour l\u2019an 2015, l\u2019institut d\u2019audit KPMG a recens\u00e9 un nombre record de cas de crimes de cols blancs en Suisse (91 cas port\u00e9s devant les tribunaux). Le fait que les pertes (280 millions de francs) aient chut\u00e9 \u00e0 leur plus bas niveau depuis huit ans ne suffit pas \u00e0 rassurer. La r\u00e9gion du Lac L\u00e9man est la plus touch\u00e9e (87 millions). Et ici, dans 40% des cas, des employ\u00e9s ou cadres de l\u2019entreprise sont responsables de la fraude.<\/p>\n L\u2019institut d\u2019audit tire le portrait du criminel \u00e9conomique par excellence. En Suisse, il a entre 46 et 55 ans (dans plus de la moiti\u00e9 des cas). Il est un homme (dans 82% des cas), interne de l\u2019entreprise (64%). Il figure parmi les cadres de l\u2019entreprise (55%), y est employ\u00e9 depuis au moins six ans (36%). Dans le cadre du rapport \u00abClarity on Cyber\u00bb, KPMG indique pourtant que 80% des entreprises que l\u2019institut a interrog\u00e9es ne disposaient pas d\u2019un programme propre de management de la \u00abmenace interne\u00bb.<\/p>\n Un p\u00e9tabyte par jour<\/strong><\/p>\n Au sein de la soci\u00e9t\u00e9 am\u00e9ricaine Splunk, Matthias Maier porte le titre d\u2019\u00ab\u00e9vang\u00e9liste technique\u00bb. \u00abSur les r\u00e9seaux, les entreprises comme leurs clients laissent des empreintes de leur activit\u00e9, amorce-t-il. Nos logiciels ont la possibilit\u00e9 de collecter toutes ces empreintes pour ensuite les stocker.\u00bb L\u2019une des applications de Splunk est d\u00e9vou\u00e9e aux \u00abUBA\u00bb (User Behaviour Analytics). Algorithmes et mod\u00e8les statistiques traduisent les comportements des employ\u00e9s. \u00abNotre client le plus important g\u00e9n\u00e8re un p\u00e9tabyte de donn\u00e9es par jour, soit 1 milliard de m\u00e9gabytes.\u00bb<\/p>\n E-mails, sites internet, cl\u00e9s USB, donn\u00e9es de voyages, lecteurs de badges, acc\u00e8s VPN, tout peut \u00eatre pass\u00e9 au crible. Quel collaborateur surfe sur quel site? Qui t\u00e9l\u00e9charge des donn\u00e9es? Qui acc\u00e8de \u00e0 quel serveur? Qui envoie combien d\u2019e-mails, et \u00e0 qui? \u00abPlusieurs \u00e9l\u00e9ments permettent de d\u00e9finir des sch\u00e9mas et de d\u00e9tecter les anomalies, poursuit Matthias Maier. Par exemple, des parall\u00e8les entre les activit\u00e9s habituelles de plusieurs employ\u00e9s ayant le m\u00eame r\u00f4le, maintenant et par le pass\u00e9, nous permettent de d\u00e9finir des s\u00e9quences de comportements logiques. Si l\u2019une de ces s\u00e9quences est viol\u00e9e, le logiciel \u00e9met une alerte.\u00bb Autrement dit, plut\u00f4t que d\u2019\u00e9plucher le contenu de chaque message, le logiciel d\u00e9c\u00e8le les changements \u00e9tranges. Il peut s\u2019agir d\u2019une modification de l\u2019idiome utilis\u00e9, d\u2019une augmentation de l\u2019envoi d\u2019e-mails vers l\u2019ext\u00e9rieur, proportionnellement \u00e0 ceux envoy\u00e9s \u00e0 l\u2019interne, ou la constatation d’horaires de pr\u00e9sence au bureau singuli\u00e8rement modifi\u00e9s.<\/p>\n De par le monde, ce sont mille traders qui sont concern\u00e9s par la surveillance de Signac, et 4000 autres conseillers sont vis\u00e9s. Nous aurions aim\u00e9 conna\u00eetre les plus r\u00e9cents d\u00e9veloppements de l\u2019engagement du Credit Suisse dans l\u2019aventure, mais la banque n\u2019a pas souhait\u00e9 nous r\u00e9pondre.