Des systèmes informatiques hypersophistiqués permettent désormais de surveiller le «comportement informatique» des collaborateurs d’une entreprise. Le but: se prémunir contre les menaces, de fuites de données sensibles notamment. La démarche ne va pas sans défis éthiques et légaux.
Les alliances se sont échangées au printemps dernier. Credit Suisse et Palantir s’apprêtent à se marier, via une joint venture baptisée Signac. Son but? Traquer les traders voyous. Pour ce faire, l’institut financier se préparait à surveiller les comportements de ses traders afin de percer d’éventuelles violations de codes de conduite, et ce avant même qu’ils ne représentent un risque de nuisance.
La démarche n’était pas tout à fait inédite. Bien qu’aucune ne se fût transformée en joint venture auparavant, plusieurs expériences de ce type de collaboration ont été adoptées dans le monde de la finance. Le New York Post le proclamait en septembre 2015: «Façon Big Brother, les banques de Wall Street s’allient à des sociétés high-tech capables de traquer chaque mouvement de leurs employés sur les réseaux sociaux ou le ‘Dark Web’, et même de repérer si leurs comptes bancaires sont affectés par des activités irrégulières; à quelle fréquence ils envoient des e-mails de leurs comptes privés; retirent de l’argent aux distributeurs; à quel moment ils pénètrent dans le bâtiment ou le quittent; quand ils planifient des conversations personnelles.»
Des logiciels financés par la CIA
Historiquement, les premiers objectifs de sociétés d’analyses de données du type de Palantir (partiellement financée grâce à des fonds de la CIA) ont enveloppé la prévention d’attaques terroristes ou l’anticipation de périls géopolitiques. Les usagers: des pouvoirs «gouvernementaux». «C’est le règne du ‘TIA’, le ‘Total Information Awareness’, initié aux Etats-Unis en 2003», souffle un lobbyiste spécialiste de sécurité de l’information. Toutefois, après avoir capté le potentiel de la lutte contre la criminalité et le terrorisme, les promesses de l’activité se déportent sur le secteur privé. Chez les banquiers. Dans la technologie de pointe. Là où la cybercriminalité peut provoquer des dégâts majeurs.
Parmi les dangers, les «insider threats» sont prises très au sérieux. «Selon certaines estimations, la menace est interne dans deux tiers des cas, qu’elle provienne d’employés ou de prestataires», explique Lennig Pedron, directrice RH & Communication de la société suisse SecuLabs spécialisée dans la sécurité informatique. Pour l’an 2015, l’institut d’audit KPMG a recensé un nombre record de cas de crimes de cols blancs en Suisse (91 cas portés devant les tribunaux). Le fait que les pertes (280 millions de francs) aient chuté à leur plus bas niveau depuis huit ans ne suffit pas à rassurer. La région du Lac Léman est la plus touchée (87 millions). Et ici, dans 40% des cas, des employés ou cadres de l’entreprise sont responsables de la fraude.
L’institut d’audit tire le portrait du criminel économique par excellence. En Suisse, il a entre 46 et 55 ans (dans plus de la moitié des cas). Il est un homme (dans 82% des cas), interne de l’entreprise (64%). Il figure parmi les cadres de l’entreprise (55%), y est employé depuis au moins six ans (36%). Dans le cadre du rapport «Clarity on Cyber», KPMG indique pourtant que 80% des entreprises que l’institut a interrogées ne disposaient pas d’un programme propre de management de la «menace interne».
Un pétabyte par jour
Au sein de la société américaine Splunk, Matthias Maier porte le titre d’«évangéliste technique». «Sur les réseaux, les entreprises comme leurs clients laissent des empreintes de leur activité, amorce-t-il. Nos logiciels ont la possibilité de collecter toutes ces empreintes pour ensuite les stocker.» L’une des applications de Splunk est dévouée aux «UBA» (User Behaviour Analytics). Algorithmes et modèles statistiques traduisent les comportements des employés. «Notre client le plus important génère un pétabyte de données par jour, soit 1 milliard de mégabytes.»
E-mails, sites internet, clés USB, données de voyages, lecteurs de badges, accès VPN, tout peut être passé au crible. Quel collaborateur surfe sur quel site? Qui télécharge des données? Qui accède à quel serveur? Qui envoie combien d’e-mails, et à qui? «Plusieurs éléments permettent de définir des schémas et de détecter les anomalies, poursuit Matthias Maier. Par exemple, des parallèles entre les activités habituelles de plusieurs employés ayant le même rôle, maintenant et par le passé, nous permettent de définir des séquences de comportements logiques. Si l’une de ces séquences est violée, le logiciel émet une alerte.» Autrement dit, plutôt que d’éplucher le contenu de chaque message, le logiciel décèle les changements étranges. Il peut s’agir d’une modification de l’idiome utilisé, d’une augmentation de l’envoi d’e-mails vers l’extérieur, proportionnellement à ceux envoyés à l’interne, ou la constatation d’horaires de présence au bureau singulièrement modifiés.
