Comment les entreprises tentent de se protéger des lanceurs d’alerte

Il y a eu les câbles diplomatiques dévoilés par WikiLeaks (2010), les révélations d’Edward Snowden sur des programmes de surveillance de masse menés par les États-Unis (2013), les scandales financiers de LuxLeaks (2014) et SwissLeaks (2015) et, dernièrement, les Panama Papers. À l’origine de ces affaires très médiatisées, on retrouve des hommes et des femmes que l’on a pris l’habitude de décrire comme lanceurs d’alerte (ou whistleblowers en anglais).

En faisant fuiter des documents internes et confidentiels afin de dénoncer des irrégularités ou des délits dont ils ont été témoins au sein de leur propre entreprise, Chelsea Manning, Stéphanie Gibaud, Edward Snowden, Julian Assange, Hervé Falciani ou encore Antoine Deltour ont contribué à exposer à un large public certaines pratiques opaques des milieux politiques, judiciaires ou financiers auxquels ils appartenaient. Vol de données sensibles ou confidentielles, téléchargement de fichiers sans autorisation préalable, accès à des documents internes par des employés qui ont quitté l’entreprise ou qui ont changé de service, mauvaise attribution des droits d’accès... Pour les entreprises du monde entier, ces menaces internes sont de plus en plus récurrentes et de plus en plus difficiles à combattre. Comment peuvent-elles se prémunir contre leurs propres employés?

Une étude soulignait, en octobre 2015, que, pour 70% des professionnels de la sécurité, ces menaces internes –qui vont de l’extraction de données par un lanceur d’alerte à de simples erreurs de manipulation du réseau informatique– présentent plus de risques pour la sécurité d’une entreprise que des attaques venues de l’extérieur. Face à ces risques, les entreprises tentent de s’adapter, notamment celles qui ont déjà été touchées par une fuite de documents par le passé.

Culture du secret

En septembre 2015, après le scandale de la fraude aux émissions polluantes de certains de ses moteurs essence et diesel, Volkswagen avait opté pour un programme de «coopération» auprès de ses employés. L’idée était d’encourager les aveux et la dénonciation sur les irrégularités dont ils auraient eu connaissance au sein de l’entreprise, tout en les protégeant d’un licenciement. Cinquante personnes s’étaient manifestées pour faire état d’irrégularités dans le groupe, rapportait Le Monde en novembre 2015.

Après la transmission à la presse de documents confidentiels par Edward Snowden, un ancien collaborateur de la CIA, l’agence de renseignement a adopté une autre stratégie. La lutte contre les fuites d’informations sensibles par ses agents (ou par d’anciens officiers) dans les journaux s’est construite autour d’une campagne visant à «réinculquer à ses troupes la culture du secret». Il faut dire que, ces dernières années, la CIA n’a pas été épargnée par les fuites de données intentionnelles. Outre Edward Snowden, on pense notamment à John Kiriakou (2007) ou à d’anciens membres de l’agence de renseignement. Ironie du sort: la note interne de John Brennan, directeur de la CIA, annonçant la campagne de sensibilisation auprès de ses agents devait rester confidentielle mais a finalement fuité dans la presse, souligne Le Figaro.

Parmi les autres mesures de sécurité à disposition des entreprises, on retrouve l’interdiction des réseaux sociaux ou des téléphones professionnels à des fins personnelles, la sensibilisation des salariés à la «discrétion professionnelle» et aux informations données à des tiers, la rédaction de clauses de confidentialité et d’une charte informatique, une mise à jour des accès et des permissions de connexion en fonction du statut d’un employé, la classification minutieuse des données selon leur degré de confidentialité, l’éducation et la formation des salariés aux risques de fuites...