<\/p>\n En Suisse, le sujet de la surveillance du comportement des travailleurs demeure d\u00e9licat. Le Tribunal f\u00e9d\u00e9ral a par exemple arr\u00eat\u00e9 que l\u2019installation d\u2019un logiciel espion, afin de prouver qu\u2019un employ\u00e9 consacre une bonne partie de son temps au travail \u00e0 des activit\u00e9s non-professionnelles, \u00e9tait ill\u00e9gale. Des commerces ont aussi \u00e9t\u00e9 chahut\u00e9s parce que la surveillance qu\u2019ils exer\u00e7aient sur leurs employ\u00e9s n\u2019\u00e9tait pas conforme \u00e0 l\u2019ordonnance 3 relative \u00e0 la loi sur le travail, qui stipule qu\u2019\u00abil est interdit d\u2019utiliser des syst\u00e8mes de surveillance ou de contr\u00f4le destin\u00e9s \u00e0 surveiller le comportement des travailleurs \u00e0 leur poste de travail\u00bb. Mais comment les logiciels propos\u00e9s par les g\u00e9ants de la s\u00e9curit\u00e9 de l\u2019information pourraient-ils \u00eatre conformes \u00e0 cet article?<\/p>\n Banquiers dans la ligne de mire<\/strong><\/p>\n Le domaine bancaire est un cas \u00e0 part. \u00abDans certains secteurs de l\u2019\u00e9conomie priv\u00e9e (par exemple dans les banques), la surveillance et l\u2019analyse syst\u00e9matiques des courriers \u00e9lectroniques des collaborateurs s\u2019imposent afin que l\u2019entreprise puisse remplir les exigences en mati\u00e8re de conformit\u00e9 et se mettre ainsi \u00e0 l\u2019abri d\u2019actions en responsabilit\u00e9\u00bb, indique un guide du pr\u00e9pos\u00e9 f\u00e9d\u00e9ral \u00e0 la protection des donn\u00e9es. \u00abLes banques utilisent des moyens de surveillance pouss\u00e9s parce qu\u2019elles ont elles-m\u00eames des obligations l\u00e9gales, appuie Lennig Pedron de chez SecuLabs. Elles sont responsables de la conservation des donn\u00e9es qu\u2019elles collectent. Dans le milieu, les standards sont d\u00e9sormais \u00e9lev\u00e9s en mati\u00e8re de s\u00e9curit\u00e9, et ils sont g\u00e9n\u00e9ralement bien expos\u00e9s aux employ\u00e9s.\u00bb Ainsi, chez UBS, \u00abune directive interne d\u00e9finit le cadre de la pr\u00e9vention de la diffusion de donn\u00e9es (DLP) que les employ\u00e9s doivent respecter, et la Repr\u00e9sentation des employ\u00e9s (RDE, syndicat interne) a encore sensibilis\u00e9 les collaborateurs sur l’importance de ce programme, souligne le porte-parole Jean-Rapha\u00ebl Fontannaz. Nous travaillons en toute transparence.\u00bb<\/p>\n Palantir assure s\u00e9curiser les donn\u00e9es afin que les entreprises puissent collaborer tout en respectant la sph\u00e8re priv\u00e9e, les libert\u00e9s civiles, les politiques de traitement des donn\u00e9es, et surtout afin de pr\u00e9server la confiance des employ\u00e9s. \u00abNous travaillons dans plus de 110 pays et sommes tr\u00e8s sensibles aux r\u00e9gulations de chacun de ces pays, pr\u00e9cise de son c\u00f4t\u00e9 Matthias Maier de chez Splunk. Nos logiciels n\u2019ont pas pour but de nuire aux employ\u00e9s mais de prot\u00e9ger les entreprises. Et c\u2019est en prot\u00e9geant les entreprises que les emplois peuvent \u00eatre prot\u00e9g\u00e9s. Une malversation peut mettre en danger non pas un emploi, mais des dizaines d\u2019emplois.\u00bb<\/p>\n Ces craintes ne sont pas propres aux instituts financiers. \u00abLa protection des patrimoines informationnel est \u00e9conomique concerne aussi les PME, souligne St\u00e9phane Koch, consultant en s\u00e9curit\u00e9 de l\u2019information. Je peux penser \u00e0 au moins un patron dont l\u2019entreprise est une mine d\u2019or en mati\u00e8re de propri\u00e9t\u00e9 intellectuelle. C\u2019est un d\u00e9fi de tout prot\u00e9ger. Si l\u2019un de ses employ\u00e9s quitte l\u2019entreprise avec quelques bonnes informations sous le bras, il \u00e9conomisera au moins deux ans dans la cr\u00e9ation d\u2019une autre soci\u00e9t\u00e9 sur le m\u00eame march\u00e9. Cela suffit \u00e0 d\u00e9montrer les enjeux.\u00bb<\/p>\n Lennig Pedron de chez SecuLabs d\u00e9finit trois cat\u00e9gories concern\u00e9es par la protection de patrimoines: les grands groupes, certes, mais aussi les PME\/TPE et les start-ups, qui peuvent aussi \u00eatre victimes de d\u00e9g\u00e2ts majeurs en cas de fuite — si l\u2019on songe, \u00e0 titre d\u2019exemples, aux domaines m\u00e9dical ou technologique. \u00abEt elles pensent \u00e0 des moyens de se prot\u00e9ger, d\u2019autant que les chefs d\u2019entreprise sont souvent confront\u00e9s \u00e0 beaucoup de nomadisme gr\u00e2ce aux ordinateurs, tablettes, smartphones qui peuvent \u00eatre connect\u00e9s ailleurs qu\u2019au bureau.