De par le monde, ce sont mille traders qui sont concernés par la surveillance de Signac, et 4000 autres conseillers sont visés. Nous aurions aimé connaître les plus récents développements de l’engagement du Credit Suisse dans l’aventure, mais la banque n’a pas souhaité nous répondre.
En Suisse, le sujet de la surveillance du comportement des travailleurs demeure délicat. Le Tribunal fédéral a par exemple arrêté que l’installation d’un logiciel espion, afin de prouver qu’un employé consacre une bonne partie de son temps au travail à des activités non-professionnelles, était illégale. Des commerces ont aussi été chahutés parce que la surveillance qu’ils exerçaient sur leurs employés n’était pas conforme à l’ordonnance 3 relative à la loi sur le travail, qui stipule qu’«il est interdit d’utiliser des systèmes de surveillance ou de contrôle destinés à surveiller le comportement des travailleurs à leur poste de travail». Mais comment les logiciels proposés par les géants de la sécurité de l’information pourraient-ils être conformes à cet article?
Banquiers dans la ligne de mire
Le domaine bancaire est un cas à part. «Dans certains secteurs de l’économie privée (par exemple dans les banques), la surveillance et l’analyse systématiques des courriers électroniques des collaborateurs s’imposent afin que l’entreprise puisse remplir les exigences en matière de conformité et se mettre ainsi à l’abri d’actions en responsabilité», indique un guide du préposé fédéral à la protection des données. «Les banques utilisent des moyens de surveillance poussés parce qu’elles ont elles-mêmes des obligations légales, appuie Lennig Pedron de chez SecuLabs. Elles sont responsables de la conservation des données qu’elles collectent. Dans le milieu, les standards sont désormais élevés en matière de sécurité, et ils sont généralement bien exposés aux employés.» Ainsi, chez UBS, «une directive interne définit le cadre de la prévention de la diffusion de données (DLP) que les employés doivent respecter, et la Représentation des employés (RDE, syndicat interne) a encore sensibilisé les collaborateurs sur l’importance de ce programme, souligne le porte-parole Jean-Raphaël Fontannaz. Nous travaillons en toute transparence.»
Palantir assure sécuriser les données afin que les entreprises puissent collaborer tout en respectant la sphère privée, les libertés civiles, les politiques de traitement des données, et surtout afin de préserver la confiance des employés. «Nous travaillons dans plus de 110 pays et sommes très sensibles aux régulations de chacun de ces pays, précise de son côté Matthias Maier de chez Splunk. Nos logiciels n’ont pas pour but de nuire aux employés mais de protéger les entreprises. Et c’est en protégeant les entreprises que les emplois peuvent être protégés. Une malversation peut mettre en danger non pas un emploi, mais des dizaines d’emplois.»
Ces craintes ne sont pas propres aux instituts financiers. «La protection des patrimoines informationnel est économique concerne aussi les PME, souligne Stéphane Koch, consultant en sécurité de l’information. Je peux penser à au moins un patron dont l’entreprise est une mine d’or en matière de propriété intellectuelle. C’est un défi de tout protéger. Si l’un de ses employés quitte l’entreprise avec quelques bonnes informations sous le bras, il économisera au moins deux ans dans la création d’une autre société sur le même marché. Cela suffit à démontrer les enjeux.»
Lennig Pedron de chez SecuLabs définit trois catégories concernées par la protection de patrimoines: les grands groupes, certes, mais aussi les PME/TPE et les start-ups, qui peuvent aussi être victimes de dégâts majeurs en cas de fuite — si l’on songe, à titre d’exemples, aux domaines médical ou technologique. «Et elles pensent à des moyens de se protéger, d’autant que les chefs d’entreprise sont souvent confrontés à beaucoup de nomadisme grâce aux ordinateurs, tablettes, smartphones qui peuvent être connectés ailleurs qu’au bureau.»
Pour une poignée de dollars…
Le «Dark Web» peut se montrer sans pitié avec les dilettantes. «Vous pouvez y trouver des données de cartes de crédit pour un dollars, ou des dossiers médicaux à 50 dollars, reprend Lennig Pedron. Or il est beaucoup plus facile de changer sa carte bancaire que de récupérer ses données médicales. C’est dire si négliger ces problématiques peut être préjudiciable.» Pour autant, tout n’est pas autorisé pour se protéger.