Fatalisme

À HSBC France, par exemple, ces formations sont une étape obligatoire pour les collaborateurs. Elles consistent à leur apprendre à protéger correctement les données qu’ils manipulent chaque jour et à ne pas s’exposer à des risques d’attaques extérieures. Une employée d’HSBC France détaille à Slate.fr:

«Il existe des formations, depuis toujours et bien avant les fuites dans la presse, sur les bons réflexes à avoir et sur l’importance de la protection des données, car les collaborateurs sont régulièrement amenés à manipuler des informations confidentielles. Les formations servent, par exemple, à les inciter à la vigilance lorsqu’ils utilisent leur Blackberry professionnel dans les transports en commun, dans un train ou dans un avion où quelqu’un de mal intentionné pourrait avoir accès aux données de l’appareil.»

En ce qui concerne le risque d’une extraction et d’une fuite de documents internes par un nouveau Hervé Falciani, HSBC se garde de trop en dire. Les mesures de sécurité mises en place par le groupe consistent avant tout à ne pas reproduire les erreurs du passé (évasion fiscale, blanchiment d’argent, manipulation de taux de change...) et à contrôler que les opérations bancaires ne comportent aucune anomalie. Au sein du groupe, il existe néanmoins des formations spécialisées qui abordent la marche à suivre en cas d’utilisation suspecte du réseau informatique par un collaborateur. Un autre collaborateur d’HSBC France témoigne:

«Ces process internes permettent aux collaborateurs d’alerter un supérieur et de court-circuiter une opération dès lors qu’ils ont le sentiment qu’elle est anormale. Il peut s’agir d’une utilisation malveillante du réseau par un lanceur d’alerte comme d’une simple mauvaise manipulation du système»

D'après les experts interrogés, il semble régner dans les esprits une forme de fatalisme face au risque d’un nouveau lanceur d’alerte. À HSBC comme ailleurs, l’éventualité d’une fuite de documents intentionnelle est conditionnée à la volonté de l’employé et à la confiance qu’on lui accorde. En clair, si un membre de l’entreprise qui a accès à des données confidentielles au quotidien fait le choix de les extraire, de les subtiliser et de les livrer à la presse, les logiciels n’y pourront pas grand-chose, résume une employée du groupe:

«Si quelqu’un veut faire fuiter des documents, il n’a qu’à les imprimer et les donner discrètement à un journaliste dans un café. Si quelqu’un veut vraiment le faire, il en a tous les moyens.»

Analyse comportementale 

La demande croissante de logiciels de protection a fait émerger de nouveaux protocoles de sécurité. En première ligne: le profilage et l’analyse comportementale des utilisateurs par des algorithmes.

Le principe est simple: ces outils analysent minutieusement le comportement des utilisateurs sur un réseau ou sur une boîte de messagerie. Grâce aux horaires et au lieu de connexion, à la vitesse de frappe sur un clavier ou à la nature des opérations effectuées, ils établissent une moyenne et un profil propre à chaque salarié. Ce profilage permet de détecter automatiquement les mouvements suspects ou inhabituels sur un réseau informatique et, le cas échéant, d’envoyer une alerte au responsable de la sécurité informatique de la structure.

Si l’analyse comportementale peut apparaître comme un protocole intrusif, les professionnels qui commercialisent ce genre de technologies apportent une nuance. Cette technologie permettrait également de protéger les salariés en cas de piratage informatique et d’une intrusion dans le réseau interne de leur entreprise. Pour appuyer leur raisonnement, ils citent en exemple le traumatisme qui a suivi le piratage informatique du studio hollywoodien Sony Pictures, en novembre 2014. Lors de cette attaque, les données personnelles (fiches de paie, dossiers médicaux, numéros de sécurité sociale) des salariés avaient été dérobés. 

Le profilage par analyse comportementale remplit deux rôles pour les entreprises: il permet d’identifier rapidement une utilisation malveillante d’un réseau et de repérer une mauvaise manipulation sur le système. «Les entreprises se montrent de plus en plus intéressées dans ce genre de logiciel, précise à Slate.fr Romain Quinat, responsable marketing de Nomios, un intégrateur spécialisé dans la sécurité des réseaux informatiques. Ces dispositifs sont assez onéreux donc, pour le moment, ce sont surtout les grosses structures comme des banques, ou des assurances qui les utilisent.»