\u00bb<\/p>\n Pour une poign\u00e9e de dollars\u2026<\/strong><\/p>\n Le \u00abDark Web\u00bb peut se montrer sans piti\u00e9 avec les dilettantes. \u00abVous pouvez y trouver des donn\u00e9es de cartes de cr\u00e9dit pour un dollars, ou des dossiers m\u00e9dicaux \u00e0 50 dollars, reprend Lennig Pedron. Or il est beaucoup plus facile de changer sa carte bancaire que de r\u00e9cup\u00e9rer ses donn\u00e9es m\u00e9dicales. C\u2019est dire si n\u00e9gliger ces probl\u00e9matiques peut \u00eatre pr\u00e9judiciable.\u00bb Pour autant, tout n\u2019est pas autoris\u00e9 pour se prot\u00e9ger.<\/p>\n Certains logiciels au marketing particuli\u00e8rement agressif, qui promettent aux employeurs une surveillance totale de leurs employ\u00e9s (avec captures d\u2019\u00e9cran de leur poste de travail \u00e0 l\u2019appui), sont par exemple synonymes d\u2019ill\u00e9galit\u00e9. \u00abA mon sens, pour tout ce qui concerne la protection des donn\u00e9es, les entreprises dans leur globalit\u00e9 ne g\u00e8rent pas les aspects l\u00e9gaux, ou alors tr\u00e8s mal, estime S\u00e9bastien Fanti, pr\u00e9pos\u00e9 \u00e0 la protection des donn\u00e9es du canton du Valais. Les processus de contr\u00f4le s\u2019apparentent \u00e0 des tigres de papier. Il est bien possible qu\u2019un jour, des amendes colossales pleuvent en raison de m\u00e9thodes de traitement abusives.\u00bb<\/p>\n Pour autant qu\u2019elle puisse se permettre cet investissement (chez Splunk, par exemple, le monitoring de 1GB par jour co\u00fbte 2’070 dollars par an. Pour 10GB, le prix augmente \u00e0 11’500 dollars par an, et pour 50GB, il atteint 43’700 dollars par an), une entreprise qui souhaite employer un logiciel de surveillance doit ainsi respecter un certain nombre de consignes. \u00abElle doit informer les collaborateurs de son usage, explique Francis Meier, d\u00e9l\u00e9gu\u00e9 \u00e0 l\u2019information du pr\u00e9pos\u00e9 f\u00e9d\u00e9ral \u00e0 la protection des donn\u00e9es. En outre, elle doit toujours choisir la forme d\u2019analyse appropri\u00e9e pour le but vis\u00e9 et constituant l\u2019atteinte la moins importante aux droits de la personnalit\u00e9 des collaborateurs.\u00bb ENCADRE<\/p>\n Des d\u00e9faillances qui peuvent co\u00fbter cher aux PME<\/strong><\/p>\n Les tribulations cons\u00e9cutives \u00e0 une s\u00e9curit\u00e9 de l\u2019information d\u00e9faillante ne sont pas l\u2019apanage de multinationales. Les entreprises de toutes tailles et de tous secteurs peuvent \u00eatre victimes d\u2019atteintes \u00e0 leur patrimoine si elles ne sont pas exemplaires dans les cadres mis en place et l\u2019explication des enjeux aux employ\u00e9s. \u00abJe peux vous citer le cas d\u2019une entreprise, qui avait embauch\u00e9 un contractant aux comp\u00e9tences rares pour mener un projet phare, raconte Lennig Pedron, directrice RH & Communication de SecuLabs. La mission prenant du retard, le chef de projet a d\u00e9cid\u00e9 de se s\u00e9parer du contractant.\u00bb<\/p>\n Le lundi, le sous-traitant apprend que son contrat se termine en fin de semaine. \u00abC\u2019est alors que le responsable de la s\u00e9curit\u00e9 d\u00e9tecte un flux de donn\u00e9es significatif provenant de la machine d\u2019un sous-traitant. Des centaines de m\u00e9gabytes de donn\u00e9es sont \u00e9vacu\u00e9es en quelques heures via une messagerie non filtr\u00e9e, ainsi que via une cl\u00e9 USB. Des donn\u00e9es contractuelles et budg\u00e9taires sont subtilis\u00e9es.