1°)Aspects juridiques en question
Le lieu de travail est devenu un lieu à risques multiples. On peut d’abord penser à la collecte de données nominatives mais recelant des possibilités de traçage.
Ceci est particulièrement vrai pour les entreprises qui possèdent un réseau de travail de type intranet. D’une part, l’accumulation des données dans les logs se fait automatiquement et inexorablement, avec le suivi de chaque poste de travail ; d’autre part les proxies internes contiennent l’ensemble des pages vues par tout un chacun. Le rapprochement n’est pas une difficulté insurmontable pour qui veut savoir que tel poste de travail a été employé pour tels sites. Ainsi, sans que le chef d’entreprise en ait explicitement ordonné le suivi, il existe des moyens permettant de tracer les actes quotidiens de ses salariés. Le problème se pose si des personnes mal intentionnées et techniquement compétentes en font un usage personnel. Le risque est que le dirigeant de l’entreprise pourra voir sa responsabilité personnelle engagé sur le fondement de la négligence dans le traitement des données relevant de la vie privée de ses employés.
De même, naissent des risques pour les salariés, induits par l’utilisation de l’ordinateur comme outil de travail. Ainsi des mesures de performance individuelles peuvent être menées à l’insu des salariés. En outre, nous l’avons vu précédemment, le détournement ou la publication d’e-mail personnel devient un autre risque d’intrusion dans la vie privé pouvant provenir cette fois-ci de la part de collègues mal intentionnés.
Dans le cadre du suivi de l’application des 35 heures, les heures d’activités des postes de travail enregistrés dans les serveurs de l’entreprise sont des indicateurs potentiels d’infraction. Encore une fois le risque de responsabilité juridique de la bonne application de la loi incombe au chef d’entreprise.
Se pose enfin le problème des risques liés à l’utilisation informelle de l’e-mail : les messages envoyés par ses employés engagent-ils l’entreprise ? On constate d’ailleurs, à ce sujet, la multiplication des messages dans lesquels l’entreprise se dédouane en tout ou en partie des idées exprimées dans les mails envoyés par ses salariés. Cette problématique n’est en rien superfétatoire car elle pose la question de savoir comment contrôler la sécurité des secrets de fabrication envoyés à l’extérieur de l’entreprise en un seul clic donc cela pose un problème de gestion et de conservation des ressources propres de l’entreprise.
2°)Eléments de maîtrise du risque
La diversité des types de risques passés en revue rend nécessaire une démarche structurée et globale de la gestion des risques. Cette démarche mobilise les équipes de l’entreprise du Président Directeur Général jusqu’au stagiaire dernièrement recruté. Ici prend tout son sens le terme « stakeholder » . En effet un trop grand laxisme dans la sécurité qui permettrait aux hackers d’atteindre l’entreprise entraînerait des conséquences personnelles ou financières pour tous les salariés, actionnaires, dirigeants, partenaires de l’entreprise.
Pour tenter d’appréhender ce risque lié à l’internet il faut en rechercher les éléments de maîtrise. Ce processus de gestion du risque lié à l’utilisation de l’outil informatique passe par plusieurs phases :
– La phase dite de lancement du projet de gestion des risques constitue la première étape. C’est au cours de cette étape que l’on va mobiliser les moyens nécessaire à la gestion du risque considéré. C’est pendant cette phase que s’effectuera la rencontre avec les membres de la direction qui permet de préciser les attentes du projet d’établissement de la gestion globale des risques de systèmes d’information. A la suite de quoi un planning doit être envisagé. On va également définir le rôle de chacun dans le processus : responsable juridique, procédural, technique,… Enfin une base de données comprenant des informations pertinentes sur la sécurité, les technologies employées et les modes de fonctionnement de l’entreprise seront recueillies.
– L’étape de modélisation et d’évaluation au cours de laquelle un constat actuel doit être dressé fin de pouvoir mesurer plus tard le chemin parcouru. On prendra soin en particulier d’analyser l’infrastructure sécurité et les dispositifs de réaction aux risques existants, en détaillant ses points forts et ses points faibles. Ensuite un modèle de gestion des risques cohérent pourra être obtenu par le biais d’entretiens avec la direction qui fixera les objectifs de l’entreprise ainsi que ses zones de risques majeurs permettant ainsi de dégager les investissements nécessaires à la valeur des informations à protéger.
– Le développement du projet peut alors être envisagé. Les composants de l’architecture sécurité vont être créés à cette étape. Ils comprennent la politique de sécurité de l’entreprise en elle-même, la méthodologie d’évaluation des risques, les normes de sécurité technique par réseaux informatiques, les modalités de classification de l’information. Dès lors une politique de réponse à chaque type de menaces doit être clairement déterminée et optimisée. Cette étape doit s’accompagner d’une large politique de communication et de diffusion des informations relatives à la question considérée auprès des salariés de l’entreprise et ce afin d’assurer leur totale participation et adhésion au projet
– La dernière étape consiste en la mise en œuvre et le suivi des décisions prises au cours des étapes précédentes. L’objectif final du projet est l’obtention d’un dispositif efficace de gestion des risques et des outils mis en place. Effectivement il ne doit pas s’agir pour l’entreprise d’une solution ponctuelle mais bien d’un process qui s’affirme au sein de la société pour devenir un automatisme. La protection de l’information doit devenir une pratique courante dans les entreprises. C’est à notre sens un état d’esprit qui permet d’assurer la cohérence du dispositif de gestion du risque informatique au sein de l’entité considérée.
Etant dans le domaine de l’immatériel on est nécessairement confronté à la problématique de protection des savoir-faire et données de l’entreprise. Plus l’information sera répandue, distribuée, disséminée et plus elle sera vulnérable. En ce sens, l’existence des e-risques rend d’autant plus nécessaire la formulation d’un réponse structurée mais adaptables et évolutives. Si l’on prend conscience au sein des entreprises que, les données en question peuvent être détournées de façon inattendue et que cela peut aussi bien toucher le dirigeant, le salarié ou encore l’actionnaire alors le risque en sera d’autant plus réduit qu’il a été correctement intégré et anticipé.