Les grandes sociétés sont généralement extrèmement vigilentes sur ce point. Mais dans les PME-PMI, la confiance semble être de mise en ce qui concerne la gestion des risques et de la protection de l’information. Lorsqu’un employé quitte sa société, 87 % des entreprises interrogées ne pensent pas que celui-ci puisse emporter avec lui des données appartenant à la société.

Les mesures les plus communément mises en œuvre sont classiques :

- faire signer des contrats de confidentialité,
- bloquer l’accès aux réseaux informatiques de l’entreprise,
- empêcher que l’on puisse copier des données sur des disques durs externes ou de simples clés USB, ce qui n’est pas si simple !

Voilà en tout cas des opérations qui semblent à leurs yeux suffisantes pour dissuader les partants de ce genre de mauvaises pratiques. Notons que 75 % des responsables d’entreprise interrogés déclarent ne pas avoir véritablement vérifié l’efficacité de ces mesures….lorsqu’elles sont prises.  

Problème, une autre étude révèle que les employés concernés paraissent fort peu scrupuleux à détourner ces règles de bonne conduite. Ils ne voient aucun mal à emporter avec eux des documents sensibles ou confidentiels, notamment s’ils estiment avoir contribué à les produire ; 72 % d’entre eux répondent même que ces données et ces informations leur seront fort utiles pour leur nouveau job !
Parmi le « butin » emporté, la moitié (51 %) des démissionnaires se servirait directement dans les bases de données clients confidentielles, en dépit des lois de protection des données. Suivent ensuite la récupération de présentations (46 %), les propositions commerciales (21 %), les plans stratégiques (18 %) et même les feuilles de route de produits ou de services (18 %), alors que les deux tiers (67 %) des employeurs, beaucoup trop confiants, estiment avoir pris les mesures qui s’imposaient.

Une question de culture interne
Pour conjurer ce fléau face à la valeur de l’information pour les professionnels travaillant au sein d’entreprises de toutes tailles, il est important que les employeurs appréhendent l’ampleur du risque et contrôlent l’efficacité des procédures dissuasives mises en place. Outre les mesures précisées ci-dessus, voici quelques mesures de sécurité complémentaires parfaitement envisageables pour au moins protéger les données les plus sensibles :

. supprimer l’accès au réseau interne de l’entreprise la semaine précédant le jour de départ du salarié ; ce n’est pas agréable mais il le faut,
. empêcher les employés d’enregistrer des données sur leur PC, tablettes ou même smartphones personnels ; ce n’est pas facile techniquement mais des procédures permettent de limiter le risque,
. limiter l’accès aux données en mode lecture seule.

Mais avant tout, la réponse se trouve finalement dans la sensibilisation des employés. Il est essentiel qu’ils comprennent ce que sont véritablement les informations confidentielles et qu’ils mesurent à la fois les conséquences légales pour eux et les préjudices pour l’entreprise que peut occasionner une fuite et un détournement de données.

Le comportement des employés est en effet directement lié à l’existence ou non d’une politique de protection des données dans l’entreprise et à la manière dont elle leur est communiquée. Par exemple, 80 % des sondés allemands, ou le taux de TPE et PME est plus important que dans nombre d’autres pays européens, déclarent comprendre les consignes vis-à-vis des informations qu’il est ou non possible de sortir de l’entreprise, contre une moyenne européenne de 57 % ; un tiers seulement des salariés allemands a déjà emporté des documents qu’ils avaient produits eux-mêmes, contre une moyenne européenne de 56 %. Le phénomène de fuite et de détournements de données peut donc être largement réduit selon la génétique culturelle diffusée en permanence dans l’entreprise.

Conclusion. Les employés qui connaissent les règles agissent assez naturellement en conséquence. Une meilleure protection des données en continu - pas uniquement au moment du départ - est donc le fruit d’une culture de responsabilité vis-à-vis de l’information. Instaurée et entretenue, le respect de cette culture sera fondée aussi sur la confiance et le respect de la valeur de l’information (électronique ou papier), doublée de mesures de sécurité et de contrôles très stricts. C’est bien toute la difficulté.

Marc DELHAIE
Président-Directeur Général - Iron Mountain France et Suisse
www.ironmountain.fr