\u00bb Lorsque les RH consultent le dossier de M. X., ils constatent que le r\u00e8glement int\u00e9rieur n\u2019a pas \u00e9t\u00e9 sign\u00e9. \u00abOn peut \u00e9valuer les co\u00fbts d\u2019une telle affaire — analyse, poursuites, frais d\u2019avocat et de mise en demeure, etc. — \u00e0 quelque 50’000 francs, sans compter les pertes de donn\u00e9es, non chiffrables\u00bb, d\u00e9taille Lennig Pedron. Qui encha\u00eene avec un autre cas qu\u2019elle a connu: celui d\u2019un employ\u00e9 fid\u00e8le victime d\u2019un burn-out. Son entreprise d\u00e9cide de s\u2019en s\u00e9parer. \u00abMalgr\u00e9 la signature d\u2019une charte, un flux anormal de plusieurs centaines de m\u00e9gabytes est alors d\u00e9tect\u00e9 vers une plateforme de stockage en ligne, pr\u00e9cise-t-elle. Le responsable de s\u00e9curit\u00e9 alerte les RH et l\u2019audit interne, mais aucune investigation n\u2019est men\u00e9e sous pr\u00e9texte que l\u2019employ\u00e9 ne d\u00e9tient pas d\u2019informations confidentielles. Or, deux mois plus tard, le responsable de s\u00e9curit\u00e9 se rend compte que les secrets du service Recherche & D\u00e9veloppement ont \u00e9t\u00e9 \u2018exfiltr\u00e9s\u2019.\u00bb<\/p>\n Michael Chochois est sp\u00e9cialiste en s\u00e9curit\u00e9 des syst\u00e8mes d\u2019informations, et a occup\u00e9 des postes \u00e0 responsabilit\u00e9 dans le domaine bancaire, l\u2019industrie et les t\u00e9l\u00e9coms. \u00abJ\u2019ai travaill\u00e9 pour une soci\u00e9t\u00e9 du secteur bancaire qui avait mis en place un outil de d\u00e9tection sur la passerelle de messagerie internet, visant sp\u00e9cifiquement les mots-cl\u00e9s repr\u00e9sentant les donn\u00e9es les plus sensibles de son savoir-faire, raconte-t-il. La m\u00e9thode avait \u00e9t\u00e9 annonc\u00e9e dans le r\u00e8glement interne.\u00bb Toutefois, les r\u00e8gles de l\u2019art ne sont pas toujours appliqu\u00e9es. \u00abJ\u2019ai pu voir une entreprise dans le domaine industriel demander d\u2019enregistrer tous les t\u00e9l\u00e9phones des salles de r\u00e9union. Cette pratique a \u00e9t\u00e9 endigu\u00e9e gr\u00e2ce \u00e0 l\u2019intervention d\u2019un responsable qualit\u00e9. Dans une autre PME du domaine financier, j\u2019ai d\u00fb rappeler \u00e0 l\u2019ordre un administrateur informatique qui cr\u00e9ait des rapports nominatifs sur les cat\u00e9gories de sites butin\u00e9s par les utilisateurs les plus assidus d\u2019Internet. Cette surveillance n\u2019\u00e9tait pas annonc\u00e9e. Il ne s\u2019\u00e9tait pos\u00e9 aucune question puisque cela avait \u00e9t\u00e9 ordonn\u00e9 par la hi\u00e9rarchie. Aujourd\u2019hui, ce rapport est maintenu, mais il est \u2018pseudonymis\u00e9\u2019.\u00bb Et en cas de doute, l\u2019audit interne mandate le responsable s\u00e9curit\u00e9 en vue d\u2019une investigation. Une version de cet article est parue dans PME Magazine.<\/p>\n","protected":false},"excerpt":{"rendered":" Des syst\u00e8mes informatiques hypersophistiqu\u00e9s permettent d\u00e9sormais de surveiller le \u00abcomportement informatique\u00bb des collaborateurs d\u2019une entreprise. Le but: se pr\u00e9munir contre les menaces, de fuites de donn\u00e9es sensibles notamment. La d\u00e9marche ne va pas sans d\u00e9fis \u00e9thiques et l\u00e9gaux.<\/p>\n","protected":false},"author":19978,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-4825","post","type-post","status-publish","format-standard","hentry","category-kapital","kapital"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts\/4825","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/users\/19978"}],"replies":[{"embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4825"}],"version-history":[{"count":0,"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts\/4825\/revisions"}],"wp:attachment":[{"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4825"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4825"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4825"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\n_______<\/p>\n
\n_______<\/p>\n