Départ d’un collaborateur : protéger vos données
Le départ d’un collaborateur n’est pas toujours simple à gérer. Focalisées sur les aspects juridiques, de nombreuses entreprises négligent le contrôle des accès aux informations.
Les risques ne sont pas toujours là où on les attend. Les fuites d’informations sensibles ne proviennent pas toujours d’une infiltration externe. La menace est très souvent à l’intérieur de l’organisation ! En France, 6 employés sur 10 ayant quitté leur entreprise au cours des 12 derniers mois conservent des données confidentielles (Étude du Ponemon Institute “What’s Yours is Mine: How Employees are Putting Your Intellectual property at Risk”).
Par jalousie (manque de considération de ses supérieurs), cupidité (revente de documents à des concurrents) ou vengeance, un salarié peut volontairement voler des données. Mais seuls 28 % des fuites d’information internes sont de nature malveillante : dans la majorité des cas, des employés pensent qu’il est légitime de s’approprier les fichiers sensibles sur lesquels ils travaillaient.
Les entreprises font face à un dilemme : comment partager des données critiques entre différents métiers sans risquer des fuites alors que le BYOD et les clés USB sont des usages courants ? Par ailleurs, de plus en plus de salariés ont conscience que la data est monnayable !
Le recours à la justice encore peu efficace
Et le recours à la justice ne garantit pas d’obtenir gain de cause. En France, une première sanction pour vol de fichiers numériques a été prononcée en 2011. Après avoir copié sur une clé USB des informations de son ancien employeur, une personne tente de les revendre pour obtenir de l’argent et créer ainsi sa société. Un jugement la condamne à 3 mois de prison avec sursis. Par manque de preuve du dommage causé, son ex-employeur ne touchera pas les 750.000 € de dommages et intérêts réclamés. En 2016, la Cour de cassation a rejeté le pourvoi d’une entreprise qui avait porté plainte contre un ancien collaborateur pour suppression de données informatiques. Là aussi, le caractère volontaire de l’atteinte n’avait pas été établi.
Face à cette menace, il convient d’être pragmatique tout en étant plus vigilant. Pour rester agiles et performantes, les entreprises doivent anticiper ces risques en prenant deux types de mesure.
Des mesures organisationnelles
- La rédaction de clauses de confidentialité, de non-concurrence et de restitution des documents critiques;
- La rédaction d’une charte informatique afin de sensibiliser et de dissuader les salariés ;
- Une check-list précise lors des départs : en étroite collaboration avec la DRH et le service juridique, la DSI doit établir des procédures de récupération du matériel, de suppression et d’archivage des données de l’employé.
- La fermeture des comptes : la DSI doit couper le plus rapidement possible les accès des personnes quittant l’entreprise ou les actualiser s’ils changent de service. Cette mesure est encore trop souvent négligée. Selon une étude de Varonis, un spécialiste de la protection de données, auprès de 80 organisations, environ 450 000 comptes étaient toujours actifs alors que leurs utilisateurs étaient partis…
Des approches « techniques » :
-
La classification des données
Selon la même étude de Varonis, 47 % des organisations laissent au moins 1 000 fichiers sensibles accessibles à tous leurs employés. Il est indispensable d’établir une priorisation afin de renforcer la sécurité des informations stratégiques.
-
La limitation des accès
Partager des données ne signifie pas le libre accès général. Tous les collaborateurs n’ont pas besoin d’accéder à tous les documents. Il est indispensable de limiter les connexions en fonction des métiers.
-
Un traçage des échanges
Une cartographie du SI, et en particulier des données sensibles, permet notamment de détecter des tentatives de fuites et de disposer de preuves précises en cas de recours devant la justice. Mais la mise en place de cette surveillance exhaustive implique l’accord du service juridique.
Toutes ces mesures doivent certes vous permettre d’éviter le scénario catastrophe en cas de départ conflictuel d’un de vos collaborateurs. Mais plus généralement vous permettre d’optimiser les échanges quotidiens auprès de vos collaborateurs d’un environnement de travail de plus en plus dématérialisé et mobile. Plus de sécurité, pour une meilleure communication et in fine, une meilleure collaboration.
Pour en savoir plus sur les solutions Sage