Certains logiciels au marketing particulièrement agressif, qui promettent aux employeurs une surveillance totale de leurs employés (avec captures d’écran de leur poste de travail à l’appui), sont par exemple synonymes d’illégalité. «A mon sens, pour tout ce qui concerne la protection des données, les entreprises dans leur globalité ne gèrent pas les aspects légaux, ou alors très mal, estime Sébastien Fanti, préposé à la protection des données du canton du Valais. Les processus de contrôle s’apparentent à des tigres de papier. Il est bien possible qu’un jour, des amendes colossales pleuvent en raison de méthodes de traitement abusives.»
Pour autant qu’elle puisse se permettre cet investissement (chez Splunk, par exemple, le monitoring de 1GB par jour coûte 2’070 dollars par an. Pour 10GB, le prix augmente à 11’500 dollars par an, et pour 50GB, il atteint 43’700 dollars par an), une entreprise qui souhaite employer un logiciel de surveillance doit ainsi respecter un certain nombre de consignes. «Elle doit informer les collaborateurs de son usage, explique Francis Meier, délégué à l’information du préposé fédéral à la protection des données. En outre, elle doit toujours choisir la forme d’analyse appropriée pour le but visé et constituant l’atteinte la moins importante aux droits de la personnalité des collaborateurs.»
_______
ENCADRE
Des défaillances qui peuvent coûter cher aux PME
Les tribulations consécutives à une sécurité de l’information défaillante ne sont pas l’apanage de multinationales. Les entreprises de toutes tailles et de tous secteurs peuvent être victimes d’atteintes à leur patrimoine si elles ne sont pas exemplaires dans les cadres mis en place et l’explication des enjeux aux employés. «Je peux vous citer le cas d’une entreprise, qui avait embauché un contractant aux compétences rares pour mener un projet phare, raconte Lennig Pedron, directrice RH & Communication de SecuLabs. La mission prenant du retard, le chef de projet a décidé de se séparer du contractant.»
Le lundi, le sous-traitant apprend que son contrat se termine en fin de semaine. «C’est alors que le responsable de la sécurité détecte un flux de données significatif provenant de la machine d’un sous-traitant. Des centaines de mégabytes de données sont évacuées en quelques heures via une messagerie non filtrée, ainsi que via une clé USB. Des données contractuelles et budgétaires sont subtilisées.» Lorsque les RH consultent le dossier de M. X., ils constatent que le règlement intérieur n’a pas été signé. «On peut évaluer les coûts d’une telle affaire — analyse, poursuites, frais d’avocat et de mise en demeure, etc. — à quelque 50’000 francs, sans compter les pertes de données, non chiffrables», détaille Lennig Pedron. Qui enchaîne avec un autre cas qu’elle a connu: celui d’un employé fidèle victime d’un burn-out. Son entreprise décide de s’en séparer. «Malgré la signature d’une charte, un flux anormal de plusieurs centaines de mégabytes est alors détecté vers une plateforme de stockage en ligne, précise-t-elle. Le responsable de sécurité alerte les RH et l’audit interne, mais aucune investigation n’est menée sous prétexte que l’employé ne détient pas d’informations confidentielles. Or, deux mois plus tard, le responsable de sécurité se rend compte que les secrets du service Recherche & Développement ont été ‘exfiltrés’.»
Michael Chochois est spécialiste en sécurité des systèmes d’informations, et a occupé des postes à responsabilité dans le domaine bancaire, l’industrie et les télécoms. «J’ai travaillé pour une société du secteur bancaire qui avait mis en place un outil de détection sur la passerelle de messagerie internet, visant spécifiquement les mots-clés représentant les données les plus sensibles de son savoir-faire, raconte-t-il. La méthode avait été annoncée dans le règlement interne.» Toutefois, les règles de l’art ne sont pas toujours appliquées. «J’ai pu voir une entreprise dans le domaine industriel demander d’enregistrer tous les téléphones des salles de réunion. Cette pratique a été endiguée grâce à l’intervention d’un responsable qualité. Dans une autre PME du domaine financier, j’ai dû rappeler à l’ordre un administrateur informatique qui créait des rapports nominatifs sur les catégories de sites butinés par les utilisateurs les plus assidus d’Internet. Cette surveillance n’était pas annoncée. Il ne s’était posé aucune question puisque cela avait été ordonné par la hiérarchie. Aujourd’hui, ce rapport est maintenu, mais il est ‘pseudonymisé’.» Et en cas de doute, l’audit interne mandate le responsable sécurité en vue d’une investigation.
_______
Une version de cet article est parue dans PME Magazine.